Что значит совершил роскомнадзор
Проверка Роскомнадзора: как к ней подготовиться, чтобы избежать штрафов
Любое появление инспектора, будь то плановая или внеплановая проверка, для бизнеса всегда сопряжено с определенными рисками. Лучше заранее убедиться в наличии всех необходимых документов, защищающих интересы компании, а если есть нарушения, внести исправления до того, как их обнаружит инспектор.
Еще важно разобраться в типах проверок и в порядке контрольных процедур. Тем более что с недавних пор действует риск-ориентированный подход, выделяются группы операторов по тяжести потенциальных негативных последствий, оценивается вероятность несоблюдения обязательных требований.
В этой статье разберемся в следующих вопросах:
Виды проверок Роскомнадзора
Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными. А с недавних пор появился такой вид проверок, как инспекционный визит.
Плановая проверка
О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.
Внеплановая проверка
Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
Документарная проверка
В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора. Документарная проверка проводится без выезда в организацию.
Выездная проверка
При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования, установленные законом.
Инспекционный визит
Проводится по отношению к организациям, которые отнесены к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных. О таком визите бизнес должны уведомить не позднее чем за 5 рабочих дней до даты его проведения.
Роскомнадзор также может проводить профилактические мероприятия. К ним относятся:
В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.
Как проводятся проверки Роскомнадзора с 1 июля 2021 года
Новый порядок проведения проверок определен Постановлением Правительства РФ от 29.06.2021 № 1046. И он поменялся.
Ранее Роскомнадзор не применял риск-ориентированный подход. Сейчас осуществляется оценка категорий риска, то есть организациям присваивается категория риска, от которой зависит частота проверок Роскомнадзора.
Выделяются такие категории риска:
В рамках контроля за обработкой персональных данных проверяются:
Постановление Правительства РФ от 29.06.2021 № 1046 вводит такую возможность фиксации нарушений, как фотосъемка, аудио- и видеозапись. Правила проведения проверок также позволяют использовать компьютеры, ноутбуки, съемные электронные носители информации, копировальные аппараты, сканеры, телефоны (в том числе сотовой связи), механические, технические средства, в том числе принадлежащие контролируемому лицу.
Обработка персональных данных и тяжесть потенциальных негативных последствий
По новым правилам учитывается тяжесть потенциальных негативных последствий возможного несоблюдения требований. В зависимости от этого выделяются четыре группы тяжести: А, Б, В и Г. Каждая группа включает определенные виды деятельности.
Обработка специальной категории персональных данных и (или) биометрических данных; сбор персональных данных, осуществляемый с использованием баз данных, находящихся за пределами РФ; трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных; передача персональных данных третьим лицам, полученных в результате обезличивания.
Обработка персональных данных в целях, отличных от заявленных на этапе их сбора; обработка данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами; обработка данных в информационных системах (содержат данные более чем 20 000 субъектов); сбор персональных данных, осуществляемый с использованием иностранных программ и сервисов.
Обработка персональных данных близких родственников субъекта персональных данных; обработка данных в информационных системах (содержат данные от 1000 до 20 000 субъектов); трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных; обезличивание данных, обработка данных, полученных в результате обезличивания, с использованием методов обезличивания, без передачи третьим лицам.
Обработка персональных данных в информационных системах (содержат данные менее чем 1000 субъектов); обработка персональных данных без предоставления в Роскомнадзор; обработка данных, полученных из общедоступных источников; трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных.
В некоторых случаях критерии позволяют отнести деятельность компании к различным группам тяжести. В этом случае используется критерий, который относит деятельность к более высокой категории риска.
Обработка персональных данных и группы вероятности
Еще одно новшество: с учетом оценки вероятности несоблюдения обязательных требований деятельность операторов персональных данных будет разделяться на группы вероятности 1, 2, 3, 4.
К группам вероятности относят деятельность, осуществляемую с нарушениями требований законодательства в области персональных данных, ответственность за которые предусмотрена конкретными частями ст. 13.11 КоАП.
Части ст. 13.11 КоАП
Вступили в силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности оператора к категории риска, о назначении административного наказания.
В течение последних двух лет выданы предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений; вступили в силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
По фактам нарушений в течение последних двух лет выданы предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений; в отношении нарушений вступили в законную силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
Отнесение деятельности оператора к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице, которая приводится в Постановлении Правительства РФ от 29.06.2021 № 1046:
Периодичность проверок в зависимости от категории риска
Частота плановых проверок зависит от присвоенной категории риска:
Как подготовиться к проверке Роскомнадзора
Требования о том, какие условия нужно соблюдать при работе с персональными данными, установлены большим количеством документов. Но основной из них — это Федеральный закон от 27.07.2006 № 152-ФЗ. Часть статей Трудового кодекса также содержат информацию о порядке работы с персональными данными в отношении работников.
