Проверка Роскомнадзора по защите персональных данных: что проверяют

Что проверяет Роскомнадзор по персональным данным?

В предыдущем материале мы рассказали, что интересует ФСБ при проверке, связанной с персональными данными. Сейчас мы поговорим о Роскомнадзоре. Если Федеральную Службу Безопасности по большей части интересует технический вопрос, как хранятся, обрабатываются персональные данные, то Роскомнадзор акцентирует свое внимание на организационных мерах.

Чем руководствуются?

Список основных документов, содержащих правовые основания для проверки выглядит следующим образом:

Что проверяют?

Проверяют условия обработки персональных данных, делая упор исключительно на состоянии организационных мер по защите информации. В технические меры не углубляются, хотя обязательно посмотрят все информационные системы персональных данных в организации. Накануне проверки срочно устанавливать пароли на всех компьютерах нет особой необходимости, на это обращать внимания не будут.

А конкретнее?

Если конкретнее, то стоит отметить, что в разных регионах специфика проверок разная. В этом мы убедились из опыта общения с различными учреждениями, «коллегами по цеху» и непосредственно представителями проверяющего ведомства. Единую таблетку от всех проверок выписать невозможно, однако сформулировать ряд рекомендаций – вполне.

Итак, в базе Роскомнадзора должны быть сведения об операторе персональных данных, то есть, о вас. Есть исключения, но, если к вам идет проверка – значит, вы, скорее всего, у них в базе числитесь. Сведения должны быть актуальными.

Ваш сайт должен соответствовать требованиям законодательства. То есть, если у вас есть разделы «обратная связь», «обращение граждан» или другие подобные формы, на которых вы собираете любые данные о физических лицах, то вы обязаны взять с этого лица согласие на обработку его персональных данных. В настоящее время идут споры о том, является ли простановка галочки в чек-боксе юридически значимым действием, однако, сами проверяющие относятся к этому вполне лояльно. Кроме того, законодательство обязывает организацию разместить на сайте «Политику в отношении обработки персональных данных». Желательно размещать ее в таком месте, чтобы ее можно было найти как можно проще.

Что касается списка документов по защите персональных данных для проверки Роскомнадзора, то можно выделить следующие основные группы документов:

• По неавтоматизированной обработке персональных данных. Включают в себя перечень мест хранения бумажных носителей персональных данных, лиц, имеющих к ним доступ, и положение о неавтоматизированной обработке персональных данных;
• О приеме обращений субъектов персональных данных. Включает в себя положение о порядке приема обращений, набор шаблонов заявлений и обращений по этому вопросу;
• Для работы отдела кадров. Включают в себя согласия на обработку персональных данных работников и журнал ознакомления сотрудников с положениями по защите персональных данных в организации;
• По установлению уровня защищенности для информационных систем персональных данных. Включают в себя акты установления уровня защищенности информационных систем персональных данных и положения о мерах по обеспечению принятых уровней защищенности;
• О назначении ряда ответственных сотрудников по работе с персональными данными. Включают в себя назначения ответственного за организацию обработки персональных данных, ответственного за обеспечение контролируемой зоны, ответственного за безопасность информации, ответственных за обеспечение конфиденциальности персональных данных во всех подразделениях;
• По защите от несанкционированного доступа. Включают в себя положения о порядке устранения последствий от несанкционированного доступа, назначения ответственного за восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• По правилам уничтожения персональных данных. Включают в себя положения об уничтожении персональных данных, назначение комиссии по уничтожению персональных данных, акты уничтожения материальных носителей персональных данных;
• О разграничении доступа к персональным данным. Включают в себя списки сотрудников, допущенных до обработки персональных данных, списки сотрудников, допущенных в кабинеты и/или информационные системы персональных данных, положения о разграничении прав доступа, матрицу доступа, инструкции пользователям и администраторам;
• По работам с персональными данными. Перечень носит объемный характер и, в общем случае, содержит множество инструкций, регламентов и правил, описывающих хранение и передачу персональных данных внутри организации.

Безусловно, не стоит забывать про модель угроз. Сам документ проверяющие из РКН не смотрят, но им важно его наличие. Модель угроз – это вотчина ФСТЭК, но это тема совершенно другой статьи.

Как будут проверять операторов персональных данных

23 февраля вступили в силу правила проверки операторов персональных данных. Раньше правил вообще не было, только регламент Роскомнадзора. Теперь всем владельцам сайтов, рассылок, магазинов с программами лояльности, форумов и любого бизнеса с наемными работниками станет понятно, как их будут проверять.

Источник:
Постановление правительства от 13.02.2019 № 146

В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.

Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.

Коротко о правилах проверок

Основные изменения для операторов персональных данных:

1. Проверки могут быть плановыми и внеплановыми, документарными и выездными.
2. Плановые проверки проводят раз в два или три года. Срок проверки — 20 дней. Предупреждают за три дня.
3. Внеплановые проверки могут проводить без ограничений после жалобы. Срок сократили в два раза — до 10 рабочих дней. Предупредят за сутки.
4. Документы для документарной проверки нужно приготовить за пять дней. Раньше давали 10.
5. Внеплановая проверка может быть только выездной.
6. Стало больше оснований для продления проверки.
7. Запрос на основании обращений граждан не считается проверкой.
8. Роскомнадзор может следить за работой и публикациями оператора в СМИ и интернете. Теперь итоги такого наблюдения — повод для внеплановой проверки.

Кого это касается?

В постановлении написано, как будут проверять операторов персональных данных. Операторы персональных данных — это люди, предприниматели и компании, которые получают, хранят и обрабатывают информацию о других людях. Например, о своих клиентах и работниках. Для них есть специальный закон. А теперь еще и правила проверок.

