как подготовиться и избежать штрафов — СКБ Контур
Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.
Виды проверок Роскомнадзора
Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.
— Плановая проверка
О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.
— Внеплановая проверка
Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
— Документарная проверка
В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.
— Выездная проверка
При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.
В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.
Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?
Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.
Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.
Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:
- Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
- Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который занимается вопросами персональных данных.
- Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию, например, данные сотрудников в бухгалтерию.
- На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
- Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
- Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
- Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном.
Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.
В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.
Проверка Роскомнадзора: на что обращают внимание инспекторы?
Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.
Какие персональные данные можно обрабатывать без уведомления:
- данные, которые обрабатываются в соответствии с трудовым законодательством;
- данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- данные, сделанные субъектом персональных данных общедоступными;
- данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
- данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.
Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.
Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.
Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.
Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.
В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.
Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.
Елена Республиканская
Читайте также:
Чего ждать бизнесу от закона о хранении персональных данных?
5 базовых принципов закона о персональных данных, о которых нужно знать
kontur.ru
Опыт прохождения проверки Роскомнадзора по персональным данным
Как показывает практика, проверка Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в области обработки персональных данных (ПДн) является сравнительно редким событием.Например, в 2013 году в Центральном федеральном округе проведено всего 26 (!) проверок, из которых 22 выездных и 4 документарных. В свете малочисленности подобных мероприятий они и сейчас интересны специалистам по информационной безопасности, так как практика выполнения требований ФЗ-152 от 27.06.2006 «О персональных данных» и подзаконных актов еще до конца не сформировалась. Об этом факте свидетельствуют периодически появляющиеся разъяснения контролирующего органа (по персональным данным работников, биометрическим персональным данным). Эти разъяснения выпускаются Роскомнадзором совместно с экспертами для того, чтобы помочь организациям (операторам) выполнить требования и привести все свои структурные подразделения к единому пониманию существующих нормативных правовых актов, касающихся обработки персональных данных. В данной статье описывается опыт прохождения проверки Роскомнадзора, который может оказаться полезным другим организациям при выполнении работ по защите ПДн.
В конце прошлого года компания АйТи стала консультантом «Эльдорадо» при прохождении проверки Роскомнадзора по персональным данным.
«Нашим главным критерием при выборе компании являлось наличие опыта прохождения таких проверок. Нам необходимы были определенные гарантии, поскольку мы не могли рисковать своей репутацией», – комментирует Константин Коротнев, менеджер по информационной безопасности Компании «Эльдорадо».
Перед нами поставили задачу – пройти проверку с минимальными замечаниями. Забегая немного вперед, скажу, что нам это удалось. Теперь обо всем по порядку.
РАЗМИНКА
Днем «Х» было 5 ноября, согласно «Плану проведения проверок». Какая предполагается проверка, начало, а также сроки ее проведения, можно посмотреть на сайте Управления Роскомнадзора по соответствующему федеральному округу, в нашем случае это Центральный федеральный округ.
Проверка предполагалась плановая выездная, все в соответствии с ФЗ-294 от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
До начала проверки у нас было Уведомление о проведении плановой выездной проверки ООО «Эльдорадо» вместе с перечнем документов, который необходимо предоставить сотрудникам Роскомнадзора.
Всего запрашивался 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):
- Уведомление об обработке ПДн
- Документ, определяющий ответственного за организацию обработки ПДн
- Перечень сотрудников, допущенных к обработке ПДн
- Документ, определяющие места хранения ПДн
- Справка об обработке специальных и биометрических категорий ПДн
- Справка об осуществлении трансграничной передачи ПДн
- Типовые формы документов с ПДн
- Порядок уничтожения ПДн
- Порядок передачи ПДн третьим лицам
- Типовая форма согласия на обработку ПДн
- Порядок учета обращений субъектов ПДн
- Перечень информационных систем персональных данных (ИСПДн)
- Документы, регламентирующие резервирование данных в ИСПДн
- Перечень используемых средств защиты информации
- Матрица доступа
- Модель угроз
- Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
- Журнал учета машинных носителей ПДн
Совместно с коллегами из «Эльдорадо» мы подготовили все документы. Все организационно-распорядительные документы уже были сделаны, мы готовили только справки, выписки или копии документов. Комплект получился настолько внушительный, что в итоге сотрудникам Роскомнадзора пришлось делить его на двоих. Кроме того был подготовлен реестр документов, в котором сотрудник РКН должен расписываться за каждый полученный документ. Очень удобная вещь, позволяющая отследить все переданные документы и иметь подтверждение о передаче всех запрошенных документов в Роскомнадзор.
