Страницы

Тяжело в учении, легко в бою. Готовимся к проверке Роскомнадзора


Как мы все с вами прекрасно знаем, проверки Роскомнадзора по персональным данным первым апреля не ограничиваются. Попасть под такую проверку более чем реально, а выйти из неё сухим из воды не так уж просто. 
Даже если в план проверок на 201Х год ваша организация не попала, а внеплановых проверок вы не боитесь, то полезно бывает время от времени устраивать учения, которые, кстати, являются обязательными в соответствие с п.1 ч.4 ст. 22.1 152-ФЗ.

Далее небольшой гайд по самопроверке

К нам едет ревизор...


О визите Роскомнадзора вас обязательно предупредят письмом (или факсом), к которому будет приложена копия приказа о проверке. Предупредить они обязаны не менее чем за 3 рабочих дня до начала проверки (обычно за недельку).

Письмо и приказ будет выглядеть примерно так.

Что делать?


Первым делом следует сразу прочитать эти документы, чтобы знать свои права и тем более обязанности.
Полезно их будет распечатать и показывать выдержки в случае необходимости государственным инспекторам.

Затем необходимо найти ваше уведомление в реестре операторов персональных данных и очень внимательно его прочитать! Особо обратите внимание на адреса офисов и филиалов, ФИО ответственного за организацию обработки персональных данных, категории субъектов персональных данных. Частенько там забывают указать "ближайших родственников" из карточки Т2, "поручителей" из договоров, а так же "инвалидность", "водительское удостоверение", "предыдущие места работы", "телефон" из анкеты о приёме на работу сотрудников. 
Если что-то в уведомлении будет не соответствует действительности - сразу получите предписание по статье КоАП 19.7 (3-5 тысяч рублей).
Если уведомления у вас нет, и вы точно уверены, что оно вам не нужно, рекомендую подготовить "справку о причинах неуведомления", в которой указать причины неуведомления Роскомнадзора (нужные подпункты из ч.2 ст.22 152-ФЗ) и подписать у руководителя организации.

Особое внимание следует уделить анкетам кандидатов на приём на работу! Инспектор обязательно попросит шаблон такой анкеты! Может попросить и заполненную анкету одного из кандидатов. Тут, кстати, не попадитесь: если анкеты кандидатов вы храните, а не уничтожаете,  то на это нужно согласие самого кандидата!

В анкете не должно быть судимости (если закон не обязывает вас спрашивать об этом у кандидата). Не нужна графа "национальность", "инвалидность", "вредные привычки", "психологические качества" - это все спец.категории ПДн со всеми вытекающими последствиями! Если поправки в КоАП примут, за эти графы даже в старых анкетах можно будет получить до 300 тысяч штрафа! Шаблон анкеты должен так же соответствовать требованиям п.7 ПП 687: на анкете должно быть наименование организации, адрес, цели и сроки обработки персональных данных.

Должен быть разработан, утвержден и доведен под роспись до ответственных лиц весь перечень внутренних документов в области персональных данных:
  • копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица при проведении проверки;
  • учредительные документы оператора;
  • положение о порядке обработки персональных данных;
  • положение о подразделении, осуществляющем функции по организации защиты персональных данных;
  • должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;
  • план мероприятий по защите персональных данных;
  • план внутренних проверок состояния защиты персональных данных;
  • приказ о назначении ответственных лиц по работе с персональными данными;
  • типовые формы документов, предполагающие или допускающие содержание персональных данных;
  • журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
  • приказы об утверждении мест хранения материальных носителей персональных данных;
  • приказы об установлении перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
  • документы, подтверждающие информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
  • документы, содержащие сведения о соблюдении условий, обеспечивающих сохранность персональных данных граждан и исключающих несанкционированный к мим доступ, перечень мер необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер;
  • письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
  • распечатки электронных шаблонов полей, содержащие персональные данные;
  • справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
  • журналы (книги) учета обращений граждан (субъектов персональных данных);
  • акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
  • копии документов о назначении ответственного за организацию обработки персональных данных;
  • копии документов, определяющих политику оператора в отношении обработки персональных данных;
  • копии локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
  • копии документов, регламентирующих применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • копии локальных актов оператора персональных данных, регламентирующих порядок осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
  • копии документов оператора, направленных на оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения федерального законодательства в области персональных данных, соотношение указанного вреда и принимаемых оператором мер;
  • копии документов об ознакомлении работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
  • копии документов по обеспечению безопасности персональных данных (в том числе, документы по определению угроз безопасности персональных данных; документы по применению организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; документы по применению прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; документы по оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; документы по учету машинных носителей персональных данных; документы по обнаружению фактов несанкционированного доступа к персональным данным и принятием мер; документы по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; документы по установлению правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; документы по контролю за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных);
  • журнал учета проверок юридического лица, проводимых органами государственного контроля (надзора), органами муниципального контроля.
Это копипаст из шаблона письма Роскомнадзора, ссылку на которое я давал в самом начале поста. Перечень документов уже пару лет как не меняется, поэтому есть смысл пробежаться глазами по всему списку и подготовить ответ по каждому пункту.

Хорошая новость заключается в том, что большую часть своего внимания сотрудники Роскомнадзора сосредоточат на вашем отделе кадров и бухгалтерии. У каждой компании свои методы и системы обработки персональных данных клиентов, но отдел кадров у всех работает одинаково, поэтому его легче проверять. Это, конечно, не правило, а только лишь наблюдение.

