Проверка Роскомнадзора: тонкости прохождения проверки

Проверка Роскомнадзора: тонкости прохождения проверки

Какие проверки ждут интернет-магазины

Как интернет-магазины соблюдают закон, следят три службы: Роскомнадзор, антимонопольная служба и Роспотребнадзор. Иногда они сами решают проверить интернет-магазин, а иногда действуют по жалобам. В статье рассказываем, что именно проверяют и как подготовиться к проверке.

Ещё об интернет-магазинах:

Маргарита Ледовских

Роскомнадзор следит за персональными данными

Роскомнадзор проверяет, как интернет-магазины соблюдают Федеральный закон «О защите персональных данных». Персональными данными считаются имена, телефоны и адреса электронных почт пользователей, которые относятся к конкретному человеку.

Штраф за персональные данные — статья 13.11 Административного кодекса

Когда интернет-магазин собирает что-нибудь из этого, он становится оператором персональных данных и должен зарегистрироваться в Реестре операторов. Если не зарегистрироваться, есть риск получить штраф до 5000 рублей.

Объявляю вас оператором персональных данных

Частично интернет-магазины Роскомнадзор проверяет без обращения к владельцу. Проверяющие заходят на сайт и смотрят:

  • есть ли политика обработки персональных данных пользователей;
  • текст согласия на сбор и обработку персональных данных пользователей;
  • нет ли разжигания розни, призывов к самоубийству или экстремизму в блоге, комментариях и отзывах — этого быть не должно. Владелец сайта отвечает за весь контент, и даже за тот, что публикуют пользователи на сайте.

Кроме сайта интернет-магазина Роскомнадзор может проверить:

  • внутренние документы компании. Это приказы о назначении ответственного за обработку персональных данных, перечень персональных данных, журнал учета логинов, приказ о сотрудниках, допущенных к персональным данным, и согласие на хранение персональных данных;
  • согласия сотрудников компании на обработку персональных данных. Кроме самого согласия проверяют, как магазин обрабатывает данные сотрудников и покупателей.

Чтобы проверка Роскомнадзора не принесла штрафов, нужно:

Еще понадобится подписать согласие на сбор и обработку персональных данных с сотрудниками компании, это правило действует для всех работодателей.

Антимонопольная служба проверяет рекламу

Федеральная антимонопольная служба, сокращенно ФАС, проверяет рекламу интернет-магазина и следит, чтобы конкуренция была добросовестной.

У интернет-магазинов антимонопольщики проверяют:

  • соблюдение закона о рекламе;
  • рекламу товаров, к которым есть специальные требования, например лекарств или оружия;
  • оригинальность логотипов и товарных знаков, наличие заимствования;
  • добросовестность конкуренции.

Штрафы за рекламу — статья 14.3 Административного кодекса

Вот главные правила:

  • указывать в рекламе название юрлица, ОГРН и адрес, как в реестре юрлиц. ИП указывают название и ОГРНИП;
  • использовать логотипы, слоганы и названия, которые сами разработали. Чужие можно ставить в качестве партнеров или рекламы;
  • соблюдать закон «О рекламе», то есть не оскорблять конкурентов и не обманывать покупателей.

За нарушения в рекламе ФАС может выписать штраф до 500 000 рублей.

Что нельзя рекламировать

По жалобам интернет-магазин проверяет Роспотребнадзор

Покупателей интернет-магазина защищает Роспотребнадзор. Он следит, как соблюдается закон «О защите прав потребителей».

Роспотребнадзор приходит в интернет-магазин с проверками, если есть жалобы. По моему опыту, обычно жалуются на четыре вещи:

  • интернет-магазин не доставил товар;
  • доставил, но товар испорчен или с браком;
  • привез товар в неполной комплектации, например кастрюлю без крышки, стул без ножек;
  • магазин отказался принять товар назад.

Если поступила жалоба, Роспотребнадзор расследует конкретную жалобу, всё подряд проверять не станет. Интернет-магазин попросят прислать документы по списку, и их лучше отправить по первой просьбе.

