Связаться с нами

Проверка Роскомнадзора в сфере защиты персональных данных: требования, этапы подготовки и прохождение

Далеко не во всех организациях обработка персональных данных происходит в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и его подзаконными актами, что является нарушением законодательства и грозит наложением штрафных санкций. Контроль за соблюдением требований исполняет Роскомнадзор путем проведения проверок и мероприятий систематического наблюдения. О том, как выполнить требования законодательства в сфере защиты персональных данных  и подготовиться к проверке Роскомнадзора, рассказывает Ольга Васильева, ведущий эксперт сервиса "АльфаДок".

Как показывает практика, в большинстве организаций работы по защите персональных данных либо не проводились совсем, либо проводились силами сотрудников, не обладающих достаточными знаниями и опытом в данном вопросе, а руководство плохо проинформировано о требованиях законодательства. Поэтому зачастую знакомство с ФЗ-152 происходит уже во время проверки контролирующего органа Роскомнадзора.

Когда ждать проверки Роскомнадзора

Проверки Роскомнадзора бывают двух видов: плановые и внеплановые. Последние чаще всего проводятся в случаях выявления нарушений в действиях оператора (организации, осуществляющей обработку персональных данных) и поступления в Роскомнадзор обращений и жалоб граждан на незаконную обработку персональных данных (динамику их поступления смотрите на графике 1).  Роскомнадзор предупреждает о ней всего за 24 часа до начала проверки, поэтому готовым нужно быть всегда.

График 1. Динамика поступления обращений граждан по вопросам защиты персональных данных 

Плановая проверка проводится на основании утверждённого Плана проверок, который публикуется на сайте регионального Управления Роскомнадзора в Плане деятельности управления. В случае плановой проверки Роскомнадзор присылает предупреждение не позднее чем за 3 рабочих дня до даты ее начала.

Чтобы проверить, запланирована ли плановая проверка в отношении Вашей организации, зайдите на сайт Управления Роскомнадзора Вашего региона и найдите План деятельности управления на 2017 год. Как правило, план проверок публикуется в пункте 5 раздела I Плана деятельности.

С 2016 года Роскомнадзор стал активно проводить мероприятия систематического наблюдения. Под систематическим наблюдением следует понимать, что сайт вашей организации будет периодически проверяться на отсутствие нарушений требований ФЗ-152: например, опубликована ли Политика в отношении обработки персональных данных или не размещены ли личные данные сотрудников без их согласия (ФИО, фотография, должность). Роскомнадзор не публикует список конкретных организаций, которые попадают под такие мероприятия, но выделяет сферы деятельности таких организаций (государственные и муниципальные органы, образовательные учреждения, финансово-кредитные учреждения, учреждения здравоохранения и другие). Если в ходе систематического наблюдения будут выявлены нарушения, то регулятор выдаст учреждению предписание об устранении нарушений в трехдневный срок и, возможно, организует внеплановую проверку.

Как подготовиться к проверке Роскомнадзора

Поскольку подготовка к проверке и её прохождение требуют знаний законодательства и требований регуляторов, то зачастую организации прибегают к привлечению  специалистов со стороны, которые соберут всю необходимую информацию, разработают документацию и проследят за ее утверждением. Однако в нормативную базу регулярно вносятся изменения, а требования контролирующих органов расширяются. При этом в самой организации тоже постоянно происходят изменения: меняется кадровый состав, структура организации, техническое оснащение. Документация же должна быть актуальна на текущий день, что потребует повторных обращений к специалистам и, как следствие, регулярных платежей за обновление документации.

Теоретически подготовиться к проверке можно самостоятельно. Однако отсутствие квалифицированных специалистов, знаний тонкостей законодательства, опыта прохождения проверки препятствуют успешному прохождению проверки и приводят к выдаче предписаний по устранению нарушений по итогам контрольно-надзорного мероприятия и наложению штрафов.

В последнее время активное распространение получили специальные сервисы, позволяющие автоматизировать процессы по защите информации и поддерживать документацию в актуальном состоянии. Одним из таких сервисов является онлайн-сервис «АльфаДок». Сотрудник вносит необходимую информацию, и сервис автоматически формирует весь пакет документов, готовый для выгрузки и утверждения. При возникновении вопросов можно обратиться в службу технической поддержки,  эксперты которой  проконсультируют по вопросам пользования сервисом и подскажут, какие шаги необходимо выполнить в случае проверки или обращений граждан.

В целом процесс подготовки к проверке состоит из следующих шагов:

  1. Проведение внутреннего аудита для анализа процессов обработки персональных данных в учреждении.

В рамках аудита необходимо определить:

  • Перечень информационных систем, в которых обрабатываются персональные данные (ИСПДн). В школах такими могут быть системы «Кадровый учет», «Бухгалтерский учет» и «Школа», в состав которой входят программные комплексы, обрабатывающие персональные данные обучающихся и преподавателей.
  • Цели обработки. К примеру, для медицинских организаций основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.
  • Категории обрабатываемых в организации персональных данных. Например, ФИО, дата рождения, адрес, фотографии, семейное положение, место работы, сведения о  состоянии здоровья. Такой перечень может содержать около ста видов сведений.
  • Категории субъектов, персональные данные которых обрабатываются в организации (сотрудники, клиенты, граждане).
  1. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности персональных данных.