Вот примеры, которые попадают под действие этих документов:

1. Владелец сайта просит подписаться на рассылку. Посетители оставляют имя, фамилию и электронную почту.
2. Покупатели заказывают товары в интернет-магазине. Продавец получает от них имена, телефоны и домашние адреса для доставки.
3. Обычный магазин пробивает покупателю чек и отправляет его на номер телефона.
4. Самозанятый сдает квартиру и получает от арендатора адрес электронной почты и номер телефона для обязательной отправки чека из приложения.
5. Инфобизнесмен создает форум о криптовалютах, где люди регистрируются, добавляют свои фото и общаются.
6. Молодая мама создает сообщество для совместных закупок и обмена вещами. Там регистрируются такие же мамы, оставляют свои телефоны, профили в соцсетях и платежные данные.
7. Медицинский центр берет анализы у пациента и оформляет его на прием к врачу.
8. Компания нанимает работников по трудовым договорам, берет их паспортные данные, СНИЛС и домашние адреса.
9. Школа принимает заявления от родителей на прием детей в первый класс.
10. Бизнес-центр просит паспорт посетителя, чтобы оформить ему одноразовый пропуск.

Все эти владельцы сайтов, магазинов, бизнес-центров, форумов, рассылок и обычные работодатели — операторы персональных данных. Они должны соблюдать закон, оформлять документы и, когда положено, — уведомлять Роскомнадзор.

Любого из них могут проверить — по плану или внезапно. И оштрафовать, если найдут нарушения. А может, даже закрыть магазин и заблокировать сайт.

Что такое персональные данные

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать.

Точного списка таких данных нет, но в методичке Роскомнадзора есть примеры:

1. Фамилия, имя, отчество.
2. Дата и место рождения.
3. Адрес.
4. Семейное и социальное положение.
5. Имущество и доходы.
6. Образование и профессия.
7. Специальные данные: раса, национальность, религия, здоровье, политические взгляды. Эти данные нельзя обрабатывать.
8. Биометрические данные: фотография, образец голоса, отпечатки пальцев.

На что имеют право проверяющие

Чтобы операторы персональных данных не раздавали информацию о своих клиентах всем подряд, надежно ее хранили и удаляли по требованию, Роскомнадзор проводит проверки, находит нарушения, выносит предупреждения и штрафует.

Права представителей Роскомнадзора строго регламентированы, но их немало. Вот что они могут делать во время проверки операторов персональных данных:

1. Запрашивать информацию и документы.
2. Посещать и обследовать помещения, где работает оператор.
3. Выдавать предписания об устранении нарушений.
4. Использовать технику и оборудование для проверки и наблюдения.
5. Получать доступ к программам и базам оператора, просматривать информацию, которая нужна именно для проверки условий хранения данных.
6. Требовать прекращения обработки и удаления данных, если нарушены требования.
7. Составлять протоколы об административном правонарушении.
8. Обращаться в полицию и прокуратуру, если оператор не пускает в помещение и мешает проверке.
9. Запрашивать устные и письменные пояснения в ходе проверки.

Эти права у проверяющих есть не только в ходе выездной проверки, но и при наблюдении за тем, как оператор персональных данных работает, что публикует и как собирает информацию. При этом оператор может об этом даже не знать. Дальше расскажем, что такое наблюдение и чем оно грозит операторам.

Какие обязанности у проверяющих

При проверке операторов персональных данных должностные лица из Роскомнадзора обязаны:

1. Вовремя находить и пресекать нарушения.
2. Проводить проверки только на основании приказа. Всегда требуйте этот документ.
3. Проводить выездную проверку только при исполнении служебных обязанностей.
4. Предъявлять удостоверение и копию приказа.
5. Не мешать руководителю или уполномоченным сотрудникам компании присутствовать при проверке, отвечать на их вопросы.
6. Рассказывать о результатах проверки.
7. Принимать меры с учетом тяжести нарушений.
8. Не ограничивать права и не нарушать интересы оператора без веских оснований.
9. Соблюдать сроки проверки.

Любое нарушение — повод обжаловать результаты проверки, ее продление и даже сам факт проведения. Если что-то идет вразрез с правилами, фиксируйте детали и отправляйте жалобу руководству управления Роскомнадзора.

Плановые проверки — раз в три года

Плановая проверка — это когда Роскомнадзор заранее, на год вперед, составляет план проверок и размещает его в открытом доступе. Кто угодно может проверить, придут к нему в этом году или нет. В плане указана дата проверки, так что можно подготовиться.

Как предупредят. О плановой проверке предупредят за три рабочих дня любым доступным способом: отправят копию приказа по почте, пришлют электронное уведомление или как-то еще.

Когда могут прийти. Раньше было три основания для таких проверок, теперь только эти:

1. Прошло три года с регистрации фирмы или ИП.
2. Последнюю плановую проверку проводили три года назад.

График плановых проверок нужно искать в реестре Генпрокуратуры.

Как часто. Плановые проверки проводят раз в три года. Но теперь могут приходить и каждые два года. Это особые случаи: например, обработка биометрических данных или передача информации за границу.

Сколько длится. Плановые проверки проводят максимум 20 дней. Так было и раньше. Один раз проверку могут продлить.

Внеплановые проверки — на основании жалоб и наблюдений

Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.

Как предупредят. О внеплановой проверке предупредят за сутки.

Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.

Вот эти основания:

1. Оператору выдали предписание для устранения нарушений, а он его игнорирует.
2. Кто-то из людей пожаловался и приложил доказательства, что оператор нарушает их права.
3. Есть поручение президента или правительства.
4. Потребовал прокурор.
5. Руководителю принесли докладную записку по итогам наблюдения за оператором: мол, тут товарищи нарушают, надо бы их проверить. И глава управления Роскомнадзора согласился и решил: проверяйте. Раньше такой причины для проверок не было.

Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают. Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами. И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.

Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.

Сколько длится. Внеплановая проверка длится максимум 10 рабочих дней. Срок сократили в два раза, но один раз могут продлить.

Внеплановые проверки могут быть только выездными

Раньше внеплановая проверка могла быть документарной. Это когда просят документы. Больше документарных внеплановых проверок не будет. Значит, если вынесут решение о выездной проверке, нужно ждать гостей с удостоверениями: придут по месту регистрации или фактической работы.