Документы, которые запрашивает Роспотребнадзор, зависят от жалобы покупателя. Например, если покупатель пожалуется на то, что магазин не заменил ему бракованный товар, Роспотребнадзор запросит:

  • договор поставки;
  • сертификаты качества;
  • лицензию на продажу;
  • объяснение, почему не сделали возврат.

Без жалоб покупателей Роспотребнадзор обычно не интересуется интернет-магазинами.

Как работать без жалоб покупателей

Чтобы не было проблем с Роспотребнадзором, надо идеально соблюдать закон. Всегда доставлять товар вовремя, в полной комплектации и без единой царапинки. И желательно, чтобы курьер при этом пах Шанелью, улыбался и делал реверанс. Тогда жалоб не будет.

Но невозможно всё идеально отследить. Бывает, компания выбирает лучшую службу доставки и проверяет каждую коробочку лично, но однажды коробочка достается курьеру-новичку, который забывает о доставке в нужный день, а нужный день оказывается днем рождения будущей жены покупателя. Защиты от этого нет, поэтому понадобится выстроить процесс работы с жалобами.

  • реагируйте на жалобу покупателя сразу, как только он позвонил или написал в чат поддержки. Не заставляйте его ждать и обращаться в Роспотребнадзор;
  • признайте вину, если она есть, и предложите замену товара, бонусы для следующей покупки или скидку.

Если всё-таки пришел Роспотребнадзор и запрашивает документы, соберите всё по списку и отдайте не позже, чем через неделю после запроса.

Проверки Роскомнадзора по защите персональных данных

Проверки операторов персональных данных в 2020 году

Постановлением Правительства РФ от 13.02.2019 № 146 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.

Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений.

В связи с тем, что постановление № 146 принято не так давно, Роскомнадзор при проверках персональных данных в 2019 году был ограничен. Не все предусмотренные Правилами инструменты могли быть использованы ведомством в 2019 году, поскольку планы проведения надзорных мероприятий ведомством еще не был сформированы.

Виды надзорных мероприятий Роскомнадзора

Правила организации и осуществления государственного контроля и надзора предусматривают следующие виды проверок Роскомнадзора по защите персональных данных:

  • плановые — раздел II;
  • внеплановые — раздел III;
  • документарные — раздел VI;
  • выездные — раздел VII.

Документарная проверка может проводиться только в ходе плановой (п. 25), выездная же проверка может быть как плановой, так и внеплановой.

В отношении плановых мероприятий Правила в п. 5 указывают, что они проводятся на основании ежегодного сформированного плана, подлежащего размещению в интернете (на официальном сайте РКН и его территориальных органов). Каждый оператор может ознакомиться с ежегодным планом и при обнаружении в нем себя провести подготовку к проверке Роскомнадзора по персональным данным.

Такие проверки, согласно п. 6 Правил, проводятся не чаще 1 раза в 3 года. При этом 3-летний срок отсчитывается либо с даты начала деятельности оператора персональных данных, либо с даты окончания предыдущей проверки.

Внеплановая же проверка осуществляется вне графика по основаниям, указанным в п. 8 Правил. К таковым, в частности, относятся, обращение гражданина, неисполнение оператором ранее выданного предписания и др.

Акт проверки

По результатам проверки орган РКН, в соответствии с п. 42 и абз. 2 п. 44 Правил, составляет акт проверки и вручает его руководителю проверяемого лица или иному уполномоченному представителю. Из раздела VIII Правил следует, что итоговый акт должен содержать, в частности:

  • сведения о должностном лице, непосредственно проводившем проверку;
  • указание вида проводимой проверки и ее обстоятельства;
  • описание выявленных нарушений;
  • ссылки на нормы закона или подзаконных актов, которые были нарушены проверяемым лицом.

Если должностное лицо РКН не выявило никаких нарушений, то в заключении акта проверки Роскомнадзора по защите персональных данных делается соответствующая отметка (п. 43 Правил).