Помимо подготовки документов мы провели инструктаж для сотрудников центрального офиса, участвующих в проверке и взаимодействующих с представителями РКН.:
Сами сотрудники не первый раз сталкиваются с информационной безопасностью (в «Эльдорадо» внедрены процессы менеджмента ИБ и есть действующий сертификат ISO 27001). Они и до этого были подготовлены, освежили информацию в голове, вспомнили нужные определения, перечитали имеющиеся регламенты и инструкции по ПДн, навели порядок на столе. Сотрудники были готовы к предстоящей проверке.
ПОСТАНОВКА В ЧЕТЫРЕХ АКТАХ
Плановая выездная проверка должна была проводиться с 5 по 29 ноября. Надо понимать, что РКН не будет все это время находиться у Оператора, в этом нет особого смысла. Всего было 4 встречи с представителями РКН на территории «Эльдорадо».
Первая встреча состоялась 5 ноября, как и планировалось. Сотрудники Роскомнадзора привезли бумажную версию Уведомления о проведении плановой выездной проверки ООО «Эльдорадо», договорились о дате следующей встречи, очертили масштаб проверки (сразу сказали, что будут проверять центральный офис и несколько магазинов, в итоге остановились на двух) и уехали.
Вторая встреча была основной. В первую очередь сотрудники РКН посмотрели Уведомление оператора и внесенные изменения, среди значимых комментариев были следующие:
- Обработка персональных данных начинается с момента создания организации (то есть регистрации в ФНС), а не с момента подачи Уведомления в Роскомнадзор
- В Уведомлении необходимо указывать все физические адреса Оператора (если они относят к данному юридическому лицу), где ведется обработка ПДн, даже если они находятся в других федеральных округах РФ
- В случае изменения сведений, указанных в Уведомлении, необходимо в течение десяти рабочих дней донести эту информацию до РКН (ФЗ-152, ст. 22, п. 7)
Специалисты Роскомнадзора задавали вопросы по основным отделам, в которых ведется обработка ПДн, для понимания целей обработки в целом. Затем прошлись по всем компаниям, с которыми возникает обмен персональными данными – ЧОП, кадровые агентства, банки, операторы связи, архивное хранение документов. Остановились на камерах видеонаблюдения, мы упомянули новые разъяснения Роскомнадзора, сослались на то, что идентификация человека не производится (соответственно, это не биометрические персональные данные), коллеги из Роскомнадзора согласились, правда, попросили повесить табличку «Ведется видеонаблюдение». Через 10 минут на входе висела табличка с соответствующей надписью.
По информационным системам персональных данных (ИСПДн) запросили перечень, модели угроз на ИСПДн, проект по созданию системы защиты персональных данных и сертификаты на средства защиты информации. Также был вопрос по трансграничной передаче информации по каналам связи. Сотрудники Роскомнадзора понимают, что осуществить обмен зашифрованными данными по каналам, используя ГОСТ 28147-89, с зарубежным государством практически невозможно, поэтому им было достаточно понять, что осуществляется шифрование, и информация не передается в открытом виде.
После ознакомления с документами сотрудники РКН перешли к обследованию на местах. Вся наша большая команда пошла в отдел кадров. Проверяющие посмотрели, где хранятся личные дела и трудовые книжки, убедились, что личные дела действующих работников хранятся отдельно от личных дел уволенных. Руководитель отдела кадров рассказал, как набирают сотрудников, как хранят дела, как происходит удаление персональных данных и при каких обстоятельствах. После этого работникам Роскомнадзора показали, как работает сотрудник отдела кадров: вход/выход из операционной системы, вход/выход из ИСПДн. Также проверяющие попросили сделать скриншоты программ, используемых для обработки ПДн, для подтверждения информации об ИСПДн.
