Проверки роскомнадзора по защите персональных данных

Полезный материал в статье: "Проверки роскомнадзора по защите персональных данных" с ответами на все сопутствующие вопросы. Если у вас возникнут дополнительные вопросы, то вы их всегда можете задать дежурному консультанту.

Как проводится проверка Роскомнадзора

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

  1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
  2. Надзор над предоставлением услуг в области связи.
  3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
  4. Ведение информационной системы, реестров операторов связи.
  5. Регистрация СМИ.
  6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

[1]

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Читайте так же:  Авансовый расчет по налогу на имущество за 3 квартал

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Проверки Роскомнадзора по защите персональных данных

Проверки операторов персональных данных в 2019 году

Постановлением Правительства РФ от 13.02.2019 № 146 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.

Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений.

В связи с тем, что постановление № 146 принято совсем недавно, Роскомнадзор при проверках персональных данных в 2019 году ограничен. Не все предусмотренные Правилами инструменты могут быть использованы ведомством в текущем году, поскольку планы проведения надзорных мероприятий ведомством еще не сформированы.

Виды надзорных мероприятий Роскомнадзора

Правила организации и осуществления государственного контроля и надзора предусматривают следующие виды проверок Роскомнадзора по защите персональных данных:

  • плановые — раздел II;
  • внеплановые — раздел III;
  • документарные — раздел VI;
  • выездные — раздел VII.

Документарная проверка может проводиться только в ходе плановой (п. 25), выездная же проверка может быть как плановой, так и внеплановой.

В отношении плановых мероприятий Правила в п. 5 указывают, что они проводятся на основании ежегодного сформированного плана, подлежащего размещению в интернете (на официальном сайте РКН и его территориальных органов). Каждый оператор может ознакомиться с ежегодным планом и при обнаружении в нем себя провести подготовку к проверке Роскомнадзора по персональным данным.

Такие проверки, согласно п. 6 Правил, проводятся не чаще 1 раза в 3 года. При этом 3-летний срок отсчитывается либо с даты начала деятельности оператора персональных данных, либо с даты окончания предыдущей проверки.

Внеплановая же проверка осуществляется вне графика по основаниям, указанным в п. 8 Правил. К таковым, в частности, относятся, обращение гражданина, неисполнение оператором ранее выданного предписания и др.

Акт проверки

По результатам проверки орган РКН, в соответствии с п. 42 и абз. 2 п. 44 Правил, составляет акт проверки и вручает его руководителю проверяемого лица или иному уполномоченному представителю. Из раздела VIII Правил следует, что итоговый акт должен содержать, в частности:

  • сведения о должностном лице, непосредственно проводившем проверку;
  • указание вида проводимой проверки и ее обстоятельства;
  • описание выявленных нарушений;
  • ссылки на нормы закона или подзаконных актов, которые были нарушены проверяемым лицом.

[3]

Если должностное лицо РКН не выявило никаких нарушений, то в заключении акта проверки Роскомнадзора по защите персональных данных делается соответствующая отметка (п. 43 Правил).

Вручение акта осуществляется лично представителю оператора персональных данных. При этом уполномоченный представитель ставит свою подпись об ознакомлении с актом и получении его второго экземпляра. Также акт может направляться почтовым отправлением с уведомлением о вручении.

П. 44 Правил допускает возможность составления акта в форме электронного документа, подписываемого усиленной квалифицированной электронной подписью. Такой документ направляется оператору в течение 10 дней после подписания.

  • Правила проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утверждены в начале 2019 года, а планы их проведения еще не сформированы.
  • После утверждения плана проведения проверок с ним можно будет ознакомиться на официальном сайте Роскомнадзора и, соответственно, подготовиться к проверке.
  • Внеплановая проверка может быть осуществлена по заявлению гражданина, поручению президента или правительства либо в связи с невыполнением ранее выданного предписания.

Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора? — DocShell 4.0

  • 20.06.2019
  • | Обработка ПДн
  • | 584

В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.

Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.

При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:

адрес места регистрации и/или проживания;

номер банковской карты и/или лицевого счета.

Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.

Что первым проверит Роскомнадзор?

Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан. Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна. ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.

Читайте так же:  Выплаты при увольнении по состоянию здоровья

Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени. Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист. Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.

Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.