Пройти успешно проверку Роскомнадзора можно и своими силами, не прибегая к услугам компаний-интеграторов. Главное помнить, что защита персональных данных - это не разовое событие, а постоянный процесс. И если закупку межсетевых экранов и систем контроля доступа можно откладывать, ссылаясь на нехватку бюджетов, то документы по защите персональных данных должны быть у каждой организации. Сегодня это совсем не тяжело сделать.

Что еще почитать?

13 комментариев:

  1. #СпасибоДеду за фотоЛОЛы!)

    ОтветитьУдалить
  2. А почему первым делом сразу не предлагается почитать ещё и вот это: http://29.rkn.gov.ru/personal-data/tipovye_programmy/ ?
    Каждый РКН имеет такую программу. Кто-то адаптирует, кто-то просто меняет шапку.

    Глядя на материалы проверок РКН по стране - можно выделить от 5-ти разных перечней и приказов. А опираться на программу оказывается универсальным.

    Перечень документов конечно большой, сам такие тележки в РКН не раз катал ... но в РКН тоже люди ... Я к тому, что как показала практика, очень сильно упрощает, сокращает и даёт великолепный результат при проверке - диалог с РКН, живое общение. Алгоритм примерно такой (можно так сказать личный рецепт):
    1-я встреча: получили оригинал приказа, в этот же день либо уточнили перечень документов котороые РКН хочет посмотреть, либо уже передали.
    2-я встреча: настоять на диалоге, мол посмотреть мы ещё успеем, вполне возможно у вас есть вопросы или уже есть желание дать комментарии. Главная цель диалога - уйти к описанию процессов обработки ПДн. И здесь уже нужно шоу! Либо по заготовленным схемам, либо садимся рядом с РКН, берём листок бумаги, карандаш и алга. Процесс обработки ПДн работников, клиентов и так далее. Сдесь нужно море комментарий, пометок, ссылок на законодательство, договорные отношения, ВНД и ЛНА, квадратики, стрелочки, постоянный контроль за тем, чтобы РКН следил за мыслью и не отвлекался, и ни каких пауз и заминок. (итог может быть похож на рисунок годовалого ребёнка) И постоянный акцент на внутренних документах, текст из которых хочется увидеть в акте проверки. (такая встреча занимает несколько часов). После такой встречи РКН как правило никуда уже не идёт. Максимум заглянет в кадры, где выдрессированный сотрудник по заученной шпаргалке подтвердит всё ранее сказанное.
    3-я. Уже не встреча. Скорее всего останется написать несколько справок, по конкретным вопросам, для полноты акта проверки.
    ...
    Как-то так. У меня так получалось и получается. Но тут нужно быть шоуменом) Хорошо знать процессы, документы и законодательство. (У РКН открываются глаза и появляется улыбка когда задавая свой вопрос цитатой из ФЗ, в момент вдоха за них и глядя в глаза продолжать цитирование ФЗ)

    А ещё, мне, как правило проверяющие попадались девушки/женщины - магазины с афродизиаками в своём городе найдёте сами (шутка)

    ОтветитьУдалить
    Ответы
    1. Спасибо за ссылку и за советы бывалого :)

      Удалить
  3. >Тут, кстати, не попадитесь: если анкеты кандидатов вы храните, а не уничтожаете, то на это нужно согласие самого кандидата!
    Артем, не подскажете источник (либо логику) вывода - по ссылке я не нашел, что на хранение анкеты нужно получать согласие.

    ОтветитьУдалить
  4. Если имеется в виду, что после заполнения карточки Т-2 цель достигнута, то ИМХО это не так - карточка Т-2 хранится, значит цель обработки всех указанных в ней ПД обоснована, в любой форме, в т.ч. в форме анкеты. Согласие предусмотрено 152-ФЗ на обработку тех или иных ПД. А не на форму. Правильно я понимаю?
    К тому же, если вы уничтожите анкету, то как вы сверите/докажете правильность заполнения Т-2?

    ОтветитьУдалить
    Ответы
    1. Артем имел в виду, что из всех кандидатов вы только с 20% заключаете договор. А остальным отказываете.
      Отдел кадров же может хранить их как доказательство эффективности и корректности своей работы.
      Надо просто в самой анкете брать согласие.

      Удалить
    2. Сергей верно сказал.

      Частенько кадры хранят анкеты как своеобразный "кадровый резерв". Анкета иногда присылается кандидатом, и согласия, конечно же, в ней нет.

      Удалить
  5. Если с человеком не установлены трудовые отношения, само собой данные надо уничтожать..
    Я почему то подумал что имеется в виду что нужно согласие, если анкета хранится для работающего сотрудника.

    ОтветитьУдалить
  6. "В анкете не должно быть судимости (если закон не обязывает вас спрашивать об этом у кандидата)." - как вариант, запросить согласие на обработку.

    ОтветитьУдалить
    Ответы
    1. Не прокатит. Чтобы обрабатывать судимость нужно основание в виде федерального закона (см. ч.3 ст.10 152-фз).

      Удалить
    2. Основание - федеральный закон 152-ФЗ. Обработка спец. категорий с согласия субъекта. Или ошибаюсь?

      Удалить
    3. Конкретно для судимости в законе сделано исключение (та самая часть 3 ст.10). Согласия тут мало.

      Удалить
    4. Хм... действительно. Хотя для меня выглядит дикой ситуация, что я не могу согласиться обрабатывать какие-то данные обо мне.

      Удалить