Требования роскомнадзора по защите персональных данных

Требования роскомнадзора по защите персональных данных

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Содержание

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

  1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
  2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
  3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
  4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например , это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

  1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  2. Обрабатывающие их системы (компьютеры и программы);
  3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
  • Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
  • Список персональных данных, собираемых и охраняемых вашей компанией;
  • Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
  • Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
  • Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
  • Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
  • Положения об особенностях обработки персональных данных, в том числе их обезличивания;
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
  • Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
  • Бланки согласия граждан на обработку их персональных данных;
  • Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
  • Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

  1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
  2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
  3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
  4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
  5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
  6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
  7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
  8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.
Читайте также:  Кадастровая стоимость является рыночной

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

  • При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
  • При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
  • При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.
Читайте также:  Повышение оплаты услуг юрист

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

Как показывает практика, проверка Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в области обработки персональных данных (ПДн) является сравнительно редким событием.Например, в 2013 году в Центральном федеральном округе проведено всего 26 (!) проверок, из которых 22 выездных и 4 документарных. В свете малочисленности подобных мероприятий они и сейчас интересны специалистам по информационной безопасности, так как практика выполнения требований ФЗ-152 от 27.06.2006 «О персональных данных» и подзаконных актов еще до конца не сформировалась. Об этом факте свидетельствуют периодически появляющиеся разъяснения контролирующего органа (по персональным данным работников, биометрическим персональным данным). Эти разъяснения выпускаются Роскомнадзором совместно с экспертами для того, чтобы помочь организациям (операторам) выполнить требования и привести все свои структурные подразделения к единому пониманию существующих нормативных правовых актов, касающихся обработки персональных данных. В данной статье описывается опыт прохождения проверки Роскомнадзора, который может оказаться полезным другим организациям при выполнении работ по защите ПДн.

В конце прошлого года компания АйТи стала консультантом «Эльдорадо» при прохождении проверки Роскомнадзора по персональным данным.

«Нашим главным критерием при выборе компании являлось наличие опыта прохождения таких проверок. Нам необходимы были определенные гарантии, поскольку мы не могли рисковать своей репутацией», – комментирует Константин Коротнев, менеджер по информационной безопасности Компании «Эльдорадо».

Перед нами поставили задачу – пройти проверку с минимальными замечаниями. Забегая немного вперед, скажу, что нам это удалось. Теперь обо всем по порядку.

РАЗМИНКА

Днем «Х» было 5 ноября, согласно «Плану проведения проверок». Какая предполагается проверка, начало, а также сроки ее проведения, можно посмотреть на сайте Управления Роскомнадзора по соответствующему федеральному округу, в нашем случае это Центральный федеральный округ.

Проверка предполагалась плановая выездная, все в соответствии с ФЗ-294 от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

До начала проверки у нас было Уведомление о проведении плановой выездной проверки ООО «Эльдорадо» вместе с перечнем документов, который необходимо предоставить сотрудникам Роскомнадзора.

Всего запрашивался 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):

  • Уведомление об обработке ПДн
  • Документ, определяющий ответственного за организацию обработки ПДн
  • Перечень сотрудников, допущенных к обработке ПДн
  • Документ, определяющие места хранения ПДн
  • Справка об обработке специальных и биометрических категорий ПДн
  • Справка об осуществлении трансграничной передачи ПДн
  • Типовые формы документов с ПДн
  • Порядок уничтожения ПДн
  • Порядок передачи ПДн третьим лицам
  • Типовая форма согласия на обработку ПДн
  • Порядок учета обращений субъектов ПДн
  • Перечень информационных систем персональных данных (ИСПДн)
  • Документы, регламентирующие резервирование данных в ИСПДн
  • Перечень используемых средств защиты информации
  • Матрица доступа
  • Модель угроз
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
  • Журнал учета машинных носителей ПДн

Совместно с коллегами из «Эльдорадо» мы подготовили все документы. Все организационно-распорядительные документы уже были сделаны, мы готовили только справки, выписки или копии документов. Комплект получился настолько внушительный, что в итоге сотрудникам Роскомнадзора пришлось делить его на двоих. Кроме того был подготовлен реестр документов, в котором сотрудник РКН должен расписываться за каждый полученный документ. Очень удобная вещь, позволяющая отследить все переданные документы и иметь подтверждение о передаче всех запрошенных документов в Роскомнадзор.

Помимо подготовки документов мы провели инструктаж для сотрудников центрального офиса, участвующих в проверке и взаимодействующих с представителями РКН.:

Сами сотрудники не первый раз сталкиваются с информационной безопасностью (в «Эльдорадо» внедрены процессы менеджмента ИБ и есть действующий сертификат ISO 27001). Они и до этого были подготовлены, освежили информацию в голове, вспомнили нужные определения, перечитали имеющиеся регламенты и инструкции по ПДн, навели порядок на столе. Сотрудники были готовы к предстоящей проверке.

Читайте также:  Реестр выданных лицензий на частную охранную деятельность

ПОСТАНОВКА В ЧЕТЫРЕХ АКТАХ

Плановая выездная проверка должна была проводиться с 5 по 29 ноября. Надо понимать, что РКН не будет все это время находиться у Оператора, в этом нет особого смысла. Всего было 4 встречи с представителями РКН на территории «Эльдорадо».

