Что будут проверять инспекторы Роскомнадзора в школе и как пройти проверку
Анастасия Шилина, консультант отдела правового обеспечения Управления правового и кадрового обеспечения Россотрудничества
Главное в статье
1.Узнайте о плановой проверке Роскомнадзора на сайте территориального органа.
2.Требуйте, чтобы инспекторы рассказали, что и где они будут проверять.
3.Не разрешайте инспектору беседовать с педагогами, которые не отвечают за персональные данные.
4.Обжалуйте результаты проверки, если инспекторы нарушили правила ее проведения.
С 1 июля увеличились штрафы за нарушение закона о персональных данных. Роскомнадзор проверит каждую школу и найдет недочеты.
Во-первых, школы обрабатывают много личной информации – работников, учащихся, родителей, партнеров по договорам. К августовской приемке исправить все будет трудно.
Во-вторых, изменились не только суммы штрафов, но и составы правонарушений – их стало больше.
В-третьих, для сферы общего образования ошибки в работе с персональными данными – частое явление. В прошлом году нарушения при проверках были выявлены в половине случаев. Об этом в интервью газете «Известия» сообщил глава Роскомнадзора Александр Жаров.
Что нужно сделать, чтобы успешно пройти проверку, читайте в статье. Эксперт подготовил советы, как вести себя с проверяющими.
Какие нарушения закона о персональных данных Роскомнадзор будет искать в школе
Вид нарушения
|
Наказание
|
Меры безопасности
|
1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных. Например, школа запрашивает у родителей информацию о здоровье членов семьи учащегося.
2. Обработка персональных данных в целях, не совместимых с теми, для которых они собирались. Например, родитель учащегося указал электронную почту на сайте школы, чтобы получить ответ на обращение, а ему стала приходить реклама платных кружков
|
Предупреждение или штраф:
- должностному лицу – от 5000 до 10 000 рублей;
- школе – от 30 000 до 50 000 рублей
|
Обрабатывать данные только:
- в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- в целях, для которых они собирались
|
1. Обработка персональных данных без согласия лица, когда такое согласие требует закон. Например, на сайте школы опубликованы фотографии несовершеннолетних учащихся без согласия их законных представителей.
2. Несоблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» к составу сведений, которые нужно включить в согласие на обработку персональных данных. Например, в согласии не указано третье лицо (управление образованием), которому будут передаваться персональные данные
|
Штраф:
- должностному лицу – от 10 000 до 20 000 рублей;
- школе – от 15 000 до 75 000 рублей
|
1. Получить согласие всех субъектов персональных данных на обработку их персональных данных.
2. Включить в согласие необходимые сведения
|
Отсутствие неограниченного доступа к документу, который определяет политику школы в отношении обработки персональных данных, или к сведениям о реализуемых мерах по защите персональных данных
|
Предупреждение или штраф:
- должностному лицу – от 3000 до 6000 рублей;
- школе – от 15 000 до 30 000 рублей
|
Опубликовать на сайте школы и информационном стенде при входе в здание:
- политику в отношении обработки персональных данных;
- иные сведения о реализуемых мерах по защите персональных данных
|
Непредставление субъекту персональных данных информации, которая касается обработки его персональных данных
|
Предупреждение или штраф:
- должностному лицу – от 4000 до 6000 рублей;
- школе – от 20 000 до 40 000 рублей
|
Предоставлять информацию по запросу в течение 30 дней
|
Невыполнение в срок требований субъекта персональных данных об уточнении, блокировании или уничтожении данных. Например, родители потребовали уточнить информацию в личном деле учащегося
|
Предупреждение или штраф:
- должностному лицу – от 4000 до 10 000 рублей;
- школе – от 25 000 до 45 000 рублей
|
Уточнить, блокировать или уничтожить персональные данные по требованию владельца или его законного представителя
|
Нет условий, чтобы: – обеспечить безопасность персональных данных при хранении материальных носителей; – исключить несанкционированный доступ к ним <*>. Например, в школе нет списка лиц, которые допущены к обработке персональных данных или не организовано раздельное хранение данных
|
Штраф:
- должностному лицу – от 4000 до 10 000 рублей;
- школе – от 25 000 до 50 000 рублей
|
Обеспечить безопасность персональных данных при неавтоматизированной обработке
|
<*> Нарушение возможно в случаях, когда школа: 1) обрабатывает персональные данные без средств автоматизации; 2) отсутствует состав уголовного преступления; 3) произошел неправомерный или случайный доступ к персональным данным, их уничтожили, изменили, блокировали, копировали, передали, распространили или совершили с ними иные неправомерные действия.
|
Как вести себя во время проверки
Если инспекторы Роскомнадзора нарушили правила проверки, вы можете оспорить ее результаты. Рассмотрим типичные ситуации.
Инспекторы не уведомили о том, что придут
75 тысяч рублей заплатит школа, если будет обрабатывать персональные данные детей без согласия родителей
Скажите, что обжалуете результаты проверки на основании части 2 статьи 20 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – Закон № 294-ФЗ). Обратитесь для этого в вышестоящий орган или в суд.
О плановой проверке Роскомнадзор обязан уведомить за три дня до ее начала, о внеплановой – за 24 часа.
Инспекторы не предъявили приказ о проверке
Заявите о незаконности контрольного мероприятия. После завершения проверки обжалуйте ее результаты на основании части 2 статьи 20 Закона № 294-ФЗ.
Инспектор обязан предъявить копию приказа о проверке одновременно со служебным удостоверением. В приказе должны быть указаны Ф. И. О. и должности проверяющих.