Когда закончили проверять отдел кадров, решено было поехать в ближайший магазин «Эльдорадо» и проверить, как там производится обработка ПДн. В магазине ведется очень ограниченная обработка персональных данных, в основном это анкеты клиентов, которые хранятся в бумажном виде и заносятся в базу клиентов, которая не хранится локально. Анкеты хранятся в коробках, в защищаемых помещениях. Хранить каждую анкету в отдельном файле не нужно в соответствии с ПП-687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Затем работники Роскомнадзора посмотрели, как работает сотрудник магазина за компьютером: вход/выход из системы, вход/выход из ИСПДн, скриншоты используемых программ.
В рамках третьей встречи проверяли еще один магазин, который находился недалеко от Управления Роскомнадзора. Проверка проходила также как и в первом магазине, принципы организации магазинов «Эльдорадо» одинаковые, вне зависимости от размеров, поэтому подходы и способы обработки ПДн точно такие же. Проверяющие убедились в этом достаточно быстро, на этом проверка в магазине закончилась.
В ходе проверки было запрошено еще большее количество документов (чем изначальный перечень из 31 документа), это различные регламенты, справки, выписки, договоры, в итоге общее количество перевалило за сотню. Роскомнадзор был доволен, что под каждым словом был документ.
На этом проверка оператора заканчивается.
РЕЗУЛЬТАТЫ
По результатам проверки Роскомнадзора передал компании «Эльдорадо» следующие документы:
- Акт проверки (с выявленными нарушениями)
- Справка о результатах плановой выездной проверки
- Предписание об устранении двух незначительных несоответствий, которое было исполнено в течение месяца после получения
«Результаты проверки оказались положительными. Роскомнадзор подтвердил, что мы выполняем требования ФЗ-152. Со своей стороны могу добавить, что мы понимаем, насколько важно обеспечить защиту персональных данных наших клиентов и работников компании, и прикладываем все усилия для создания современной и надежной системы управления информационной безопасностью, соответствующей как лучшим мировым практикам, так и нормативным актам РФ», — подытоживает Константин Коротнев, менеджер по информационной безопасности компании «Эльдорадо».
ВЫВОДЫ
Представители Роскомнадзора не ставят перед собой задачу закрыть компанию. Происходит конструктивный диалог, в рамках которого можно и нужно отстаивать свою позицию, для этого есть все необходимые инструменты в виде нормативных документов по персональным данным. Все в ваших руках.
bis-expert.ru
Роскомнадзор проверка в 2019 году
Проверки Роскомнадзора на 2019 год важны для любой организации, которая работает с персональными данными. Узнайте, как проводится проверка Роскомнадзора, что именно проверяет ведомство, как подготовиться к проверке
Читайте в нашей статье:
Как проводится проверка Роскомнадзора
Статьей 23 федерального закона от 27.07.2006 «О персональных данных» No152-ФЗ Роскомнадзор наделен функциями защиты персональных данных граждан и контролированием соответствия их обработки требованиям законодательства.
Трудовой кодекс гласит, что персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей — номер паспорта, адрес, факты биографии. Соответственно, каждое предприятие или организация попадает под проверки Роскомнадзора, плановые и внеплановые. Специалисты ведомства могут либо сами явиться на предприятие, либо провести документарную проверку В этом случае запрашивается перечень документов, копии которых руководитель предприятия должен направить в Роскомнадзор в течение 10 дней.
Существуют также мероприятия систематического контроля – когда проверяющие мониторят, к примеру, сайт организации. Об этом не предупреждают, а штрафы за выявленные нарушения весьма существенны.
Какие документы можно и нельзя хранить в личном деле
Вести личные дела необязательно. Но это не значит, что удастся спрятать их от инспектора, который придет с проверкой. Кадровики часто забывают, что в личном деле можно хранить далеко не все документы. О том, что можно и нельзя хранить в личном деле, рассказали эксперты журнала «Справочник кадровика»
Плановые проверки
О плановой проверке предприятие предупреждают за трое суток – через уведомление, где проставлена дата контроля. Но, на самом деле, у руководителя есть больше трех дней, чтобы подготовиться: скачать план проверок Роскомнадзора на 2019 год можно на официальном сайте ведомства.
Максимальная длительность плановой проверки составляет 20 дней. Ведомство может потребовать еще 20 дней – если, например, нужна дополнительная экспертиза документов. Но такое бывает очень редко.