Необходимо назначить ответственного за организацию обработки персональных данных, как правило, это  руководящее лицо: директор или заместитель директора. В качестве ответственного за обеспечение безопасности персональных данных обычно назначают технического специалиста. 

  1. Разработка и утверждение необходимой документации.

ФЗ-152 "О персональных данных" не регламентирует названия документов, но определяет, какие процессы по обработке персональных данных должны быть оформлены документально. Разрабатываемый в сервисе «АльфаДок» пакет документов по защите персональных данных включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»).

Пакет документов обязательно должен включать в себя Политику в отношении обработки персональных данных. Это основной документ,  определяющий все отношения, связанные с обработкой персональных данных в организации. Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться, поэтому мы рекомендуем обязательно опубликовать её на официальном сайте.

  1. Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.

Уведомление об обработке персональных данных можно отправить в электронном виде с сайта Роскомнадзора или из сервиса «АльфаДок», где оно автоматически формируется из введенных ранее сведений. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение будет внесено в реестр операторов персональных данных. В случае изменений нужно обязательно уведомить Роскомнадзор, подав информационное письмо с перечнем изменений. При формировании информационного письма в сервисе «АльфаДок» перечень изменений генерируется автоматически.

Что проверяет Роскомнадзор

В первую очередь представители Роскомнадзора проверят, направляло ли Ваше учреждение Уведомление об обработке персональных данных и соответствует ли информация в нем действительности. Поэтому очень важно уведомлять Роскомнадзор о произошедших изменениях, например, о смене ответственного лица или цели обработки.

Представители Роскомнадзора обязательно изучат документацию о защите персональных данных в организации и проверят ее содержимое на предмет выполнения требований законодательства. В соответствии с требованиями,  учреждение обязано проводить периодические внутренние проверки режима обработки и защиты персональных данных, уничтожать персональные данные по достижении цели обработки, обеспечить безопасность носителей данных и организовать контролируемый доступ в помещения, в которых размещены информационные системы персональных данных, собрать с сотрудников обязательства о неразглашении конфиденциальной информации, ознакомить их с внутренними документами, регламентирующими обработку персональных данных, завести и регулярно заполнять необходимые журналы и выполнять иные мероприятия, обозначенные в ФЗ-152 и подзаконных нормативно-правовых актах. Выполнение всех мероприятий должно быть документально оформлено.

Регулятор попросит ознакомиться с формой согласия на обработку персональных данных, в которой указываются перечень персональных данных, цель обработки, сроки её прекращения. Такую форму могут подписывать только совершеннолетние граждане, поэтому за детей в возрасте младше 18 лет согласие подписывает законный представитель (чаще всего один из родителей). В случае передачи организацией данных третьему лицу (например, банку, охранному предприятию, централизованной бухгалтерии) форма должна содержать согласие субъекта на поручение обработки такому лицу, а в заключенном с третьим лицом договоре отдельным пунктом обязательно должны быть прописаны условия конфиденциальности.

Особое внимание уделяется обработке специальных категорий персональных данных, куда, в том числе, относится информация о состоянии здоровья и интимной жизни. Специальные категории персональных данных должны обрабатываться строго с письменного согласия субъекта или его законного представителя.

Роскомнадзор также обратит внимание на выполнение Положения о локализации хранения персональных данных, вступившего в силу с 1 сентября 2015 года. Это означает, что информация о местонахождении баз данных должна быть указана в Политике и  Уведомлении или в информационном письме, если уведомление было отправлено ранее.  

Еще одним важным требованием является ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными актами учреждения по вопросам обработки персональных данных. Во время проверки Роскомнадзор потребует предоставить соответствующие формы ознакомления.

Ответственность за нарушение законодательства

Если во время проверки обнаружены нарушения, то Роскомнадзор оформит акт о выявлении нарушений с предписанием об их устранении и передаст информацию в суд.

Кодекс об административных правонарушениях предусматривает за нарушение порядка сбора, хранения, использования или распространения персональных данных штрафы на должностное лицо в размере до 1 000 рублей, на юридическое лицо – до 10 000 рублей. За нарушение неприкосновенности частной жизни, отказ в предоставлении информации или неправомерный доступ к компьютерной информации по Уголовному кодексу РФ возможно наложение штрафа до 500 000 рублей, исправительные или принудительные работы, лишение права занимать определенные должности или заниматься определенной деятельностью, а также лишение свободы.

Следует иметь в виду, что согласно законопроекту «О внесении изменений в статью 13.11 Кодекса РФ об административных правонарушениях» (принят во II чтении в декабре 2016 года) максимальная величина штрафа для юридических лиц вырастет до 75 000 рублей.

Подробнее об ответственности, предусмотренной за нарушение требований закона "О персональных данных", Вы можете прочитать по ссылке: https://alfa-doc.ru/help/faq/  (6 вопрос)

 

В целом секрет успешного прохождения проверки состоит из разработки полного комплекта документации, его регулярной актуализации и изучения опыта прохождения проверок другими учреждениями аналогичной сферы деятельности (результаты проведения проверок публикуются на сайтах региональных управлений Роскомнадзора). В случае если уверенности в собственных ресурсах для подготовки к проверке нет, то мы рекомендуем обратиться к профессионалам.

Васильева Ольга,
эксперт сервиса "АльфаДок"

 

 

 

 

?