К сведению
От имени Роскомнадзора могут действовать мошенники
Запрос информации от Роскомнадзора могут прислать интернет-мошенники. Они рассылают организациям фейковые уведомления о том, что в отношении них проводится внеплановая проверка, и требуют выслать информацию, которая содержит персональные данные. Рассылка идет от имени реальных сотрудников ведомства – их имена, отчества, фамилии, должности и номера телефонов находятся в открытом доступе, поэтому уведомления выглядят убедительно. Были случаи, когда от имени Роскомнадзора организации просили оплатить штраф.
Прежде чем отвечать на запрос, убедитесь в его подлинности. Позвоните в территориальный орган Роскомнадзора и назовите дату запроса. Проследите, чтобы к запросу был приложен приказ о проверке, подписанный руководителем и заверенный печатью.
|
Инспекторы не объяснили, по какому поводу пришли
Скажите, что вы вправе:
- знать информацию, которая относится к предмету проверки;
- давать объяснения по вопросам предмета проверки.
Сошлитесь на пункты 8.1–8.2 Административного регламента, утвержденного приказом Минкомсвязи России от 14.11.2011 № 312.
Инспектор требует пустить его в помещения, где стоят компьютеры работников
Не препятствуйте. Инспекторы вправе осмотреть все помещения, где хранятся персональные данные. В первую очередь их интересуют компьютеры работников, которые ведут базы данных. Чтобы выполнить свой служебный долг, они могут обратиться к правоохранительным органам.
Инспектор просит организовать беседу с педагогами
Если педагоги не отвечают за обработку персональных данных, откажите. Вы обязаны это сделать, только если инспектор проверяет факт утечки информации по жалобе.
Инспектор прислал запрос о представлении документов
Уточните информацию по телефону и выполните просьбу.
Чтобы привлечь школу к ответственности, Роскомнадзору достаточно наведаться на ее сайт. Предупреждать о такой проверке инспекторы не обязаны.
Если вовремя не представить документы, придется платить штраф по статье 19.7 КоАП РФ: директору как должностному лицу – от 300 до 500 рублей, школе – от 3000 до 5000 рублей.
Иногда проверяющие просят прислать документы, заверенные нотариусом. Это делать необязательно. Смело отправляйте документы, заверенные печатью школы. Основание – пункты 70.6–70.7 Административного регламента, утвержденного приказом Минкомсвязи России от 14.11.2011 № 312.
Другое дело, если инспектор потребует прислать письменные объяснения. Сделайте это в течение 10 рабочих дней.
Что учесть при оформлении результатов проверки
На заметку
Наблюдение – форма контроля за соблюдением обязательных требований к размещению информации в интернете и СМИ
По результатам проверки инспекторы обязаны составить акт. Форма акта утверждена приказом Минэкономразвития России от 30.04.2009 № 141. Если инспекторы выявят нарушения, то вместе с актом вручат предписание или протокол об административном правонарушении. На что в этой ситуации обратить внимание?
Инспектор не дал копию акта о проверке
Обжалуйте результаты проверки на основании части 2 статьи 20 Закона № 294-ФЗ.
Вы вправе получить копию акта о проверке и указать в нем свое мнение – например, что вы не согласны с действиями проверяющих.
Инспектор просит, чтобы работник расписался в акте за руководителя
Бывает, что инспекторы Роскомнадзора завершили проверку, а руководителя (в нашем случае – директора школы) нет на месте. Инспектор попросит подписать акт работника школы.
Предупредите коллег, что делать это вправе только тот, у кого есть доверенность с правом подписи. Если директора нет на месте, инспектор может сделать об этом запись на акте и прислать акт заказным письмом.
К сведению
Какие документы подготовить к проверке
Инспекторы Роскомнадзора проверяют документы, в которых содержатся персональные данные, и документы, связанные с их обработкой:
1) уведомления об обработке персональных данных и уведомления о прекращении их обработки;
2) согласия на обработку данных (если согласия содержатся в текстах других документов, например, в заявлении о приеме, то их тоже нужно будет показать);
3) акты об уничтожении документов с персональными данными;
4) локальные акты, которые регламентируют порядок и условия обработки персональных данных (например, положение об обработке персональных данных);
5) список лиц, которые имеют доступ к персональным данным, и список работников, ответственных за обработку персональных данных.
Изымать оригиналы документов инспекторы не вправе. Об этом говорится в пункте 74.3 Административного регламента, утвержденного приказом Минкомсвязи России от 14.11.2011 № 312.
|
Инспектор вручил предписание
Обратите внимание
За нарушение закона о персональных данных статья 137 УК РФ предусматривает уголовную ответственность
Предписание выполняйте в срок, который в нем указан. Иначе придется платить штраф по статье 19.5 КоАП РФ: директору – от 1000 до 2000 рублей, школе – от 10 000 до 20 000 рублей.
Если вы не согласны с нарушениями, которые указаны в предписании, или считаете, что были допущены нарушения при проверке, обжалуйте предписание в вышестоящий орган. Для территориального органа Роскомнадзора вышестоящим органом считается его руководитель. Напишите жалобу на его имя. Форма – свободная.
Другой вариант – подать исковое заявление в арбитражный суд. Требования к нему установлены в статье 125 КАС РФ.
С 1 июля 2017 года Роскомнадзор получил право возбуждать дела об административном правонарушении. Раньше инспекторы передавали материалы проверок в прокуратуру. Если вы не согласны с протоколом, обращайтесь в суд.
№ 7 Июль 2017 года
http://e.rukobr.ru/article.aspx?aid=568608&utm_source=menobr.ru&utm_medium=refer&utm_campaign=refer_menobr.ru_contentblock_articles_top_01082017
|