Нас постоянно пугают тем, что придут "злые дяденьки" и всех накажут. Так давайте разберемся кто же к нам может прийти, по какому поводу и что же именно они будут проверять (и чем это нам грозит). А если к кому-нибудь уже приходили, мы будем рады, если вы поделитесь опытом. Для начала, так как проверки Роскомнадзора уже начались, разберемся что же они захотят увидеть в организации.
Согласно действующему законодательству, сотрудники Роскомнадзора руководствуются при проверке административным регламентом "Проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных", в котором говорится:
3. Проведение проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее – проведение проверок) осуществляется Службой и ее территориальными органами, перечень которых приведен в Приложении № 1. Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок
4. Проведение проверок осуществляется в соответствии со следующими нормативными правовыми актами:
4.1. Кодекс Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1 (ч. 1), ст. 1; № 18, ст. 1721; № 30, ст. 3029; № 44, ст. 4295, 4298; 2003, № 1, ст. 2; № 27 (ч. 1), ст. 2700; № 27 (ч. 2), ст. 2708, 2717; № 46 (ч. 1), ст. 4434, 4440; № 50, ст. 4847, 4855; № 52 (ч. 1), ст. 5037; 2004, № 19 (ч. 1), ст. 1838; № 30, ст. 3095; № 31, ст. 3229; № 34, ст. 3529, 3533; № 44, ст. 4266; 2005, № 1 (ч. 1), ст. 9, 13, 37, 40, 45; № 10, ст. 762, 763; № 13, ст. 1077, 1079; № 17, ст. 1484; № 19, ст. 1752; № 25, ст. 2431; № 27, ст. 2719, 2721; № 30 (ч. 1), ст. 3104; № 30 (ч. 2), ст. 3124, 3131; № 40, ст. 3986; № 50, ст. 5247; № 52 (ч. 1), ст. 5574, 5596; 2006, № 1, ст. 4, 10; № 2, ст. 172, 175; № 6, ст. 636; № 10, ст. 1067; № 12, ст. 1234; № 17 (ч. 1), ст. 1776; № 18, ст. 1907; № 19, ст. 2066; № 23, ст. 2380, 2385; № 28, ст. 2975; № 30, ст. 3287; № 31 (ч. 1), ст. 3420, 3432, 3433, 3438, 3452; № 43, ст. 4412; № 45, ст. 4633, 4634, 4641; № 50, ст. 5279, 5281; № 52 (ч. 1), ст. 5498; 2007, № 1 (ч. 1), ст. 21, ст. 25, ст. 29, ст. 33; № 7, ст. 840; № 15, ст. 1743; № 16, ст. 1824, ст. 1825; № 17, ст. 1930; № 20, ст. 2367; № 21, ст. 2456; № 26, ст. 3089; № 30, ст. 3755; № 31, ст. 4001, ст. 4007, ст. 4008, ст. 4009, ст. 4015; № 41, ст. 4845; № 43, ст. 5084; № 46, ст.5553; № 49, ст. 6034, ст. 6065; № 50, ст. 6246, 2008, № 10 (ч. 1), ст. 896; № 18, ст. 1941; № 20, ст. 2251, ст. 2259; № 29 (ч.1), ст. 3418; № 30 (ч.1), ст. 3582, ст. 3601, ст. 3604; № 45, ст. 5143; № 49, ст. 5738, ст. 5745, ст. 5748; № 52 (ч. 1), ст. 6227; № 52 (ч. 1), ст. 6235, ст. 6236, ст. 6248; 2009, № 1, ст. 17; № 7, ст. 771, ст. 777; № 19, ст. 2276; № 23, ст. 2759, ст. 2767, ст. 2776; № 26, ст. 3120, ст. 3122, ст. 3131, ст. 3132; № 29, ст. 3597, ст. 3599, ст. 3635, ст. 3642; № 30, ст. 3735, ст. 3739; № 45, ст. 5265, ст. 5267; № 48, ст. 5711, ст. 5724, ст. 5755), (Российская газета, 2009, 23 декабря; 29 декабря).
4.2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31 (ч. 1), ст. 3451; 2009, № 48, ст. 5716).
4.3. Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (Собрание законодательства Российской Федерации, 2008, № 52 (ч. 1), ст. 6249; 2009, № 18 (ч. 1), ст. 2140; № 29, ст. 3601; № 52 (ч. 1), ст. 6441).
4.4. Федеральный закон от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (Собрание законодательства Российской Федерации, 2006, № 19, ст. 2060).
4.5. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31 (ч. 1), ст. 3448).
4.6. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48 (ч. 2), ст. 6001).
4.7. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» (Собрание законодательства Российской Федерации, 2008, № 28, ст. 3384).
4.8. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (Собрание законодательства Российской Федерации, 2008, № 38, ст. 4320).
4.9. Постановление Правительства Российской Федерации от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (Собрание законодательства Российской Федерации, 2009, № 12, ст. 1431).
4.10. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрирован Министерством юстиции Российской Федерации 3 апреля 2008 г., регистрационный № 11462).4.11.Приказ Министерства связи и массовых коммуникаций Российской Федерации от 7 апреля 2009 г. № 51 «Об утверждении Типового положения о территориальном органе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный № 13919).