От того, какие категории персональных данных вы обрабатываете, зависит многое. Помимо работников в своей деятельности бизнес сталкивается с соискателями, членами семей работников, третьими лицами, с которыми заключаются договоры ГПХ, а также иными лицами. Поэтому перечень нормативных правовых актов, начиная с базовых и заканчивая специфическими, которые определяют требования к той категории, данные которой обрабатываются, нужно изучать дополнительно.
Например, вы можете иметь дело с биометрическими данными. Тогда вам надо изучить дополнительные документы, которые регламентируют обработку такой информации: как и где их хранить, как защищать.
Есть три основных документа, которые регламентируют порядок прохождения проверок органами Роскомнадзора:
Поскольку нормативных правовых актов по персональным данным много, то прежде всего нужно:
Федеральный закон № 152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.
Можно поступить проще — привлечь внешнего специалиста, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т.д.
Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:
После заполнения электронного уведомления на сайте Роскомнадзора распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.
Ведомство рассмотрит ваше уведомление и добавит компанию в реестр операторов в течение 30 дней. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона № 152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.
На что обращают внимание инспекторы
Прежде всего они хотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор, если она не попадает под исключения.
Есть только несколько категорий данных, которые можно обрабатывать без уведомления (ч. 2 ст. 22 152-ФЗ):
Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.
Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.
Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.
Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.
Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч. 3 ст. 6 152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных.
Обратите внимание, что с 1 сентября 2021 года действует Приказ Роскомнадзора от 24.02.2021 № 18, который устанавливает требования к содержанию согласия на обработку персональных данных, которые субъект данных разрешает распространять. Подробнее об этом читайте в статье Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года.
Помещения, в которых обрабатываются персональные данные, должны быть обеспечены контролируемым доступом. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.
Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.
В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то инспекторам будет сложно к чему-либо придраться.
Копирование и любая переработка материалов Контур.Журнала запрещены
Почти любой сайт может попасть в реестр Роскомнадзора
Год назад мы рассказали о штрафах за нарушение закона о персональных данных. Стало понятно, что о законе, которому много лет, мало кто знал и многие владельцы сайтов его не соблюдали. Раньше штрафы были небольшие, а с 1 июля из-за одного нарушения можно потерять до 75 тысяч рублей. Все сразу решили в нем разобраться.
Потом была шумиха с реестром Роскомнадзора, в который включали соцсети, сайты знакомств и мессенджеры. Кто не соглашался — тех блокировали (мы чуть не лишились Телеграма, помните?). В этот реестр Роскомнадзор включает организаторов распространения информации. И там может оказаться ваш сайт, ваша компания и вы лично.
Организатором могут признать почти любой сайт. Для этого достаточно дать пользователям возможность комментировать, обмениваться сообщениями и писать отзывы о товарах.
Всем владельцам сайтов, блогов и форумов нужно разобраться в том, как работает закон для организаторов распространения информации. Скорее всего, вы даже не думаете, что он вас касается и у вас есть дополнительные обязанности. Но если их не выполнить, есть опасность штрафа. Например, 300 тысяч рублей за то, что вы не уведомили Роскомнадзор о начале работы. Или миллион рублей за то, что вы не храните данные о пользователях и их сообщениях или храните их не в России.
Кто такие организаторы распространения информации?
Это владельцы сайтов, программ и любых инструментов, которые помогают обмениваться электронными сообщениями в интернете: отправлять, получать, делать рассылки и как-то их обрабатывать.
В законе нет ограничения, что это должны быть только юридические лица или официально зарегистрированные предприниматели. Это просто какое-то лицо. И нет условия, что у этого лица должен быть бизнес, большой портал или мессенджер с миллионами пользователей по всему миру. Нет вообще никаких условий, кроме этого определения.
Кого могут признать таким организатором?
Формально статус и обязанности организатора возникают по умолчанию. Чтобы им стать, достаточно запустить сайт, сервис или программу, где пользователи могут отправлять и получать какие-то сообщения.
Для организаторов распространения информации Роскомнадзор ведет реестр. Присутствие в этом реестре означает только одно: у государства есть полная информация о владельце конкретного сайта. Ведомства знают, кому принадлежат сайты из реестра, как связаться с этой компанией и людьми, что с них можно спрашивать, кому отправлять запросы или выставлять штрафы.