    1. Акт установления уровня защищенности информационных систем персональных данных.
    2. Акт классификации государственной информационной системы или муниципальной информационной системы.
    3. Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
    4. Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
    5. Журнал регистрации инцидентов информационной безопасности.
    6. Заключение об оценке вреда субъектам персональных данных.
    7. Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
    8. Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
    9. Инструкция по учёту машинных носителей и регистрации их выдачи.
    10. Модель угроз.
    11. Отзыв согласия субъекта персональных данных.
    12. Перечень информационных систем персональных данных.
    13. Перечень мероприятий по защите персональных данных.
    14. План внутренних проверок состояния защиты персональных данных.
    15. Политика обработки персональных данных.
    16. Положение об ответственном за организацию обработки персональных данных.
    17. Положение о порядке обработки персональных данных.
    18. Положение по работе с инцидентами информационной безопасности.
    19. Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
    20. Приказ «О журнале учета посетителей».
    21. Приказ «О журнале регистрации инцидентов информационной безопасности».
    22. Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
    23. Приказ «О назначении ответственного за организацию обработки персональных данных».
    24. Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
    25. Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
    26. Приказ «Об организации мероприятий по защите персональных данных».
    27. Приказ «Об ответственности за обработку и защиту персональных данных».
    28. Приказ «Об установлении границ контролируемой зоны объектов информатизации».
    29. Приказ «Об утверждении мест хранения материальных носителей персональных данных».
    30. Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
    31. Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
    32. Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
    33. Приказ «Об утверждении форм актов уничтожения персональных данных».
    34. Приказ «Об утверждении форм согласий на обработку персональных данных».
    35. Приказ «Об утверждении типовой формы поручения обработки персональных данных».
    36. Типовая форма поручения обработки персональных данных.
    37. Уведомление об обработке персональных данных.
Скачать чек-лист
Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?

Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.

Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.

Кто контролирует защиту персональных данных

Защита персональных данных
с помощью DLP-системы

З ащита персональных данных становится задачей каждой компании, которая получает их в соответствии со своими уставными целями. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Основные регуляторы и их полномочия

Основные предложения и термины в сфере защиты персональных данных определены Федеральным законом № 154-ФЗ. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы, как:

Виды контроля

Федеральный закон о защите прав юридических лиц № 294-ФЗ назвал основной вид контрольных мероприятий, которые осуществляются в отношении лиц, направивших уведомление о начале занятия бизнесом, связанным с обработкой персональных данных. Это проверки, которые в рамках своих полномочий проводят государственные органы. Согласно законодательству, они могут быть плановыми и внеплановыми. Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Она назначается в год, предшествующий проверке. Сведения о ней, ее срок и проверяемые объекты обязательно вносятся в общегосударственный реестр, который затем размещается на сайте Генеральной прокуратуры. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

Видео (кликните для воспроизведения).

Внеплановая проверка соблюдения правил защиты персональных данных может быть назначена только при наличии веских причин. Это:

  • наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;
  • сообщение об этом правоохранительного органа;
  • сообщение СМИ;
  • неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;
  • истечение срока предписания и необходимость проверки его выполнения;
  • нарушение законодательства, регулирующего сферу защиты персональных данных;
  • несоответствие данных, внесенных в уведомление, реальной предпринимательской деятельности.
Читайте так же:  Алименты и ндфл

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

Если о плановых проверках соблюдения предписаний или требований закона по защите персональных данных компании чаще всего узнают в конце декабря, когда их список появляется на сайте Генпрокуратуры, то о внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Это делается любым доступным способом, включая электронную почту, факс или телефон. Но есть одно исключение. Если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

Любая проверка не может продолжаться больше 20 дней. Если обстоятельства требуют, она продляется, для малых предприятий – не более чем на 15 часов. Она может быть приостановлена с обязательным письменным уведомлением об этом оператора, если:

  • требуется проведение экспертизы;
  • вынесено мотивированное решение руководителя подразделения ведомства, проводящего проверку.

Завершается проверка несколькими способами:

  • составление акта по результатам проверки, направление его оператору;
  • выдача предписания о необходимости прекращения нарушения закона с перечнем действий, позволяющих устранить недостатки;
  • привлечение оператора к административной ответственности по различным основаниям, предусмотренным КоАП РФ;
  • направление материалов в правоохранительные органы с постановкой вопроса о привлечении к уголовной ответственности.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке персональных данных проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований.

Роскомнадзор

Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением персональных данных, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой персональных данных. Эта форма заполняется на портале организации и одновременно направляется по почте. Требование касается всех организаций, кроме тех, которые обрабатывают только сведения о своих сотрудниках.

Основываясь на законе о персональных данных, ведомство вправе:

ФСТЭК и его полномочия

ФСТЭК отвечает за техническое обеспечение системы защиты персональных данных. Среди его полномочий:

  • запрос у оператора отчета по контролируемым видам деятельности и его проверка;
  • требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;
  • запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту персональных данных;
  • выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных.