Вручение акта осуществляется лично представителю оператора персональных данных. При этом уполномоченный представитель ставит свою подпись об ознакомлении с актом и получении его второго экземпляра. Также акт может направляться почтовым отправлением с уведомлением о вручении.

П. 44 Правил допускает возможность составления акта в форме электронного документа, подписываемого усиленной квалифицированной электронной подписью. Такой документ направляется оператору в течение 10 дней после подписания.

Проверка Роскомнадзора: тонкости прохождения проверки, о которых Вам не расскажет ни один контролирующий орган

Частенько, получив письмо о проведении плановой проверки Роскомнадзора, компании вдаются в панику и готовят себя к самому худшему исходу. Давайте разбираться вместе, как проходит проверка Роскомнадзора, где узнать о ее проведении заранее, как провести аудит по персональным данным, и на что обратить внимание, чтобы обезопасить компанию от штрафа, который может составить свыше 6 000 000 рублей. (КоАП РФ Статья 13.11. «Нарушение законодательства Российской Федерации в области персональных данных»).

proverka-roskomnadzora

Проверка Роскомнадзора — как заранее узнать о проведении проверки?

Посмотреть планируется ли плановая проверка в отношении Вашей организации достаточно легко. Эта информация ежегодно публикуется в едином реестре проверок Роскомнадзора и является общедоступной.

В соответствии с Постановлением Правительства №146 от 13 февраля 2019 г. «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» плановые проверки по общим правилам проводятся не чаще одного раза в 2 года со дня окончания его последней плановой проверки. О начале проведения проверки контролирующий орган должен уведомить организацию в срок не позднее, чем за три рабочих дня до начала ее проведения, направив копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица.

Рекомендуем заранее проверять наличие организации в реестре проверок на будущий год и начать готовиться к мероприятию, не дожидаясь официального уведомления РКН.

Роскомнадзор постучался в дверь – с чего начнется проверка Роскомнадзора в 2020 году

В этом году к нам обратился клиент за сопровождением их организации при прохождении проверки Роскомнадзора и за предварительным аудитом процессов работы с персональными данными в компании. На их примере мы и рассмотрим, как проходила проверка и какие подводные камни встретились нам при ее прохождении.

Обычно проверка Роскомнадзора проходит в три этапа. Как же прошла у нас проверка на практике?

На практике понедельник начался со стука в дверь контролирующего органа и предъявления служебного удостоверения участника проверки. Совместно с удостоверением сотрудник вручил нам заверенную копию приказа о проведении проверки, который заранее был утвержден комиссией и сделал запись в журнале проверок юридического лица.

Как правило, на следующем шаге, большинство организаций зарабатывают минус к карме и запись в справке о результатах проведения проверки. Мы же с компанией заранее постарались предусмотреть все тонкости, а именно: встретить проверяющую комиссию уполномоченным лицом, которое представляет интересы оператора персональных данных при проведении проверки с соответствующим распоряжением и доверенностью на право представления юридического лица при проверке. Таким лицом в организации, как правило, является человек ответственный за организацию обработки персональных данных, понимающий процессы работы с персональными данными внутри компании, например, руководитель организации, исполнительный директор и др.

После официального знакомства комиссия вручила нам письменный запрос на предоставление перечня документов для проверки, исходя из данных, заявленных в уведомлении о начале обработки персональных данных. Обратите внимание, документ должен быть подписан председателем комиссии, а запрашиваемая информация должна быть строго в соответствии с информацией в документе.

Так же рекомендуем скрупулезно подойти к отражению действительности по обработке персональных данных при отправке уведомления в Роскомандозор, поскольку в документе должны быть четко отражены цели обработки персональных данных, категории обрабатываемых персональных данных, сроки обработки персональных данных и другие важные моменты работы вашей компании. В этом случае надеяться на русское «авось» или попросту скачать файл из интернета нельзя, поскольку цели, субъекты обрабатываемых персональных данных, категории будут сильно разниться с документами сторонней компании даже схожей по специфике и сфере деятельности с Вашей. (Подробнее об отправке уведомления в РКН).

