Любопытные, забавные и пугающие прецеденты проверок по персональным данным

Есть у меня несколько любопытных прецедентов проверок регуляторов, о которых я люблю вспоминать, когда дело доходит до защиты персональных данных.

Под катом моя личная подборка Топ-5.

Тяжело в учении, легко в бою. Готовимся к проверке Роскомнадзора

Как мы все с вами прекрасно знаем, проверки Роскомнадзора по персональным данным первым апреля не ограничиваются. Попасть под такую проверку более чем реально, а выйти из неё сухим из воды не так уж просто. 

Даже если в план проверок на 201Х год ваша организация не попала, а внеплановых проверок вы не боитесь, то полезно бывает время от времени устраивать учения, которые, кстати, являются обязательными в соответствие с п.1 ч.4 ст. 22.1 152-ФЗ.

Далее небольшой гайд по самопроверке

РКН решил взяться за блоггеров

Сегодня нашел вот такое письмо в своем почтовом ящике

Или это чья-то злая шутка, или РКН действительно решил взяться за блоггеров. В конце концов один раз они уже пытались блокировать мой сайт за экстремизм. На всякий случай прилеплю ка я к блогу политику обработки персональных данных и шаблоны согласий на обработку ПДн посетителей. Если кто будет оставлять комментарии, пожалуйста, заполните согласие, отсканируйте и вышлите мне на почту root@itsec.pro!

А вообще каждому блоггеру советую отправить уведомление в Роскомнадзор. Я думаю именно это они и использовали как повод чтобы внести меня в план проверки.

Если к вам идёт проверка из ФСБ по ПДн...

Если вы работаете в государственном предприятии, то есть определенная вероятность того, что в одно прекрасное утро к вам на стол попадет распоряжение ФСБ о проведении плановой выездной проверки соблюдения требований к обеспечению безопасности персональных данных (в т.ч. материальных носителей биометрических персональных данных).

На что следует в первую очередь обратить внимание?

Стандартные грабли при проверке РКН по ПДн

Попалось мне на глаза одно предписание об устранении выявленного нарушения, и, т.к. нарушения в нем достаточно типовые, я решил его опубликовать.

Повалило или письма счастья от РКН - 2

Я раньше уже писал о такой стратегии Роскомнадзора, однако масштабы рассылки писем заставляют меня повторить эту тему снова.

Роскомандзор рассылает письма операторам с требованием представить уведомление или справку о причинах не уведомления (см. ст. 22 152-ФЗ) + документы из ч.1 ст.18.1 152-ФЗ.

Если оператор не предоставляет эти сведения в двухнедельный срок - ему выписывают протокол об административном нарушении, дают 90 дней на "устранение выявленных недостатков" и он становится кандидатом на внеплановую проверку.

За первый квартал 2012 года Краснодарский РКН уже выписал 178 (!) протоколов на общую сумму почти 200 000 рублей!

и это только начало!

Отправлены тысячи (!) писем.

Правильное уведомление РКН: Сведения о родственниках

Собственно первый этап любой проверки РКН - это анализ вашего уведомления. И тут есть пару интересных моментов, на которые стоит обратить внимание.

Одним из таких моментов является обработка сведений о ближайших родственниках...

Если вы поставили ViPNet..

Допустим, для связи с ПФР/Налоговой/Казначейством/удалённым офисом вы поставили ViPNet/Континент.. 

Что же вам нужно сделать, чтобы использовать это СКЗИ для пересылки перс.данных в соответствие с требованиями ФСБ?

"Письма счастья" от Роскомнадзора

Как нарваться на внеплановую проверку?

Очень просто. Достаточно не ответить на письмо Роскомнадзора, которые он рассылает операторам с требованием:

1) уведомить или предоставить справку о причинах не уведомления;

2) предоставить документы из ч.1 ст.18.1 152-ФЗ (ч.4 данной статьи как раз даёт им право на подобные запросы).

Если письмо вы проигнорировали и ни уведомление ни справку не послали - получите постановление о нарушении ст. 19.7 КоАП.

В результате вы сидите со штрафом и предписанием все исправить к повторной проверке, а Роскомнадзор выполнил свою государственную функцию не вставая со стула. Зверски эффективно! 

Пример тут и тут.