Проверка не может длиться более 20 дней. Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК.

Существует 2 типа проверок:

  • документальная (аналог налоговой камеральной). Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке;
  • выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии.

Начинается проверка на основании приказа, а завершается выдачей акта или предписания об устранении нарушений.

ФСБ и ее полномочия

Федеральная служба безопасности также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с персональными данными, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). В сфере ее компетенции оказываются:

  • запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий;
  • запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты персональных данных, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности;
  • проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации.

Нарушение требований по охране и обработке персональных данных, защите прав субъектов персональных данных станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. В приказе должны быть отражены следующие данные:

  • состав лиц, участвующих в проведении проверки, сотрудников ведомства и привлеченных к участию в проверочных мероприятиях экспертов;
  • данные о проверяемом объекте;
  • параметры проверки, ее цели и задачи, предмет;
  • правовые нормы, на которые опиралось ведомство, назначая проверку;
  • перечень тех проверочных мероприятий, которые предполагается осуществить (запрос документов, опрос свидетелей, осмотр помещений);
  • период проведения проверки.
Читайте так же:  Кбк ндфл за сотрудников

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите персональных данных оно не вправе:

  • проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся;
  • проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством;
  • требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов;
  • распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой;
  • затягивать проверку без вынесения мотивированного решения;
  • проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом.

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. К первой группе относятся требования по правильности применения организационных мер. Это:

  • наличие документов, регламентирующих защиту оператором персональных данных с использованием СКЗИ;
  • выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче персональных данных с применением СКЗИ.

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите персональных данных. Это:

  • наличие в организации модели угроз с указанием потенциальных нарушителей;
  • релевантность этой модели, соответствие ее ранее представленным вводным;
  • соответствие применяемых средств защиты угрозам, освещенным в модели;
  • существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту персональных данных, оператору.

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты персональных данных. Это:

  • проверка существования лицензий, необходимых для использования СКЗИ;
  • наличие сертификатов соответствия на приобретенные и используемые средства защиты персональных данных;
  • наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы;
  • проверка соблюдения правил учета СКЗИ;
  • выявление средств, не имеющих необходимых сертификатов.

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту персональных данных. Это:

  • наличие должностных инструкций;
  • порядок кадрового учета;
  • наличие сотрудников на всех предусмотренных штатным расписанием должностях;
  • порядок проведения обучения персонала, работающего с СКЗИ.

[2]

К пятой группе объектов относятся способы эксплуатации средств защиты персональных данных. Это:

  • оценка технического состояния;
  • правильность их ввода в эксплуатацию;
  • оценка правильности выбора применяемого программного обеспечения.

К шестой группе объектов относятся организационные меры, которые обязан применять оператор персональных данных. Это:

  • наличие инструкций;
  • наличие криптоключей;
  • режимные меры.

Полномочия контролирующих органов достаточно широки. Но любое их решение, в случае нарушения ими норм права, можно оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. Однако только скрупулезное соблюдение законодательства о защите персональных данных гарантирует успешное взаимодействие с контролирующими органами.

Проверки Роскомнадзора по защите персональных данных

Что такое персональные данные?

Персональные данные — это любая информация, относящаяся к человеку. К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты. Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО). Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству. Также государственный номер автомобиля не является ПД, так как относится к транспортному средству.

Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.

Обработка персональных данных

Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ, . Часто в правовых основаниях обработки забывают указать Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры. ФЗ «О персональных данных» не является правовым основанием!

Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.

Для обработки персональных данных необходимо получить согласие субъекта ПД. В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.

Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета).

Читайте так же:  Являются ли самозанятые пенсионеры работающими

При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать.

Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД.

При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД.

После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.

Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН.

Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.

Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).

Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала.

Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.
Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр. ___, в том числе базы данных сайта и информационной системы персональных данных оператора. Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).

При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД.

После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней.

Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции.

Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ.
Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.

Видео (кликните для воспроизведения).

Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)

Источники


  1. Борисов, А. Н. Комментарий к Федеральному Закону от 8 августа 2001 г. №129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринемателей» / А.Н. Борисов. — М.: Юстицинформ, 2014. — 286 c.

  2. Владимиров Л. Л. Е. Владимиров. Защитительные речи и публичные лекции; Издание П. В. Каменского — М., 2010. — 497 c.

  3. Попов, В. Л. Курс лекций по судебной медицине / В.Л. Попов, Р.В. Бабаханян, Г.И. Заславский. — М.: ДЕАН, 2016. — 400 c.

    4. /oli>

    Проверки роскомнадзора по защите персональных данных
    Оценка 5 проголосовавших: 1

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here