Внеплановые проверки Роскомнадзора
Такие проверки проводятся, как правило, по жалобам. Подать их может любой человек, недовольный работой предприятия – на сайте Роскомнадзора либо через портал «Госуслуги». Еще один повод – постоянные нарушения, обнаруженные при систематическом контроле. Кроме того, внеплановые проверки проводят после плановых – чтобы выяснить, устранила ли компания все обнаруженные недостатки.
► Внезапная проверка ГИТ: какие документы не вправе требовать инспектор
Предупреждают о внеплановой инспекции за сутки, длительность ее такая же — 20 дней.
Что проверяет Роскомнадзор
В первую очередь Роскомнадзор интересует, насколько соответствует требованиям закона работа с персональными данными. Поэтому под проверку попадают:
- сами документы с ПД, а также условиях их хранения;
- компьютеры и программы, через которые идет обработка данных;
- внутрикорпоративные документы, которые регулируют обработку ПД, и их исполнение;
- сайт организации – в случае его наличия.
► Не только проверки, или Когда инспектор ГИТ «работает» на вас
Приблизительный список того, что Роскомнадзор запрашивает на проверку в 2019 году, насчитывает около 30 пунктов, в которых значатся:
- учредительные документы;
- уведомление о намерении работать с персональными данными либо выписка из реестра операторов;
- список той информации, которую собирает о гражданах предприятие;
- список работников предприятия, которые работают с ПД, и служебные инструкции;
- документ, устанавливающий ответственность сотрудников за разглашение ПД;
- положения о защите ПД и об особенностях их обработки;
- план мероприятий по защите персданных и акт, где указывается степень защищенности;
- соглашения о неразглашении ПД, подписанные всеми работниками предприятия;
- бланки согласия граждан на обработку их персональных данных;
- журналы инструктажей сотрудников по информбезопасности;
- журналы учета всех носителей данных.
Как подготовиться к проверке
Начать подготовку к проверке Роскомнадзора в 2019 году следует с уведомления об обработке персональных данных. Этот документ – обязательное условие работы любого предприятия. Если вы не подали его – придется платить штраф. Если уведомление подано, но какие-то факты в деятельности предприятия не соответствуют тем, что указаны в документе – тоже последует штраф.
Очень важно разработать для предприятия особую политику по обработке персональных данных. Назвать документ можно как угодно. Главное — каждое его положение надо прописать в строгом соответствии с законом и ознакомить с ним всех сотрудников.
► Как получить и передать персональные данные и не нарушить закон
Просмотрите весь путь персональных данных на вашем предприятии – сбор, хранение, уничтожение. Следует помнить, что информация берется с какой-то целью – и, как только цель достигнута, должна быть уничтожена.
Все сотрудники, в особенности те, что напрямую работают с персональными данными, должны быть готовы к проверке Роскомнадзора в 2019 году. Это значит, что всех надо ознакомить под роспись с внутрикорпоративными актами по этому вопросу. Помните: работник имеет полное право отказаться что-то говорить или подписывать без присутствия руководителя.
Тщательно проверьте условия хранения персональных данных – и электронных, и на бумажных носителях. Для первых должны быть надежно защищенные базы, для вторых – не менее надежные сейфы и шкафы.
Читайте также:
www.pro-personal.ru
Снова о защите персональных данных или готовимся к проверке Роскомнадзора / Habr
Вступление
Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.
Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».
Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)
Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.
Причин несколько:
- Этой информации итак много в интернетах и она более-менее однозначная.
- Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
- Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
- В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
- IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.
Немного о себе
Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).
Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).
У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.
Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?
И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?
В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).
Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.
Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.
Хорошо, с уведомлением разобрались, что потом?
Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.
Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.
Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.
Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.
Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.
Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.
Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.
Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.
Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:
- перечень сведений конфиденциального характера;
- инструкция администратора информационной безопасности;
- приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
- перечень персональных данных, подлежащих защите;
- приказ об утверждении мест хранения персональных данных;
- инструкция пользователей информационной системы персональных данных;
- приказ о назначении комиссии по уничтожению персональных данных;
- порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
- план внутренних проверок режима защиты персональных данных;
- приказ о вводе в эксплуатацию информационной системы персональных данных;
- журнал учета носителей информации информационной системы персональных данных;
- журнал учета мероприятий по контролю обеспечения защиты персональных данных;
- журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
- правила обработки персональных данных без использования средств автоматизации;
- положение о разграничении прав доступа к обрабатываемым персональным данным;
- акт классификации информационной системы персональных данных;
- инструкция по проведения антивирусного контроля в информационной системе персональных данных;
- инструкция по организации парольной защиты;
- журнал периодического тестирования средств защиты информации;
- форма акта уничтожения документов, содержащих персональные данные;
- соглашение о неразглашении персональных данных;
- журнал учета средств защиты информации;
- журнал проведения инструктажа по информационной безопасности;
- инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
- приказ о перечне лиц, допущенных к обработке персональных данных;
- положение об обработке и защите персональных данных;
- план мероприятий по обеспечению безопасности персональных данных;
- модель угроз безопасности в информационной системе персональных данных.
Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.
Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.
Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.
Аттестация
Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.
Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.
Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.
Вместо заключения
Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:
- Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
- Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
- Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
- Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
- Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
- В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.
На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.
habr.com
Проверка Роскомнадзора 2019. План. Что проверяют
Содержание страницы
Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.
Полномочия Роскомнадзора
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
- Учредительная документация (ИНН, устав и прочее).
- Уведомление о том, что фирма работает с ПД.
- Перечень ПД, сбор которых осуществляется.
- Перечень работников, у которых есть доступ к данным.
- Приказ о допуске таких сотрудников к ПД.
- Инструкции для специалистов, которые работают с данными.
- Положение об ответственности сотрудников за разглашение ПД.
- Документ об обработке ПД.
- Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
- Соглашение о неразглашении ПД.
- Письменное согласие лиц на обработку.
- Журналы инструктажей относительно мер безопасности.
- Журналы учета носителей сведений.
Роскомнадзор также может затребовать и другие документы.
Продолжительность проверки
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты проверки
В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.
Можно ли обжаловать результаты проверки?
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
assistentus.ru
Проверки Роскомнадзора: практические аспекты / Habr
Мое почтение.На волне последних изменений законодательства о персональных данных (в первую очередь, речь идет о введении обязательной «локализации персональных данных», а также увеличении размера административной ответственности) медиа-пространство в очередной раз наполнилось историями, живописно описывающими грядущий [вал проверок] со стороны Роскомнадзора (РКН). Проверка РКН, действительно, может стать довольно занимательным квестом, однако, сложности соответствующих мероприятий зачастую сильно преувеличиваются. С другой стороны, содержание проверок с течением времени меняется, что требует постоянного отслеживания текущей практики их проведения.
В 2017 году я имел удовольствие участвовать в проверках РКН в нескольких регионах (в том числе, Москве и Санкт-Петербурге). В связи с этим хотелось бы поделиться несколькими практическими соображениями, которые могут помочь членам сообщества в их деятельности. Для многих эта информация не станет новой, однако, кому-то может пригодиться.
(1) Не стоит ожидать, что инспекторы направят Вам конкретный перечень документов, которые требуется предоставить для прохождения проверки. «Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн» — цитата из реального списка документов, запрошенных РКН в ходе одной из проверок. Уровень конкретики, как видите, впечатляет.
(2) Следует учитывать, что исход рассмотрения того или иного вопроса во много зависит от того, насколько уверенно и обстоятельно оператор отстаивает свою точку зрения. Практика показывает, что по многим вопросам у инспекторов нет однозначной аргументированной позиции.
Особенно любопытные дискуссии могут возникать по вопросу о том, какой объем сведений можно рассматривать как персональные данные (ПДн), а также о том, какое лицо следует считать обрабатывающим ПДн по поручению оператора. К счастью, витиеватые формулировки, используемые самим РКН в его же научно-практическом комментарии, оставляют вполне существенный простор для маневра.
(3) Позиции разных должностных лиц относительно толкования одних и тех же терминов, используемых в законе, существенно разнятся. Так, один инспектор может считать файловое хранилище на сетевом диске информационной системой персональных данных (ИСПДн), в то время как другой с такой точкой зрения не согласится. Соответственно, успех в отстаивании определенной точки зрения в одном регионе не гарантирует Вам аналогичного результата в другом.