На случай, если проверяющие органы выявили несоответствие сведений в уведомлении с фактической деятельностью организации, уполномоченное лицо займется проверкой документации, свидетельствующей об уведомлении уполномоченного органа об изменении сведений, содержащихся в уведомлении. К счастью, перед проверкой РКН совместно с клиентом мы обнаружили данный недочет и своевременно подали данные в РКН на внесение изменений. Изменения необходимо было отразить постольку незадолго до прохождения проверки клиентом были дополнены цели обработки персональных данных и категории обрабатываемых персональных данных.

Так же у компании целей для обработки персональных данных оказалось гораздо больше, чем просто работа с персональными данными сотрудников компании. Поэтому следующие несколько часов мы совместно с представителями РКН погрузились в плавание: по серверным мощностям, договорам аренды облачных серверов, по проверке наличия форм согласия и политики конфиденциальности на сайте компании и продуктовых страницах.

Опыт прохождения проверки Роскомнадзора 2020

В 2020 году нам посчастливилось сопровождать проверку одного из клиентов.В этот раз помимо локальных документов по персональным данным особый акцент при проверке РКН сделал на безопасность размещения баз персональных данных на серверах и использование интернет-сервисов для аналитики, сбора и обработки данных о посетителях и пользователях сайта (Яндекс.Метрика и Google Analytics).

Подробно про этапы прохождения этой проверки мы уже упоминали в статье «Проверка Роскомнадзора: тонкости прохождения проверки, о которых Вам не расскажет ни один контролирующий орган», а сейчас мы тезисно поделимся информацией о том, на что проверяющий орган обратил внимание в первую очередь.

Если у Вашей компании есть хранилища для базы персональных данных, будьте готовы к тому, что на серверные мощности, где хранятся и обрабатываются данные, проверяющие запросят документацию и договоры аренды технических мощностей (на случай, если используются арендуемые облачные хранилища данных). Так же будут запрошены блок-схемы размещения рабочих мест, на которых осуществляется хранение персональных данных в офисе и договоры аренды помещений, используемых под хранение личных дел сотрудников.

Обратите внимание, если в компании практикуются частые переезды с места на место перед прохождением проверки тщательно перепроверьте, чтобы все было на своих местах и поправьте блок-схему, если есть необходимость. Например, в нашем случае пришлось экстренно вносить правки в документы, поскольку не так давно рабочие места, на которых осуществлялось хранение персональных данных в компании были перемещены в другой корпус и документы нуждались в коррекции.

Отдельно уделите внимание проверке всех форм обратной связи на сайте компании и готовящихся к выходу продуктовых страничках на наличие прикрепленной политики по обработке персональных данных к форме и на наличие отметки о согласии с обработкой персональных данных.Это принципиально важные моменты, которые точно при обнаружении нарушений не останутся без внимания РКН.

Все мы знаем, что интернет-сервисы Google Analytics и Яндекс.Метрика позволяют собирать данные о посещениях сайта пользователем.

Поэтому если Ваш отдел маркетинга активный пользователь данных интернет-сервисов или их аналогов, обязательно укажите эту информацию в:

  • Политике в отношении обработки персональных данных.
  • Проинформируйте посетителей сайта, о том, что ведется использование cookie-файлов для наилучшего представления сайта.
  • Предусмотрите кнопку принятие согласия на использование cookie-файлов.

чтобы исключить вероятность записи в части нарушения требований ч.1 ст.6 Закона о персональных данных.

Не забывайте, что любая проверка как правило сопровождается длительной подготовкой к ее прохождению. Для компании, являющейся оператором персональных данных проверка Роскомнадзора имеет особое значение, ведь не так давно сумма штрафов стала достигать до 6 000 000 рублей. (КоАП РФ Статья 13.11. «Нарушение законодательства Российской Федерации в области персональных данных»).

Берегите себя и персональные данные ваших клиентов и соискателей!

Будьте в курсе последних изменений в сфере защиты персональных данных с Командой «ПДМастер» подписаться на канал

Читайте также  Что должен знать мастер строительных и монтажных
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector