Статьи

Проверка Роскомнадзора: ключевые моменты

30.10.2013

/

Упоминание Федерального закона РФ № 152-ФЗ «О персональных данных» с каждым годом можно встретить всё чаще, а на защиту персональных данных обращают всё больше внимания. Вместе с тем, стать оператором персональных данных не составляет труда, даже если Вам этого и не хотелось. По сути, любая деятельность, как минимум, будет связана с обработкой персональных данных собственных сотрудников, что уже обращает на себя внимание Роскомнадзора. Проверки перестали быть редким событием, и их количество увеличивается с каждым годом, как и количество предписаний, выданных за нарушение требований законодательства, касающихся обработки персональных данных.

Но даже если Вы впервые прочитали о Роскомнадзоре только в уведомлении о проведении проверки, шансы на успешное её завершение ещё есть. Все проверки проходят в соответствии с регламентом и типовой программой проведения, что позволяет декомпозировать её на несколько основных этапов и осуществить подготовительные работы на каждом из них:


1. В первую очередь необходимо определить, попадает ли Ваша организация под действие пункта 2 статьи 22 вышеупомянутого ФЗ № 152, описывающего случаи, когда организация имеет право обрабатывать персональные данные без отправки уведомления в Роскомнадзор. Если это так, то достаточно подготовить справку, обосновывающую причины неуведомления Роскомнадзора о факте обработки персональных данных. В противном случае необходимо позаботиться о заполнении и отправке "Уведомления об обработке персональных данных" в Роскомнадзор, которое должно содержать в себе общие сведения об обработке персональных данных, субъектах персональных данных и целях обработки. Данный документ является ключевым и неверное его заполнение может повлиять на корректность всех остальных документов, регламентирующих обработку персональных данных в организации.


2. Вторым этапом будут проверены на наличие документы, однозначно подтверждающие согласие субъектов на обработку их персональных данных. Тут важно учитывать все требования, сформированные для подобного рода документов, поэтому вольной формой с парой абстрактных строк и подписью субъекта здесь не обойтись. С особым вниманием стоит отнестись к специальным категориям персональных данных (таких как: сведения о здоровье, интимной жизни, судимости, философских взглядов и т.д.) и биометрии: подобные типы персональных данных требуют отдельного согласия в письменной форме с подписью субъекта. Также не стоит упускать из виду тот факт, что даже если персональные данные можно обрабатывать без согласия (например, сведения о родственниках сотрудников, обрабатываемые в рамках трудового кодекса), необходимо информировать субъектов о факте обработки.


3. Затем, будут проверены основания на передачу персональных данных третьим лицам или сторонним организациям. Любая подобная передача персональных данных должна быть отражена в договоре и подкреплена согласием субъекта на передачу, иначе подобные действия будут признаны незаконными. Отдельно, и с особым вниманием, экспертами Роскомнадзора будет рассмотрена законность передачи персональных данных за границу Российской Федерации, если она осуществляется.


4. Следующим шагом будет проверка внутренних документов, регламентирующих обработку персональных данных. К ним можно отнести целую группу документов, из которых отдельно стоит выделить документ "Положение о порядке обработки ПДн", детально описывающий цели, правила и порядок обработки, порядок защиты персональных данных при их обработке в организации и обязанности сотрудников организации, допущенных к обработке. В остальном, пакет внутренних документов состоит из приказов, инструкций и положений, разграничивающих доступ к персональным данным, определяющих ответственность допущенных к обработке лиц и определяющих организационные меры по защите персональных данных.


5. Немалое внимание будет уделено проверке соответствия обрабатываемых типов данных заявленным перечням типов персональных данных, указанным в уведомлении и согласиях. В то же время будет проверено, насколько обработка соответствует целям, заявленным в уведомлении и не избыточны ли собираемые персональные данные, так что точность при формулировке целей и выявлении типов персональных данных очень важна.


6. На заключительном этапе будет проверено, осуществляется ли уничтожение персональных данных при достижении целей обработки. На данном этапе замечания встречаются регулярно, так как зачастую персональные данные накапливаются до тех пор, пока хватает места на их хранение, но если обработка продолжается, не находясь в рамках какой-либо обоснованной цели, то это уже является нарушением законодательства. Не стоит забывать, что и просто так уничтожать персональные данные субъектов нельзя, этим должна заниматься специально сформированная комиссия, которая составляет акт по результатам своей деятельности.


Таким образом, в успешном прохождении проверки нет ничего невозможного, если отнестись к ней серьезно. В процессе подготовки стоит изучить сайт Роскомнадзора на предмет последних изменений в законодательстве и перечня самых распространенных нарушений порядка обработки персональных данных. В случае, когда нет уверенности в достаточности уровня готовности к проверке, или на подготовку явно не хватает времени, есть смысл обратиться к компании-интегратору, предоставляющих услуги в области сопровождения проверок Роскомнадзора. Также будет целесообразным воспользоваться онлайн-сервисом для разработки документов, регламентирующих обработку персональных данных своими силами (например DocShell), специально созданным для формирования подобных документов людьми, не являющимися специалистами в сфере информационной безопасности.