Если сайта нет в реестре, это не значит, что он не организатор и не должен выполнять обязанности по закону. Это значит, что пока Роскомнадзор и спецслужбы не обратили на сайт внимания.
На днях сайт «Роем-ру» писал, что тоже попал в список, хотя не считает себя организатором. Несколько лет назад на сайте можно было отправлять личные сообщения. Роскомнадзор узнал об этом и внес сайт в реестр. Потом личные сообщения удалили и руководство портала захотело выйти из реестра: никакого сервиса для обмена сообщениями они больше не предоставляли. По крайней мере, им так казалось с учетом неопределенности в законе.
Но Роскомнадзор решил иначе и не исключил сайт из реестра. Все дело в комментариях под новостями — этого оказалось достаточно, чтобы сайт считался организатором распространения информации в интернете. Сейчас ООО «Роем» по-прежнему в реестре под номером 7-РР.
Кого можно считать организатором распространения информации:
Про мессенджеры, крупные порталы и соцсети все понятно и так.
Комментарии и отзывы — это тоже электронные сообщения?
В статье 2 закона 149- ФЗ написано, что такое электронное сообщение. Это любая информация, которую передают и получают в интернете. Комментарии под статьями, отзывы с возможностью комментирования и неформальная переписка где-то внутри сервиса — это тоже электронные сообщения.
Так считают эксперты, которые консультируют Роскомнадзор: кандидаты юридических наук, научные сотрудники и специалисты по информационному праву. Если вам тоже интересно разобраться, прочитайте комментарий к закону об информации А. И. Савельева.
Системные сообщения тоже делают сайт организатором?
Да, формально системные сообщения тоже попадают под определение электронных. Но в отличие от сообщений, которые пользователи отправляют друг другу или оставляют в комментариях, здесь есть юридические нюансы. На системные сообщения не распространяются правила о хранении данных, которые установило правительство. Для них не нужен сервер в России, и они не интересны госорганам.
Уведомление Роскомнадзора о начале работы
Если вы запускаете сайт и становитесь организатором распространения информации, нужно составить уведомление. Правительство утвердило для этого специальные правила. На основании уведомления сайт вносят в реестр.
Вы можете уведомить Роскомнадзор сами или отправить данные в ответ на его запрос. И здесь вот такая штука. По закону сайт считается организатором распространения информации, когда на нем можно оставлять сообщения, а не когда он попадет в реестр. Решили ввести комментарии под статьями — вы автоматически организатор. И вы сразу же должны отправить уведомление в Роскомнадзор, а не ждать, пока он вас заметит и пришлет запрос. Иначе есть повод для штрафа даже у физлиц.
максимальный штраф за работу сайта без уведомления Роскомнадзора
Пока практика складывается так, что Роскомнадзор сам решает, кого надо внести в реестр, и направляет им запросы. Дальше владелец сайта соглашается, заполняет уведомление и его вносят в реестр. Или не соглашается, и к нему блокируют доступ. Кажется, что организаторами считаются только те, кто уже в реестре, но это не так. Реестр нужен для удобства ведомств и органов. Так им легче найти владельца сайта, чтобы запросить нужную информацию.
Сейчас в реестре меньше ста сайтов, но это не значит, что другие не организаторы. У Роскомнадзора нет столько времени и ресурсов, чтобы проверять и учитывать все форумы, новостные порталы и корпоративные блоги. Да и цели всех контролировать тоже нет.
Это не значит, что завтра вас не оштрафуют из-за уведомления — по закону имеют право. В то же время, даже если Роскомнадзор пришлет вам уведомление и вы вовремя на него ответите, штрафа вполне может не быть. Сейчас на практике это работает именно так, но в законе требования жестче, и они официально действуют.
Вы сами решайте, подавать уведомление или ждать запроса. Может быть, вам никогда не придет такой запрос и вами вообще не заинтересуется государство. А может быть, оно вами уже заинтересовалось и пока присматривается к вашим публикациям. Или с вашими публикациями все нормально, а вот в комментариях есть что-то интересное.
Хранение данных
Все организаторы распространения информации должны хранить данные о пользователях и их сообщениях в течение года: протоколы, логи, авторизации, платежи и даже спам.
Сейчас это касается только фактов сообщений: один пользователь написал другому какой-то текст или оставил комментарий такого-то числа и прикрепил к нему видео. С 1 июля 2018 года хранить нужно и сами сообщения: тексты, видео, картинки и звуки. Правда, только полгода.
