В 2021 году существенно поменялись правила и принципы работы с персональными данными. Если кадровое делопроизводство на предприятии передано на аутсорс, у руководства нет поводов для беспокойства: специалисты следят за актуальными изменениями и своевременно вносят корректировки в документацию. Если же за кадровую документацию отвечает сотрудник предприятия, ему необходимо детально изучить все изменения, в том числе – и новое Положение о федеральном госконтроле за обработкой персональных данных (ПД), которое в РФ действует с 1-го июля 2021 года.
Детально расскажем о нововведениях, правилах организации работы с ПД и ответственности за нарушение требований законодательства.
Правовые основания для внесения изменений в порядок контроля за обработкой ПД
В июне, 29.06.2021 г. было принято Постановление Правительства N 1046 «О федеральном гос. надзоре за обработкой ПД и соответствующее Положение. С 01.03.2021 г. вступили в силу изменения в ФЗ №152-ФЗ от 27.07.2006 «О персональных данных», и с 01.09.2021 года вступил в силу Приказ РКН № 18 от 24.02.2021 г. «Об утверждении требований к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения».
Кроме того, с 01.07.2021 года вступил в силу ФЗ N 248-ФЗ от 31.07.2020 «О гос. и муниципальном контроле в РФ».
Данные нормативно-правовые акты закрепили и детализировали особенности проведения проверок и внесли существенные изменения в данную процедуру. Так, с 1-го июля 2021 года:
- Установлены 2 объекта контроля Роскомнадзора (РКН) в процессе гос. проверок, это: деятельность операторов обработки ПД и задействованных ими третьих лиц; результаты деятельности операторов в сфере обработки ПД и соблюдения мер по защите ПД.
- Внедряется риск-ориентированный подход при проведении проверок. Определено 5 категорий объектов контроля РКН в зависимости от степени риска причинения вреда в процессе обработки ПД.
- Определены критерии отнесения к категориям и классам риска (опасности).
- Определены частота и тип проверок для каждой категории риска.
- Устанавливаются единые принципы организации и осуществления федерального гос. контроля за обработкой ПД.
Виды проверок Роскомнадзора
РКН проводит плановые и внеплановые проверки. Они могут быть выездными и документарными (до 10 дней). Также появится новый вид контроля – инспекционный визит, который длится 1 день. В ходе визита инспектор может проводить осмотр, опрос, истребовать письменные документы и объяснения.
На основании п.41 Положения № 1046 контролирующие органы имеют право проводить фото-, аудио- и видеофиксацию документов и процесса проверки, в том числе – с использованием ПК, ноутбуков, съемных носителей информации и мобильных телефонов, принадлежащих контролирующим лицам.
Любая проверка проводится на основании решения, подписанного главой РКН, его замом либо руководителями территориальных органов РКН и их замами.
Планирование проверок Роскомнадзором
При планировании проверок используется риск-ориентированный подход: чем выше риск, тем чаще проводятся проверки. Для этого в п. 9 и п. 12 Положения № 1046 было введено 5 категорий риска и закреплена периодичность проверок РКН для каждой из категорий:
- Высокий риск: инспекционный визит или выездная проверка проводятся 1 раза в 2 года.
- Значительный риск: визит инспектора или выездная проверка каждые 3 года.
- Средний риск: визит инспектора, выездная либо документарная проверка 1 раз в 4 года.
- Умеренный риск: выездная или документарная проверка каждые 6 лет.
- Низкий риск: проверки не требуются.
Важно: критерии отнесения объекта контроля к той или иной категории детально описаны в соответствующем Приложении к Положению № 1046. Учитываются виды деятельности по обработке ПД (например, обработка биометрических ПД; сбор ПД, в т.ч. в сети Интернет, осуществляемый с использованием баз данных за пределами РФ и пр.), а также вероятность несоблюдения контролируемыми лицами требований закона.
План проверок на текущий год можно найти на сайте Роскомнадзора.
Обратите внимание! Напомним, в 2021 году действует мораторий на плановые проверки субъектов малого бизнеса, обрабатывающих ПД. Недавно он был продлен правительством и на 2022 год. Но внеплановые проверки могут проводиться при поступлении жалоб от сотрудников, чьи права были нарушены работодателями.
Как подготовиться к проверке оператору обработки ПД?
В ходе проверки инспектор проверяет соблюдение мер защиты ПД (п. 7 нового Положения №1046) и наличие всех необходимых документов, в частности:
- Положения о ПД. Документ обязателен для всех предприятий (ч. 1 ст. 86, ст. 87 ТК РФ).
- Политики обработки ПД. Обязательна для владельцев сайтов, если на них есть возможность подписаться на рассылку или оставить свои контактные данные (ст.18.1. закона №152 ФЗ).
- Приказа о назначении ответственным за ПД.
- Согласия на обработку ПД всех лиц, чьи данные обрабатывает организация (ст. 6, ст. 9 закона № 152-ФЗ).
- Согласия на распространение ПД (ст. 10.1 закона № 152-ФЗ) – обязательно с 01.03.2021 г., если организация передает данные.
- Уведомление РКН о начале обработки ПД.
Важно! Формы согласия на обработку ПД и согласия на распространение ПД регулярно меняются, в т.ч. изменения были в марте и сентябре 2021 года, поэтому руководителю компании и ответственным лицам необходимо следить за обновлениями, если кадровое делопроизводство не передано на аутсорс.
Штрафы за нарушения в сфере обработки ПД
К надзорным мероприятиям в сфере обработки ПД необходимо относиться крайне серьезно, так как штрафы достигают 500 000 руб.
Ответственность в сфере работы с ПД регламентируется ст. 13.11 КоАП РФ. К примеру, пунктами 2, 2.1 статьи 13.11 КоАП РФ при нарушении оформления согласия на обработку ПД предусмотрен штраф для юр. лиц до 150 000 руб., для должностных лиц – до 40 000 руб. За повторное нарушение штраф для юридического лица составит 300 – 500 тыс., для должностного – 40 – 100 тыс.
Чтобы избежать нарушений и привести документацию в соответствие с требованиями нового законодательства, рекомендуем обратиться в специализированную компанию – «СтарКонсалтинг», и провести аудит всех документов, касающихся работы с ПД. Это позволит подготовиться к грядущим плановым проверкам и актуализировать все формы.