По большому счету, данное обстоятельство является лишь одним из следствий отсутствия у РКН централизованной позиции по ряду принципиальных вопросов. Следовательно, опыт прохождения проверок в прошлом не стоит переоценивать.
(4) Ни для кого не секрет, что РКН не проверяет соблюдение операторами ПДн технических требований нормативных актов. В большинстве случаев проверка ограничивается исследованием организационно-правовых документов, осмотром мест хранения документации с ПДн и, иногда, непосредственным исследованием информационных систем.
В то же время, определенный уровень погружения проверяющих в технические вопросы все же может иметь место. В частности, некоторые управления запрашивают у операторов копии моделей угроз, разработанных ими в отношении ИСПДн. Поскольку моделирование угроз безопасности ПДн прямо упоминается в Федеральном законе «О персональных данных», такой поворот нельзя назвать неожиданным.
(5) Успех прохождения проверки на 10 % зависит от предварительной подготовки к мероприятию (разработка документов, обучение сотрудников), и на 90 % от того, что Вы предпримите непосредственно перед встречей с инспекторами.
Вы можете разработать самый замечательные документы на свете, но если в момент проверки на столе у секретаря будет лежать неизвестно откуда взявшаяся анкета с полями для внесения ПДн (ее существование обязательно станет для Вас таким же открытием, как и для РКН) — вероятность успеха резко снижается. Поэтому, если Вы отвечаете за прохождение проверки, не уповайте на сознательность коллег и обязательно лично проведите ревизию на местах.
(6) Готовьтесь писать справки. Много справок (про трансграничную передачу, отдельные ИСПДн, видеонаблюдение, режим охраны и многое другое). Независимо от того, насколько детально внутренние документы компании описывают порядок обработки ПДн, инспекторы попросят Вас изложить большинство Ваших ответов на их вопросы в письменном виде. Если во внутренних документах (например, модели угроз) не найдется схем информационных потоков, их также могут попросить нарисовать. Учитывайте это при планировании своего времени.
Соответствующие документы, которые придется готовить непосредственно в ходе проверки, окажут на её результаты самое непосредственное влияние, в связи с чем их подготовку лучше доверить лицу, которое наиболее компетентно в вопросах обработки и защиты ПДн (в зависимости от конкретного случая, это могут быть юристы, специалисты по ИБ или привлеченные консультанты).
(7) Как уже было отмечено выше, часть информации будет получена РКН в ходе непосредственного обследования ИСПДн и помещений. Это, в свою очередь, означает, что кому-то придется эти самые системы и помещения показывать. Пояснения соответствующих лиц также могут повлиять на исход мероприятия, поэтому следует (а) по возможности замкнуть все демонстрации на наиболее компетентное лицо либо (б) провести репетиции (стресс-тесты) с сотрудниками, которые будут привлекаться для демонстрации. Особенное влияние следует уделить сотрудникам, которые любят отвечать на вопросы чрезмерно развернуто, вдаваясь в детали, о которых их не спрашивали. Ну, Вы меня понимаете.
(8) Не стоит ожидать, что акт проверки выдадут Вам в последний её день. На практике могут иметь место прецеденты оформления акта проверки в течение срока, превышающего месяц после её окончания.
Всем удачи.
habr.com
Как проходит проверка персональных данных — глазами Superjob и Роскомнадзора → Roem.ru
В прошлом году вступил в силу закон о защите персональных данных, в рамках которого в частности компании обязали хранить данные о россиянах только на территории РФ, а также были введены ограничения на трансграничную передачу персональной информации. А этом году Роскомнадзор проведет более десяти проверок крупнейших российских и иностранных компаний. Вопреки опасениям некоторых участников рынка, пока проверки не выявили серьезных нарушений, но уже сейчас стали очевидны некоторые спорные моменты — например невозможность обрабатывать данные пользователей сайта системой Google Analytics и ей подобными. Роскомнадзор и Superjob впервые раскрыли, как проходят проверки исполнения законодательства в области обработки персональных данных.