В правилах правительства написано, что и как нужно хранить. Все данные в течение этого времени должны храниться в России. Параллельно сервер может быть и за границей, но в России — обязательно.
максимальный штраф за нарушение правил хранения данных
Предоставление доступа к информации
Правительство утвердило специальные правила, как именно владелец сайта должен взаимодействовать с органами. Если интересно — почитайте пункты 7—15 и отдельный документ. Добавим только, что решения суда для этого не нужно, а рассказывать о взаимодействии запрещено.
Может быть, из-за спама к вам и не придут, а вот из-за комментариев с незаконными призывами, запрещенной рекламой или разжиганием вражды — вполне возможно.
Еще есть требования по автоматизации доступа и декодированию сообщений. Там все пока не очень понятно. И это точно касается только тех сайтов, которые представляют интерес для органов. Но за это тоже штрафуют. Телеграму, например, выписали 900 тысяч рублей, и оспорить этот штраф не удалось даже в Верховном суде.
Идентификация пользователей
С 2018 года у организаторов распространения информации со встроенными мессенджерами еще одна обязанность: они должны идентифицировать всех пользователей по номерам телефонов. Неважно, какой логин или никнейм у комментатора — владелец сайта обязан знать и предоставить по запросу номер его телефона.
Мы подробно рассказывали об идентификации в мессенджерах — к ним есть и другие требования. Это не касается тех сайтов, где нельзя обмениваться мгновенными личными сообщениями. То есть не каждый организатор распространения информации — это мессенджер. Но любой мессенджер — организатор.
Фрилансер с личным блогом — это тоже организатор?
В законе есть исключения, когда сайт хоть и похож на организатора, но на него все эти требования не распространяются. Если сайт создан физическим лицом для личных нужд, то Роскомнадзору до такого сайта дела нет, в реестр он не попадет и госорганам ничего предоставлять не обязан.
Правительство установило перечень личных нужд. Если вы лично создали сайт и он покрывает ваши потребности из этого списка, вы не должны выполнять обязанности организатора распространения информации:
Если вы как физлицо без бизнеса создали сайт или ведете блог, в котором публикуете свои статьи про рыбок, детей или саморазвитие, — вас не внесут в реестр, даже если там есть комментарии. Если вы на своем опыте учите кого-то писать тексты, проектировать интерфейсы или худеть, вам тоже ничего не нужно делать — учите дальше.
Когда личный или корпоративный блог все равно организатор
Не все сайты и блоги для личных нужд попадут под это исключение. Есть условия, когда даже личные блоги должны выполнять обязанности организатора:
Пример с книгами. Маркетолог издательства рассказывает о книгах, которые издает его работодатель. Кажется, что это личный блог, но на самом деле нет. Здесь есть интересы юрлица, поэтому исключение не сработает и личные нужды могут не спасти от реестра.
Пример с рассказами о городах. Блогер пишет на сайте об архитектуре в городах, критикуя представителей власти на местах и поддерживая в комментариях общественно-политические заявления. Он тоже может попасть в реестр. И он тем более туда попадет, если хоть и пишет от себя, но на самом деле сайт оформлен на ИП или фирму.
Нет никаких ограничений по количеству информации в интересах компаний или частоте публикации общественно-политических постов. Это решается индивидуально и не вами.
У меня ИП и небольшой интернет-магазин. Меня касаются эти требования?
Да, эти требования касаются вообще всех: физлиц, предпринимателей и фирм. Исключения для личных нужд распространяются только на обычных людей, а на предпринимателей нет.
Если у вас в интернет-магазине можно оставлять комментарии к статьям, обсуждать цены или характеристики товаров, вы организатор распространения информации. Формально вы обязаны отправить уведомление в Роскомнадзор. Штрафы за несоблюдение требований для ИП такие же, как для юрлиц, — 300 тысяч за неотправленное уведомление.
Отправлять его или нет, решать только вам и вашему юристу.
Зачем это придумали? Такое только в России?
Такое не только в России. Наоборот, эти нормы появились в нашем законе гораздо позднее, чем в других странах. В Европе и США выдача данных о трафике по запросу правоохранительных органов — это нормальная практика. Наши законодатели взяли зарубежный опыт и адаптировали его к российским реалиям.
Основное назначение этих изменений — борьба с терроризмом и преступностью. Государственным органам, которые этим занимаются, нужен доступ к информации, которую распространяют некоторые сайты или пользователи. Получить такой доступ без этого закона было сложно, а с ним проще.