Документы для проверки нужно приготовить за пять дней

Если проверка документарная, бумаги должны быть готовы в течение пяти рабочих дней. То есть и этот срок сократили в два раза. С оригиналов документов нужно сделать заверенные печатью и подписью копии и передать в Роскомнадзор. Можно отправить через интернет с усиленной подписью. Дата представления документов — это не дата отправки, а дата штампа о приемке Роскомнадзором.

Если в документах найдутся противоречия, Роскомнадзор запросит пояснения. Их придется представить в течение трех рабочих дней. Раньше для уточнения давали 10 дней.

Запрос из-за обращений граждан — это не проверка

Любой человек, которому кажется, что его данные неправильно обрабатывают, передают кому-то без разрешения или не удаляют по требованию, может написать обращение в Роскомнадзор. Каждое такое обращение обязаны рассмотреть и дать на него ответ.

Для ответа Роскомнадзору могут понадобиться пояснения интернет-магазина, банка, автора рассылки или службы доставки. Тогда им пришлют запрос: тут к вам претензии, поясните ситуацию. Этот запрос не считается документарной проверкой. Для него не нужен приказ и график на год вперед.

Как проводят выездную проверку

Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.

Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.

Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.

Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.

Когда проверку могут продлить

Для каждой проверки есть сроки ее проведения. Проверяющие не могут дольше изучать документы, осматривать компьютеры и опрашивать сотрудников. Но есть причины продлить проверку. Раньше была только одна и в исключительном случае: когда объем работы очень большой. Теперь причин для продления больше:

1. В процессе проверки поступила информация о нарушении обработки персональных данных.
2. Случился форс-мажор на месте проверки: офис затопило или что-то загорелось.
3. Оператор персданных не представляет документы, которые у него просят.
4. Выяснилось, что предстоит много работы: сложные процессы, большой объем документов, несколько видов деятельности.

Проверку могут продлить только на основании приказа. С ним обязательно знакомят оператора в течение трех дней после того, как приняли решение увеличить срок.

Как оформляют результаты проверки

Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.

Если не согласны с актом, пишите возражения и обжалуйте результаты проверки.

Если находят нарушения

Если оператор персональных данных что-то нарушил, ему выдадут предписание: устраните нарушения в такой-то срок. Максимальное время для устранения — 6 месяцев. Но конкретному оператору могут дать и меньше. Раньше этот период регламент не ограничивал.

Когда нарушение устранят, об этом нужно сообщить в Роскомнадзор. Если предписание не исполнено или не все нарушения устранили, может прийти внеплановая выездная проверка. А если в результате нарушаются права тех, чьи данные обрабатывают, Роскомнадзор может вообще запретить обработку, пока все не исправят. Для бизнеса это может означать приостановление деятельности.

За нарушения при обработке персональных данных могут вынести предупреждение, а могут оштрафовать: юрлицо — отдельно, директора — дополнительно.

Что такое контроль без взаимодействия с оператором

Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:

1. Как соблюдаются требования при размещении информации в СМИ и интернете.
2. Какие данные и документы оператор представляет в Роскомнадзор.

Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.

Для наблюдения должно быть задание. А для задания нужны причины:

1. поручение президента, правительства или руководителя Роскомнадзора;
2. обращения госорганов, компаний, предпринимателей, обычных людей;
3. публикации в СМИ и интернете о нарушении прав при обработке персданных.

Если по итогам наблюдения найдутся нарушения или покажется, что они есть, проверяющий пишет докладную записку. Ее рассмотрит руководитель отделения Роскомнадзора и может назначить проверку. А может без проверки попросить устранить нарушения, заблокировать или уничтожить данные. Если не выполнить это требование, составят протокол и оштрафуют: фирму — на сумму до 45 тысяч рублей, ИП — на сумму до 20 тысяч.

Я самозанятый и работаю с физлицами. Мне что, тоже регистрироваться в Роскомнадзоре и получать согласие на обработку данных?

Быть оператором персональных данных — это не значит обязательно регистрироваться в реестре и всегда запрашивать согласие. Если вы получаете и храните чьи-то данные, вы уже оператор. ИП и юрлиц могут проверить планово и внезапно, вам нужно оформлять документы и соблюдать закон.

При этом не все операторы должны регистрироваться в реестре Роскомнадзора. И не всегда нужно получать согласие: по закону обрабатывать данные можно и без согласия.

Например, если вы запрашиваете электронную почту для отправки чека, согласие не нужно. Если просите адрес для доставки пиццы, согласие тоже не нужно. Так же и с уведомлением Роскомнадзора: если арендатор квартиры или покупатель торта передал вам данные для договора или доставки, это не повод регистрироваться в реестре. Но при этом вы оператор персональных данных и должны соблюдать остальные требования закона. Вас могут проверять, штрафовать и блокировать.

Проверки Роскомнадзора по защите персональных данных

• Проверки операторов персональных данных в 2020 году
• Виды надзорных мероприятий Роскомнадзора
• Акт проверки
• Итоги

Проверки операторов персональных данных в 2020 году

Постановлением Правительства РФ от 13.02.2019 № 146 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.

Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений.

В связи с тем, что постановление № 146 принято не так давно, Роскомнадзор при проверках персональных данных в 2019 году был ограничен. Не все предусмотренные Правилами инструменты могли быть использованы ведомством в 2019 году, поскольку планы проведения надзорных мероприятий ведомством еще не был сформированы.

Виды надзорных мероприятий Роскомнадзора

Правила организации и осуществления государственного контроля и надзора предусматривают следующие виды проверок Роскомнадзора по защите персональных данных:

• плановые — раздел II;
• внеплановые — раздел III;
• документарные — раздел VI;
• выездные — раздел VII.

Документарная проверка может проводиться только в ходе плановой (п. 25), выездная же проверка может быть как плановой, так и внеплановой.

В отношении плановых мероприятий Правила в п. 5 указывают, что они проводятся на основании ежегодного сформированного плана, подлежащего размещению в интернете (на официальном сайте РКН и его территориальных органов). Каждый оператор может ознакомиться с ежегодным планом и при обнаружении в нем себя провести подготовку к проверке Роскомнадзора по персональным данным.