Подготовка к проверке
Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора: Список компаний, в отношении которых в 2016 году будут проводится проверки исполнения законодательства о персональных данных формировался исходя из большого числа факторов. Учитывалась специфика бизнеса — в первую очередь то, с какими объемами персональных данных работает то или иное предприятие, масштабность и территориальная распределенность бизнес-процессов, также учитывались итоги деятельности по рассмотрению Роскомнадзором жалоб граждан, публикации в прессе и так далее.
План проверок на конец 2015 года и 2016 год был сформирован таким образом, чтобы Роскомнадзор получил детальное представление о фактическом исполнении законодательства в наиболее чувствительных с точки зрения защиты персональных данных сферах. Например, в первом квартале текущего года были проверены крупнейшие игроки рынка электронной торговли — интернет-магазины Ozon, KupiVip, Lamoda, Wildberries. Затем системно исследовались интернет-компании, предоставляющие услуги по поиску работы и подбору персонала. В указанный план вошли, в том числе организации, оказывающие услуги в сфере страхования, гостиничного бизнеса, в сфере туризма, в сфере бронирования билетов в рамках осуществления пассажирских перевозок, кредитных организаций, дилерских центров и т. д. То есть проверки сформированы по кластерному принципу, что позволяет, с одной стороны, эффективно задействовать надзорные ресурсы, с другой — продолжать реализовывать комплексный аудит систем защиты персональных данных с учетом специфики того или иного бизнеса.
Всего до конца 2016 года будет проверено еще около тысячи компаний. С планами проверки компании могут ознакомиться на территориальных сайтах управлений РКН.
Наталия Годжаева, генеральный директор Superjob.ru: Еще задолго до появления в современном виде закона о персональных данных мы сталкивались с различными кейсами: нам предлагали продавать данные банкам и страховым, нам предлагали участвовать во всевозможных продажах — мы отказывались. Мы добровольно вырабатывали системы выявления и отказа от работы с МЛМ, пирамидами, другими сомнительными бизнесами.
За полгода до проверки мы взвешивали все «за» и «против» варианта пригласить внешнего аудитора для проведения аудита соответствия бизнес-процессов Superjob.ru по работе с персональными данными. Отказались, так как решили, что наша экспертиза сильнее. И в целом оказались правы. По сути, роль аудитора для нас выполнил РКН. Так что в итоге мы получили и аудит, и серьезно прокачали наши компетенции, теперь сами можем консультировать.
Как проходит проверка
Юрий Контемиров: Сама проверка по правилам должна занимать до 20 рабочих дней, но при необходимости этот срок может быть продлен еще на 20 дней.
В случае с SuperJob такое продление было. Это было обусловлено значительным объемом документов, затрагивающих вопросы обработки персональных данных, а также необходимостью анализа баз данных, обрабатываемых в ИТ-системах данной компании. Традиционно, если в ходе проверки были выявлены нарушения, компания получает предписание об их устранении, на это ей дается срок, достаточный для устранения нарушений. В случае с Superjob срок исполнения предписаний — полгода. По истечении этого срока проводится внеплановая проверка по контролю за исполнением ранее выданного предписания и если нарушения не устранены, материалы передаются в органы прокуратуры, которые принимают решение о возбуждении административного производства (итогом этого могут быть штрафы, обеспечительные меры и проч.).
Наталия Годжаева: Мы знакомили специалистов Роскомнадзора с документами, организовали демонстрацию работы сервиса Superjob. Мы старались быть максимально открытыми: не просто предоставляли документы, а организовали демонстрацию работы сервиса по всем возможным сценариям. Мы показали, как взаимодействует с системой соискатель, как это делает работодатель, как работают администраторы. Проверяющие тоже, кстати, пришли не с пустыми руками. Они заранее проверили работу многих сценариев и задавали конкретные вопросы, доставали заготовки. Например, мы в реальном времени показывали, как работает удаление резюме пользователем, потом тут же переместились к системным архитекторам и попросили их показать, что данные из этого резюме нельзя получить «изнутри».
Что нашел Роскомнадзор в SuperJob
Юрий Контемиров: При проверке SuperJob, помимо оценки деятельности по обработке персональных данных, также анализировалось соблюдение требований законодательства в части, касающейся необходимости хранить и обрабатывать данные россиян на территории РФ, порядка передачи персональных данных третьим лицам, а также условий осуществления трансграничной передачи данных. По первому пункту вопросов не возникло, так как data-центры компании изначально находились на территории РФ и никаких особых шагов для приведения ситуации в соответствие с требованиям закона не понадобилось.