Первая встреча состоялась 5 ноября, как и планировалось. Сотрудники Роскомнадзора привезли бумажную версию Уведомления о проведении плановой выездной проверки ООО «Эльдорадо», договорились о дате следующей встречи, очертили масштаб проверки (сразу сказали, что будут проверять центральный офис и несколько магазинов, в итоге остановились на двух) и уехали.

Вторая встреча была основной. В первую очередь сотрудники РКН посмотрели Уведомление оператора и внесенные изменения, среди значимых комментариев были следующие:

  • Обработка персональных данных начинается с момента создания организации (то есть регистрации в ФНС), а не с момента подачи Уведомления в Роскомнадзор
  • В Уведомлении необходимо указывать все физические адреса Оператора (если они относят к данному юридическому лицу), где ведется обработка ПДн, даже если они находятся в других федеральных округах РФ
  • В случае изменения сведений, указанных в Уведомлении, необходимо в течение десяти рабочих дней донести эту информацию до РКН (ФЗ-152, ст. 22, п. 7)

Специалисты Роскомнадзора задавали вопросы по основным отделам, в которых ведется обработка ПДн, для понимания целей обработки в целом. Затем прошлись по всем компаниям, с которыми возникает обмен персональными данными – ЧОП, кадровые агентства, банки, операторы связи, архивное хранение документов. Остановились на камерах видеонаблюдения, мы упомянули новые разъяснения Роскомнадзора, сослались на то, что идентификация человека не производится (соответственно, это не биометрические персональные данные), коллеги из Роскомнадзора согласились, правда, попросили повесить табличку «Ведется видеонаблюдение». Через 10 минут на входе висела табличка с соответствующей надписью.

По информационным системам персональных данных (ИСПДн) запросили перечень, модели угроз на ИСПДн, проект по созданию системы защиты персональных данных и сертификаты на средства защиты информации. Также был вопрос по трансграничной передаче информации по каналам связи. Сотрудники Роскомнадзора понимают, что осуществить обмен зашифрованными данными по каналам, используя ГОСТ 28147-89, с зарубежным государством практически невозможно, поэтому им было достаточно понять, что осуществляется шифрование, и информация не передается в открытом виде.

После ознакомления с документами сотрудники РКН перешли к обследованию на местах. Вся наша большая команда пошла в отдел кадров. Проверяющие посмотрели, где хранятся личные дела и трудовые книжки, убедились, что личные дела действующих работников хранятся отдельно от личных дел уволенных. Руководитель отдела кадров рассказал, как набирают сотрудников, как хранят дела, как происходит удаление персональных данных и при каких обстоятельствах. После этого работникам Роскомнадзора показали, как работает сотрудник отдела кадров: вход/выход из операционной системы, вход/выход из ИСПДн. Также проверяющие попросили сделать скриншоты программ, используемых для обработки ПДн, для подтверждения информации об ИСПДн.

Когда закончили проверять отдел кадров, решено было поехать в ближайший магазин «Эльдорадо» и проверить, как там производится обработка ПДн. В магазине ведется очень ограниченная обработка персональных данных, в основном это анкеты клиентов, которые хранятся в бумажном виде и заносятся в базу клиентов, которая не хранится локально. Анкеты хранятся в коробках, в защищаемых помещениях. Хранить каждую анкету в отдельном файле не нужно в соответствии с ПП-687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Затем работники Роскомнадзора посмотрели, как работает сотрудник магазина за компьютером: вход/выход из системы, вход/выход из ИСПДн, скриншоты используемых программ.

В рамках третьей встречи проверяли еще один магазин, который находился недалеко от Управления Роскомнадзора. Проверка проходила также как и в первом магазине, принципы организации магазинов «Эльдорадо» одинаковые, вне зависимости от размеров, поэтому подходы и способы обработки ПДн точно такие же. Проверяющие убедились в этом достаточно быстро, на этом проверка в магазине закончилась.

В ходе проверки было запрошено еще большее количество документов (чем изначальный перечень из 31 документа), это различные регламенты, справки, выписки, договоры, в итоге общее количество перевалило за сотню. Роскомнадзор был доволен, что под каждым словом был документ.

На этом проверка оператора заканчивается.

РЕЗУЛЬТАТЫ

По результатам проверки Роскомнадзора передал компании «Эльдорадо» следующие документы:

  • Акт проверки (с выявленными нарушениями)
  • Справка о результатах плановой выездной проверки
  • Предписание об устранении двух незначительных несоответствий, которое было исполнено в течение месяца после получения

«Результаты проверки оказались положительными. Роскомнадзор подтвердил, что мы выполняем требования ФЗ-152. Со своей стороны могу добавить, что мы понимаем, насколько важно обеспечить защиту персональных данных наших клиентов и работников компании, и прикладываем все усилия для создания современной и надежной системы управления информационной безопасностью, соответствующей как лучшим мировым практикам, так и нормативным актам РФ», — подытоживает Константин Коротнев, менеджер по информационной безопасности компании «Эльдорадо».

ВЫВОДЫ

Представители Роскомнадзора не ставят перед собой задачу закрыть компанию. Происходит конструктивный диалог, в рамках которого можно и нужно отстаивать свою позицию, для этого есть все необходимые инструменты в виде нормативных документов по персональным данным. Все в ваших руках.

Ссылка на основную публикацию
Adblock detector