Такие проверки, согласно п. 6 Правил, проводятся не чаще 1 раза в 3 года. При этом 3-летний срок отсчитывается либо с даты начала деятельности оператора персональных данных, либо с даты окончания предыдущей проверки.

Внеплановая же проверка осуществляется вне графика по основаниям, указанным в п. 8 Правил. К таковым, в частности, относятся, обращение гражданина, неисполнение оператором ранее выданного предписания и др.

Акт проверки

По результатам проверки орган РКН, в соответствии с п. 42 и абз. 2 п. 44 Правил, составляет акт проверки и вручает его руководителю проверяемого лица или иному уполномоченному представителю. Из раздела VIII Правил следует, что итоговый акт должен содержать, в частности:

• сведения о должностном лице, непосредственно проводившем проверку;
• указание вида проводимой проверки и ее обстоятельства;
• описание выявленных нарушений;
• ссылки на нормы закона или подзаконных актов, которые были нарушены проверяемым лицом.

Если должностное лицо РКН не выявило никаких нарушений, то в заключении акта проверки Роскомнадзора по защите персональных данных делается соответствующая отметка (п. 43 Правил).

Вручение акта осуществляется лично представителю оператора персональных данных. При этом уполномоченный представитель ставит свою подпись об ознакомлении с актом и получении его второго экземпляра. Также акт может направляться почтовым отправлением с уведомлением о вручении.

П. 44 Правил допускает возможность составления акта в форме электронного документа, подписываемого усиленной квалифицированной электронной подписью. Такой документ направляется оператору в течение 10 дней после подписания.

Итоги

• Правила проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утверждены в начале 2019 года.
• После утверждения плана проведения проверок с ним можно будет ознакомиться на официальном сайте Роскомнадзора и, соответственно, подготовиться к проверке.
• Внеплановая проверка может быть осуществлена по заявлению гражданина, поручению президента или правительства либо в связи с невыполнением ранее выданного предписания.

Операторов обработки персональных данных начнут проверять по новым правилам

Как теперь будут проводиться проверки юрлиц и индивидуальных предпринимателей и как к ним подготовиться?

13 февраля 2019 г. Правительством РФ были приняты 1 Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Они вступили в силу 23 февраля и обязательны к применению Роскомнадзором, который и должен контролировать обработку таких данных.

Если вы собираете, храните и используете персональные данные, то мы рекомендуем вам ознакомиться с нововведениями в процедуре проведения плановых и внеплановых проверок, внесенными новыми Правилами.

Кто считается оператором обработки персональных данных и кого будут проверять?

Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных). Проверки операторов осуществляются согласно п. 1 Правил и ч. 1.1 ст. 23 Закона о персональных данных 2 .

В то же время из п. 6 Правил следует, что плановые проверки проводятся в отношении юридических лиц и индивидуальных предпринимателей. В отношении иных лиц, судя по всему, будут проводиться только внеплановые проверки.

Стоит учитывать, что на порядок осуществления таких проверок не распространяются положения Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» 3 (п. 20 ч. 3.1 ст. 1 этого закона). Это означает, что правительство вправе устанавливать иной порядок организации и проведения проверок, чем тот, который определен данным законом. Принятые Правила на данный момент в целом соответствуют Закону о проверках, но в последующем они могут быть изменены. Оператору при этом необходимо будет руководствоваться именно положениями Правил, а не нормами Закона о проверках.

По каким правилам раньше проводились проверки?

Ранее проверки и иные подобные мероприятия проводились на основании Административного регламента Роскомнадзора (далее – Регламент).

Он не был изменен и не утратил силу на момент подготовки данного материала. Однако применяться Регламент будет лишь в той части, которая не противоречит Правилам, поскольку они утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствие с Правилами в ближайшее время.

Как часто будут осуществляться проверки?

Пунктом 33 Регламента установлено, что плановые проверки проводятся один раз в три года. Данный срок указан и в п. 6 Правил.

Кроме того, определено специальное правило в отношении операторов:

• обрабатывающих персональные данные в государственных информационных системах;
• осуществляющих сбор биометрических или специальных категорий персональных данных;
• осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
• осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.

Плановые проверки таких операторов будут проводиться один раз в два года.

Как узнать, когда будет проводиться проверка?

Сведения о проведении плановых проверок должны быть включены в ежегодный план, размещаемый Роскомнадзором на своем официальном сайте. Кроме того, о плановой проверке ведомство должно уведомить оператора не позднее чем за три рабочих дня до начала ее проведения. Сообщается об этом заказным письмом или по электронной почте, если ее адрес размещен на сайте оператора.

О проведении внеплановой проверки Роскомнадзор обязан уведомить оператора любым способом не позднее чем за 24 часа до начала ее проведения.

Как долго проверка будет длиться?

Пунктом 20 Регламента было установлено, что срок проведения плановых и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были определены иные сроки проведения проверок: не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.

В новых Правилах сократили срок проведения внеплановых проверок. Теперь он составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней (п. 17 Правил). При этом в Правилах отсутствует указание на другие сроки проведения проверок для субъектов малого предпринимательства.

Также установлено правило исчисления сроков проведения проверок операторов, действующих на территории нескольких субъектов РФ. Они исчисляются в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней (п. 18 Правил).

В каких случаях возможны внеплановые проверки?

Регламентом предусмотрены следующие основания для проведения внеплановых проверок:

• неисполнение оператором выданного Роскомнадзором предписания об устранении нарушений;
• поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновении угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором своих обязанностей;
• приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением президента, правительства или прокуратуры.

В п. 8 Правил основания для проведения внеплановых проверок несколько изменены:

• они могут быть назначены после поступления в Роскомнадзор любых сведений о нарушении прав субъектов персональных данных, предусмотренных гл. 3 Закона о персональных данных. Например, если такой субъект сообщил об утечке информации;
• поручения президента и правительства, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановых проверок;
• они также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками этого ведомства мероприятий по контролю без взаимодействия с операторами (о них далее).

Как будет проходить проверка?

Проверки могут проходить в двух формах – документарной (когда Роскомнадзор проверяет предоставленные оператором документы без личной явки к нему) и выездной (когда проверка осуществляется сотрудниками Роскомнадзора по месту нахождения оператора).