В той части, которая касается обработки и анализа персональных данных, РКН исходил из того, что для обработки персональной информации граждан РФ компании необходимо обеспечить правовые основания обработки, предусмотренные ст. 6 Закона о персональных данных (в частности, пользователь должен поставить галочку в соответствующем чекбоксе при создании анкеты соискателя). При этом необходимо, чтобы в пользовательском соглашении было четко прописано, для каких целей собирается информация, а также на сайте в открытом доступе должен находится документ, описывающий принципы и правила обработки персональных данных — эти условия SuperJob выполнила.
Важный нюанс — компания не может использовать данные из анкет соискателей для каких-либо целей, отличных от помощи в поисках работы. Если сайт, к примеру, хочет использовать данные из анкет для проведения каких-то маркетинговых исследований, на это надо получить отдельное согласие пользователей.
SuperJob в силу специфики своей деятельности должен открывает часть данных контрагентам — в первую очередь компаниям-работодателям, часть из которых находится за пределами РФ. Здесь необходимо учитывать важный нюанс — такая информация может передаваться третьим лицам после получения согласия пользователя на трансграничную передачу его персональных данных. При этом иностранные государства делятся на страны, обеспечивающие адекватную защиту, и не обеспечивающие, условия трансграничной передачи на территорию которых разнятся. В частности, чтобы передавать персональные данные в страны, не обеспечивающие адекватную защиту, необходимо получить письменное согласие владельца персональной информации.
РКН установил, что SuperJob предоставлял данные своим иностранным клиентам-работодателям доступ к персональным данным в режиме просмотра, что не считается трансграничной передачей персональной информации и для такого режима работы достаточно согласия пользователя, полученного при регистрации анкеты на сайте, предусматривающего возможность доступа неограниченного круга лиц.
Анастасия Чучалова, заместитель генерального директора SuperJob по финансам и персоналу: Де-факто работа с сервисом Superjob.ru в части базы данных резюме и вакансий не предполагает скачивания какой-либо информации из неё. Вся работа ведется только онлайн, через наш интерфейс. Порядок одинаковый и для зарубежных компаний, и для российских. Мало того, скачивание персональных данных в виде резюме является нарушением лицензионного договора, на основании которого мы предоставляем работодателям право пользования нашей базой данных резюме и вакансий.
Наталия Годжаева: Мы использовали Google Analytics наравне с другими аналогичными инструментами для анализа аудитории. С помощью системы мы обрабатывали данные по количеству визитов, географии, достижению целей пользователей, поисковые фразы и так далее. Информацию, напрямую связанную с личностью пользователя, мы таким образом не обрабатывали. Однако в законе персональные данные описаны как любая информация «прямо или косвенно относящаяся к определяемому лицу». Специалисты РКН посчитали, что таковой информацией следует считать, например, ip и наличие cookies, другие параметры с которыми работает GA. Наша позиция: вопрос это чисто технический, в данном случае пусть за регулятором останется последнее слово в толковании буквы закона.
В любом случае для Superjob.ru это не критично: мы параллельно используем несколько аналитическим систем и заканчиваем создание собственной. Впрочем, и возможность принять все необходимые меры для дальнейшего использования Google Analytics Google Analytics тоже не исключаем. Оценим все варианты.
Анастасия Чучалова: Роскомнадзор реально обнаружил вещи, которые от нас ускользнули. Например, в силу многолетней специфики деятельности мы, честно признаюсь, привыкли к разделу в резюме, где соискатели указывают рекомендателей. То есть людей, с которыми можно связаться, чтобы уточнить мнение о кандидате. Формально, в том виде, как это устроено сейчас, мы такую информациию (контакты третьих лиц) принимать от соискателей и публиковать в рамках нашей закрытой базы данных резюме не должны. РКН нам на это указал — будем устранять. Тем более что есть понимание: это не критичная информация на этапе рассмотрения резюме, HR уже в ходе первого собеседования решит, стоит ли ему запросить такую информацию непосредственно у соискателя
roem.ru