Документарными могут быть только плановые проверки (п. 25 Правил). В этом случае Роскомнадзор запрашивает у оператора интересующие документы, которые он обязан представить в течение пяти рабочих дней со дня получения запроса. Непредставление сведений является основанием для привлечения к административной ответственности (ст. 19.7 КоАП РФ).

Если в документах будут выявлены ошибки или неточности, Роскомнадзор направит дополнительный запрос. Ответ на него оператор должен дать в течение трех рабочих дней. В противном случае Роскомнадзор вправе назначить выездную проверку. Она осуществляется по месту нахождения оператора и не может проводиться в отношении физических лиц, не являющихся индивидуальными предпринимателями (п. 32 Правил).

Оператор обязан обеспечить сотрудникам Роскомнадзора все условия для проведения проверки, в том числе представить запрошенные ими документы. По итогам составляется акт проверки (п. 42 Правил). В случае выявления нарушений оператору выдается предписание об их устранении. Также он может быть привлечен к административной ответственности.

Возможна проверка без взаимодействия с оператором?

Правилами регламентирована новая форма осуществления контроля – это мероприятия, которые проводятся без взаимодействия с операторами. В их рамках осуществляются:

• проверка информации, размещенной оператором в интернете и СМИ, – например, сведений о политике обработки персональных данных;
• анализ информации, предоставленной оператором или полученной Роскомнадзором от органов государственной власти в рамках межведомственного взаимодействия, – например, сведений, указанных оператором в уведомлении об обработке персональных данных.

Основаниями для проведения данных мероприятий являются поручения президента, правительства или руководителя Роскомнадзора, а также поступление в Роскомнадзор информации от физических или юридических лиц, из интернета или СМИ о нарушении прав субъектов персональных данных или обязательных требований. Например, причиной такой проверки могут стать размещенные в СМИ сведения о допущенной оператором утечке персональных данных.

Как подготовиться к проверке?

Следует учитывать, что Роскомнадзор в первую очередь обращает внимание на следующие моменты:

• было ли подано в Роскомнадзор уведомление об обработке персональных данных, которое требуется для включения в реестр операторов (ст. 22 Закона о персональных данных). Необходимо представить сведения о его направлении или сослаться на одно из оснований, позволяющих обрабатывать данные без уведомления Роскомнадзора. Перечень таких оснований предусмотрен ч. 2 ст. 22 Закона о персональных данных;
• если уведомление было подано – соответствует ли реальное положение дел данным, указанным в нем;
• соблюдены ли требования к неавтоматизированной обработке персональных данных: кто из сотрудников работает с ними, как хранятся документы;
• соблюдены ли требования к автоматизированной обработке данных (за исключением требований, связанных с безопасностью);
• утверждена ли политика обработки персональных данных. Если данные собираются через сайт компании – размещены ли сведения об этой политике на сайте;
• данные каких субъектов обрабатываются и на каком основании. Допустимые основания перечислены в ч. 1 ст. 6 Закона о персональных данных;
• если обработка осуществляется на основании согласия субъекта персональных данных – соблюдены ли требования закона к такому согласию (ст. 9 Закона о персональных данных);
• передаются ли персональные данные третьим лицам. Если да, соблюдаются ли требования закона, касающиеся передачи: наличие согласия субъекта; соответствующие условия в договоре с третьими лицами; требования, касающиеся трансграничной передачи данных;
• обрабатываются ли специальные категории персональных данных и биометрические данные. Соблюдены ли условия для такой обработки;
• соблюдаются ли требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).

Если осуществляется внеплановая проверка в связи с поступлением в Роскомнадзор сведений о нарушениях прав субъектов персональных данных или если ведомство выявило такие нарушения в ходе проведения дистанционного контроля – рекомендуется заранее предоставить пояснения по выявленным нарушениям.

Следует учитывать, что утвержденные Правила не распространяются на контроль и надзор за обеспечением безопасности обработки персональных данных, которая осуществляется в информационных системах, установленных в соответствии со ст. 19 Закона о персональных данных. Контролируют выполнение этих требований закона ФСБ и ФСТЭК.

Что будет, если проверяющие выявят нарушения?

В этом случае оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней. Также может быть назначена внеплановая проверка.

Невыполнение предписания уполномоченного органа является основанием для привлечения к административной ответственности (ч. 1 ст. 19.5 КоАП РФ) и наложения штрафа в размере до 500 руб. на граждан, до 2 тыс. руб. – на должностных лиц, до 20 тыс. руб. – на организации. Должностное лицо может быть также дисквалифицировано на срок до трех лет.

Кроме того, оператор может быть привлечен к административной ответственности (ст. 13.11 КоАП РФ), если в его действиях будут выявлены признаки правонарушения в сфере персональных данных. Например, если станет известно, что оператор не опубликовал сведения о политике обработки персональных данных, то он может быть привлечен к ответственности по ч. 3 ст. 13.11 КоАП РФ.

Что делать оператору, если он не согласен с результатами проверки?

Оператор может обжаловать действия проверяющих и их решения. Жалоба направляется руководителю территориального подразделения Роскомнадзора или руководителю ведомства, если нарушения допущены сотрудниками центрального подразделения. Жалоба может быть устной или письменной, в том числе в форме электронного документа, и должна быть рассмотрена должностным лицом в течение 30 дней со дня ее регистрации.

Акт проверки, составленный сотрудниками Роскомнадзора, может быть оспорен в досудебном порядке, описанном выше, либо в судебном порядке.

Привлечение оператора к административной ответственности может быть обжаловано в порядке, предусмотренном КоАП РФ.

1 Постановление Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

2 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3 Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора

Если предприниматель собирает информацию о клиентах или посетителях своего сайта, он становится оператором персональных данных. К ним относится практически любая информация: телефоны, ссылки на соцсети, адреса. Чтобы правильно обрабатывать данные, нужно выполнять требования Федерального закона № 152-ФЗ. В противном случае бизнес получит солидный штраф от Роскомнадзора.

В журнале Делобанка разобрались, какие данные считаются персональными и как правильно их собирать, чтобы не получить проблем для бизнеса.

Какие данные считаются персональными

Персональные данные — это любая информация, которая прямо или косвенно относится к человеку. Закон не конкретизирует перечень, но обычно суды и Роскомнадзор причисляют к ним:

фамилию, имя и отчество человека;

дату рождения, паспортные данные;

адрес проживания или регистрации;

данные о местоположении и перемещениях;

номера телефонов, адреса электронной почты;

фотографии, видеозаписи с участием человека;

IP-адреса устройств, ссылки на учетные записи.

Персональными данными считаются и куки. Это небольшие текстовые файлы, которые хранятся в браузере и содержат информацию о посещённых сайтах: время и дату просмотра, тип устройства, просмотренные товары и страницы. Куки помогают сайтам запоминать пользователей, чтобы не авторизоваться каждый раз. Такие данные относятся к персональным как по отдельности, так и в составе куки-файла.

Как понять, что я оператор персональных данных

Вот простой пример. Алина продаёт мыло ручной работы. Она запустила одностраничный сайт и разместила фото всех товаров. Чтобы клиентам было удобнее, на сайте есть форма для обратного звонка. Покупатели оставляют номер телефона, Алина перезванивает, уточняет заказ и договаривается о доставке. В этом случае Алина — оператор персональных данных, хоть и запрашивает только телефон.

Максим недавно открыл барбершоп. До сентября 2020 года он просто давал рекламу и привлекал новых клиентов. Персональные данные Максим не обрабатывал. Когда появилась постоянная аудитория, барбершоп ввёл программу лояльности — скидочные карты. Чтобы их оформить, клиенты оставляют фамилию, имя и номер телефона. Так Максим стал оператором персональных данных.

Операторы персональных данных — это любые компании и ИП, которые собирают информацию о пользователе. Фактически это любой предприниматель, который размещает в интернете формы для:

регистрации на сайте;

авторизации через соцсети;

ответного звонка или сообщения;

заказа товара или услуги;

подписки на рассылку;

Не имеет значения, как пользователь передает персональную информацию: по почте, на сайте, через соцсеть или в личном разговоре с менеджером. Каждый из случаев — это сбор персональных данных.

Не считаются операторами только:

Физические лица, которые собирают данные для личных или семейных нужд. Например, если человек записал номер телефона друга или спросил имейлы коллег, чтобы разослать приглашения на юбилей.

Компании, которые обязаны хранить архивные документы по закону «Об архивном деле» . Это государственные организации, которые занимаются делами Архивного фонда РФ.

Компании, которые обрабатывают данные, отнесенные к гостайне указом Президента . Это органы власти и государственные организации.

Чтобы собирать и обрабатывать персональные данные, не обязательно работать в интернете. Если магазин оформляет дисконтную карту покупателю и спрашивает его номер телефона — это тоже сбор персональных данных.

Как правильно собирать и обрабатывать данные

Сбор, хранение и обработку персональных данных регламентирует Федеральный закон № 152-ФЗ от 27 июля 2006 года . Он предусматривает четыре правила, которые бизнес обязан соблюдать, если собирает информацию о пользователях и клиентах.

Перенесите сайт и базы персональных данных на российские серверы и хостинги

Закон разрешает собирать информацию о пользователях только на территории России. Это значит, что компании не могут пользоваться услугами зарубежных хостинг-провайдеров, если работают с персональными данными. Чтобы не нарушать требование закона, перенесите сайт на российских хостинг.

Некоторые международные хостинг-провайдеры имеют серверы в России. В таких случаях переносить сайт на новый хостинг не придётся: просто договоритесь, чтобы его разместили на российских серверах.

Будьте осторожны с конструкторами сайтов. Обычно они используют собственные зарубежные хостинги, даже если работают с полной поддержкой русского языка. В таких случаях лучше заранее уточнять, где находятся серверы. Если Роскомнадзор обнаружит, что сервер с вашим сайтом расположен за рубежом, сайт заблокируют, а вам могут выписать штраф (о размерах мы рассказали в последнем разделе).

Зарегистрируйтесь в качестве оператора персональных данных

Если вы планируете собирать персональные данные, заранее сообщите об этом Роскомнадзору — ещё на этапе разработки сайта или форм для подписок. Это всего лишь уведомительный порядок: собирать кучу документов и ехать в офис Роскомнадзора не придётся.

Чтобы уведомить Роскомнадзор, заполните небольшую анкету на его официальном сайте . Вот что нужно указать:

реквизиты и контакты компании;

цель сбора и обработки данных;

перечень действий с данными клиентов;

виды данных, которые планируете собирать;

информацию о месте нахождения сайта и баз данных.

Когда заполните и отправите анкету через сайт, сохраните её на компьютер и распечатайте. Подпишите документ и направьте заказным письмом в управление Роскомнадзора по месту регистрации бизнеса. Это обязательное требование. Перечень управлений с названиями и адресами посмотрите на сайте ведомства .

После регистрации Роскомнадзор внесёт ваш бизнес в Реестр операторов персональных данных . Найдите в реестре компанию и разместите на своём сайте ссылку — это дополнительное подтверждение, что вы соблюдаете все требования закона.

Некоторые компании могут не уведомлять Роскомнадзор, если:

собирают данные только о собственных сотрудниках;

заключают с каждым пользователем согласие на обработку данных;

запрашивают только фамилии, имена и отчества;

обрабатывают данные только на бумаге;

обрабатывают данные в целях исполнения договора, заключённого с их владельцем (например, доставляют товар).

Есть и другие, более редкие исключения из общего правила. На всякий случай посмотрите весь список в законе — вдруг ваш бизнес может не уведомлять Роскомнадзор.

Запросите согласие на сбор и обработку данных

Добавьте под каждую форму для сбора данных небольшое предупреждение. Например, сделайте поле для галочки и подпись: «Я согласен на обработку персональных данных». Или просто добавьте текст: «Отправляя форму, вы даёте согласие на обработку персональных данных».

Чтобы законно обрабатывать данные, сообщите пользователю, кто, как и с какой целью использует информацию. Для этого составьте согласие на обработку персональных данных. Вот что в нём нужно указать:

реквизиты оператора персональных данных;

ФИО сотрудника, ответственного за обработку данных;

перечень действий с персональными данными;

срок, в течение которого действует согласие;

перечень данных и цели обработки.

Если вы составляете документ на бумажном носителе, добавьте ещё несколько пунктов:

паспортные данные субъекта персональных данных;

паспортные данные представителя субъекта (например, по доверенности);

подпись субъекта (и его представителя).

Чтобы пользователи ознакомились с документом, добавьте ссылку к форме регистрации или подписки. Конечно, согласие почти никто не прочитает. Зато вы обезопасите себя от лишних проверок.

Составьте и разместите на сайте политику обработки данных

Политика обработки персональных данных — ещё один документ, который проверяет Роскомнадзор. Он содержит общие правила сбора, обработки и хранения информации о пользователях. Фактически документ более подробно раскрывает согласие. Строгих требований для политики нет, но вы можете использовать рекомендации Роскомнадзора .

Размещать политику обработки данных под каждой формой не нужно. Добавьте ссылку на документ в любое место сайта. Например, в перечень локальных документов или нижнюю часть главной страницы. Если интересно, почитайте политику конфиденциальности Делобанка — можете даже взять в качестве примера.

Некоторые компании совмещают согласие и политику обработки данных. Роскомнадзор за это не штрафует, но лучше документы разделить — кто знает, к чему захочет придраться инспектор.

Что будет, если нарушить требования 152-ФЗ

Роскомнадзор проводит дистанционные и выездные проверки. Если инспекторы заметят, что вы обрабатываете персональные данные без согласия пользователей, бизнес получит внушительный штраф — до 75 тыс. рублей, а его руководитель — до 20 тыс. рублей.

Наказания за неправильную работу с персональными данными постоянно ужесточаются. Раньше бизнесу грозил один штраф — до 10 тыс. рублей, но с 2017 года их стало больше. Например, за работу без политики обработки данных компании получают штраф до 30 тыс. рублей, ИП — до 10 тыс. рублей. Кроме того, Роскомнадзор накладывает денежные санкции и за другие нарушения:

не предоставили пользователю информацию об обработке его данных — до 40 тыс. рублей для компаний или 15 тыс. для ИП;

проигнорировали запрос пользователя на удаление его персональных данных — до 45 тыс. рублей для компаний или 20 тыс. для ИП.

В 2019 году появился новый штраф — за сбор данных через сайты с иностранными хостинг-провайдерами. Его размер — от 1 до 6 млн рублей для компаний и от 30 до 60 тыс. рублей для ИП. Руководителей тоже штрафуют на солидные суммы — от 100 до 200 тыс. рублей.

Коротко

Персональные данные — любая информация о пользователе или клиенте, которую получает предприниматель. Если компания или ИП собирают номера телефонов, email или ФИО, они считаются операторами персональных данных.

Чтобы правильно обрабатывать данные, предприниматель должен соблюдать требования Федерального закона № 152-ФЗ. В частности, он размещает сайт на российском хостинге, составляет согласие и политику обработки данных, а также уведомляет Роскомнадзор о работе в качестве оператора.

Если компания неправильно собирает и обрабатывает персональные данные, Роскомнадзор выписывает штрафы. Например, за работу без политики обработки — до 30 тыс. рублей, за сбор без согласия — до 75 тыс., за работу на иностранном хостинге — до 6 млн.

Совершенно секретно: кого проверяет служба безопасности

Кто проходит проверку

Двое соискателей из трех проходили проверку службой безопасности. В некоторых сферах это обязательная часть трудоустройства, и кандидаты относятся к ней совершенно спокойно. В первую очередь это специалисты сферы безопасности, добычи сырья и работники банков: больше 90% из них проходили такую проверку при трудоустройстве.

Чаще всего служба безопасности проверяет топ-менеджеров: 81% отмечает, что такой опыт у них был. А вот среди начинающих специалистов об этом сказал только каждый второй опрошенный.

Соискатели, которые уже сталкивались с проверкой службой безопасности, более лояльны к этой идее: 72% из них считают проверку важным этапом трудоустройства. Те, кого не проверяли или кто не знает о проверке, менее уверены в этом: не больше 65% из них считают, что это обязательная часть при устройстве на работу.

Реже всего проверяют сотрудников в сфере науки и образования (38%), искусстве и массмедиа (56%), в туризме и гостиничном бизнесе (58%).

Каждая вторая компания проверяет кандидатов

Каждый второй представитель компании отметил, что проверяет кандидатов перед тем, как оформить их на работу. Но в службу безопасности попадают не все сотрудники: в большинстве случаев проверяют не больше 30% входящих кандидатов.

Как ни странно, проверкой кандидатов в российских компаниях занимаются работники HR-отделов: каждый второй опрошенный представитель компании ответил именно так. Специально созданный для этого отдел есть у 27% компаний. Еще 6% пользуется услугами подрядчиков.

Чем крупнее компания, тем больше внимания она уделяет вопросу проверки. Особенно распространены проверки в розничной торговле и сфере услуг для бизнеса. Интересно, что ИТ-компании к этому не стремятся: 32% из них отметили, что не планируют вводить такую проверку.

По второму кругу

Большинство соискателей, которые проходили проверку, за последние несколько лет сталкивались с ней всего один раз.

Многократные проверки часто проходят соискатели, которые ищут работу в сфере безопасности, претендуют на рабочие должности и место в банковской сфере, а также в госсекторе — в два раза чаще, чем в среднем по всем.

Они все знают!

По мнению 64% работодателей, кандидаты знают о том, что компания их проверяет. Но каждый пятый говорит, что соискатели не знают о факте проверки.

Что проверяют?

Самые популярные способы проверки — сбор сведений с последнего места работы и проверка наличия судимости. Каждый второй работодатель отмечает, что проверяет аккаунты в социальных сетях, 46% сверяют подлинность документов и 44% изучают финансовое положение компаний. Детектор лжи используют только 6% компаний.

Для компаний с численностью более 500 человек чаще других характерны такие этапы, как проверка судимости кандидата (89%), подлинности его документов (68%) и проверка финансового положения (71%). Они чуть чаще других используют полиграф — в 11% случаев.

Малый бизнес гораздо реже проводит тщательную проверку финансового положения и судимости родственников. Но зато внимательно относится к аккаунтам в соцсетях и сведения с последнего места работы.

По мнению самих соискателей, у них реже стали проверять тестовое задание: 38% в прошлом году против 26% — в текущем.

Только 10% кандидатов отмечают, что им отказывали в трудоустройстве хотя бы один раз за последние несколько лет после проверки службой безопасности. Но в основном не более одного раза.

Опрос работодателей провела Служба исследований HeadHunter в период с 20 по 28 марта 2018 года среди 233 представителей компаний, а опрос соискателей — с 12 по 19 марта 2018 года среди 10 737 пользователей сайта.

Что проверяет служба безопасности при приеме на работу

Что проверяет служба безопасности при приеме на работу? В первую очередь — документы, предоставляемые соискателем на должность в организации, факты трудовой биографии. При устройстве на госслужбу к проверке подключается ФСБ.

Когда проводится проверка

Служба безопасности при приеме осуществляет целый комплекс мер, направленных на пресечение возможных экономических потерь организации как из-за действий конкурентов, так и из-за работников компании.

Поэтому основные усилия безопасников направлены на работу с кадрами, в частности:

• проведение проверки кандидатов на трудоустройство;
• обеспечение безопасности в процессе выполнения работниками своих обязанностей;
• пресечение утечки информации, которая является коммерческой тайной;
• предупреждение нанесения ущерба компании в случае увольнения сотрудника.

В отношении соискателя проверка происходит:

При устройстве в государственные органы (ФСБ, правоохранительные органы, на государственную гражданскую службу и т. п.). Проведение проверок в силовых структурах и ведомствах регламентируется соответствующими федеральными законами (например, «Об оперативно-розыскной деятельности» от 12.08.1995 №144-ФЗ). Кандидату следует изучить, что проверяет ФСБ при устройстве на госслужбу: сюда входит тщательное исследование трудовой и даже личной биографии, начиная с проверки подлинности предоставленных документов и заканчивая тестированием на полиграфе. Проверка ФСБ при устройстве на работу ожидает и моряков: при выдаче свидетельства моряка ФСБ проверит, не находится ли информация о нем в перечне причастных к экстремизму и терроризму (порядок утвержден Постановлением Правительства РФ от 18.08.2008 №628).

При устройстве в коммерческую организацию. В крупных компаниях обычно функционирует собственная служба безопасности, которая нередко состоит из бывших сотрудников правоохранительных органов. Эти люди используют инструменты и навыки проверки, полученные на прежней работе. Задача такого отдела — защитить интересы организации, ее имущество и нематериальные ценности от несанкционированного посягательства, сохранение коммерческой тайны и предотвращение конфликтов внутри компании. В этом случае порядок работы СБ регулируется локальными актами (Концепцией безопасности, Положением о СБ).

Проверка документов

Поскольку главная цель службы безопасности при проведении проверки — выявить факты, которые негативно влияют на выполнение соискателем своей трудовой функции, то основной массив исследований проводится до приема на работу. Для этого каждая организация формирует анкету, которую предлагают заполнить кандидату, что позволяет выяснить первичную информацию о нем.

Прежде чем обрабатывать полученные из анкеты сведения, необходимо взять у соискателя письменное согласие на обработку персональных данных. В противном случае на организацию вправе наложить штраф в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Итак, что проверяет служба безопасности при трудоустройстве, какие сведения изучают ее представители перед приемом на работу? Обычно исследованию подвергается следующее:

Личные данные и документы. Ст. 65 ТК РФ содержит закрытый перечень документов, которые вправе потребовать работодатель при приеме и заключении трудового договора. Проверка подлинности представленных документов возможна различными способами. Действительность паспорта проверяют на сайте МВД, номер ИНН — через сайт ФНС, диплом — сделав запрос в учебное заведение, судимость легко проверяется через сайт суда общей юрисдикции, расположенного по адресу регистрации кандидата. Также в открытом доступе находится информация об административных штрафах, исполнительных производствах (сайт судебных приставов), о том, является ли человек учредителем какой-либо компании, и многое другое. А перечень того, что проверяет ФСБ при устройстве на работу с допуском к секретным данным, включает данные о близких родственниках, судимости и многое другое.

Трудовая биография. Для этого просят предоставить рекомендательные письма. Если есть сомнения, представители службы звонят бывшим работодателям, а иногда и коллегам. Это позволяет выяснить реальные причины увольнения, особенности характера человека, его компетентность и отношения с коллегами.

Информация из социальных сетей. Иногда личные качества кандидата имеют приоритетное значение. Такой прием, как изучение соцсетей, дает много информации о сотруднике и даже помогает составить его психологический портрет.

Во многих организациях при приеме проверяется кредитная история соискателя и наличие связей с конкурирующими организациями.

Отказ в работе по решению службы безопасности

Работодатель не вправе отказать кандидату из-за того, что тот когда-то нарушил ПДД либо выложил сомнительное фото в Сеть. Случаи, когда служба безопасности отказала в приеме на работу на основаниях, не имеющих ничего общего с деловыми качествами, нарушают действующее законодательство и расцениваются как дискриминация (ст. 64 ТК РФ). Компания использует результаты того, что проверяет служба безопасности при приеме на работу, лишь в качестве вспомогательной информации, необходимой для выбора между двумя равноценными кандидатами при приеме и закрытии вакантной должности.

В случае если кандидат не согласен с полученным отказом и считает его необоснованным, он вправе обратиться в суд за защитой своих прав. Но какой-либо специальной меры пресечения для работодателя законодательство не устанавливает. Максимум, что присуждают несостоявшемуся сотруднику, — это компенсация морального вреда. В любом случае работодатель вправе заявить, что у соискателя недостаточно навыков делового общения, что является необходимым условием получения вакансии и практически недоказуемо.