Статьи

Тяжело в учении, легко в бою. Готовимся к проверке Роскомнадзора.

21.05.2014

/

Надейся на лучшее, а готовься к худшему. Сегодня деятельность любой компании может быть проверена Роскомнадзором на предмет соответствия требованиям законодательства в области персональных данных.

И даже если в план проверок на 2014 год ваша организация не попала, а внеплановых проверок вы не боитесь, то полезно бывает время от времени устраивать учения, которые, кстати, являются обязательными в соответствие с п.1 ч.4 ст. 22.1 152-ФЗ "О персональных данных".


К нам едет ревизор...



О визите Роскомнадзора вас обязательно предупредят письмом (или факсом), к которому будет приложена копия приказа о проверке. Предупредить они обязаны не менее чем за 3 рабочих дня до начала проверки (обычно за неделю).

Письмо и приказ будет выглядеть примерно так.


Что делать?




Первым делом следует сразу прочитать эти документы, чтобы знать свои права и тем более обязанности.

Полезно их будет распечатать и показывать выдержки в случае необходимости государственным инспекторам.

Затем необходимо найти ваше уведомление в реестре операторов персональных данных и очень внимательно его прочитать! Особо обратите внимание на адреса офисов и филиалов, ФИО ответственного за организацию обработки персональных данных, категории субъектов персональных данных. Частенько там забывают указать "ближайших родственников" из карточки Т2, "поручителей" из договоров, а так же "инвалидность", "водительское удостоверение", "предыдущие места работы", "телефон" из анкеты о приёме на работу сотрудников.

Если что-то в уведомлении будет не соответствует действительности - сразу получите предписание по статье КоАП 19.7 (3-5 тысяч рублей).

Если уведомления у вас нет, и вы точно уверены, что оно вам не нужно, рекомендую подготовить "справку о причинах неуведомления", в которой указать причины неуведомления Роскомнадзора (нужные подпункты из ч.2 ст.22 152-ФЗ) и подписать у руководителя организации.

Особое внимание следует уделить анкетам кандидатов на приём на работу! Инспектор обязательно попросит шаблон такой анкеты! Может попросить и заполненную анкету одного из кандидатов. Тут, кстати, не попадитесь: если анкеты кандидатов вы храните, а не уничтожаете, то на это нужно согласие самого кандидата!

В анкете не должно быть судимости (если закон не обязывает вас спрашивать об этом у кандидата). Не нужна графа "национальность", "инвалидность", "вредные привычки", "психологические качества" - это все спец.категории ПДн со всеми вытекающими последствиями! Если поправки в КоАП примут, за эти графы даже в старых анкетах можно будет получить до 300 тысяч штрафа! Шаблон анкеты должен так же соответствовать требованиям п.7 ПП 687: на анкете должно быть наименование организации, адрес, цели и сроки обработки персональных данных.

Должен быть разработан, утвержден и доведен под роспись до ответственных лиц весь перечень внутренних документов в области персональных данных:

  • копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица при проведении проверки;
  • учредительные документы оператора;
  • положение о порядке обработки персональных данных;
  • положение о подразделении, осуществляющем функции по организации защиты персональных данных;
  • должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;
  • план мероприятий по защите персональных данных;
  • план внутренних проверок состояния защиты персональных данных;
  • приказ о назначении ответственных лиц по работе с персональными данными;
  • типовые формы документов, предполагающие или допускающие содержание персональных данных;
  • журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
  • приказы об утверждении мест хранения материальных носителей персональных данных;
  • приказы об установлении перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
  • документы, подтверждающие информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
  • документы, содержащие сведения о соблюдении условий, обеспечивающих сохранность персональных данных граждан и исключающих несанкционированный к мим доступ, перечень мер необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер;
  • письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
  • распечатки электронных шаблонов полей, содержащие персональные данные;
  • справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
  • журналы (книги) учета обращений граждан (субъектов персональных данных);
  • акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
  • копии документов о назначении ответственного за организацию обработки персональных данных;
  • копии документов, определяющих политику оператора в отношении обработки персональных данных;
  • копии локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
  • копии документов, регламентирующих применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • копии локальных актов оператора персональных данных, регламентирующих порядок осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
  • копии документов оператора, направленных на оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения федерального законодательства в области персональных данных, соотношение указанного вреда и принимаемых оператором мер;
  • копии документов об ознакомлении работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
  • копии документов по обеспечению безопасности персональных данных (в том числе, документы по определению угроз безопасности персональных данных; документы по применению организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; документы по применению прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; документы по оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; документы по учету машинных носителей персональных данных; документы по обнаружению фактов несанкционированного доступа к персональным данным и принятием мер; документы по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; документы по установлению правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; документы по контролю за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных);
  • журнал учета проверок юридического лица, проводимых органами государственного контроля (надзора), органами муниципального контроля.

Это копипаст из шаблона письма Роскомнадзора, ссылку на которое я давал в самом начале поста. Перечень документов уже пару лет как не меняется, поэтому есть смысл пробежаться глазами по всему списку и подготовить ответ по каждому пункту.

Хорошая новость заключается в том, что большую часть своего внимания сотрудники Роскомнадзора сосредоточат на вашем отделе кадров и бухгалтерии. У каждой компании свои методы и системы обработки персональных данных клиентов, но отдел кадров у всех работает одинаково, поэтому его легче проверять. Это, конечно, не правило, а только лишь наблюдение.

Пройти успешно проверку Роскомнадзора можно и своими силами, не прибегая к услугам компаний-интеграторов. Главное помнить, что защита персональных данных - это не разовое событие, а постоянный процесс. И если закупку межсетевых экранов и систем контроля доступа можно откладывать, ссылаясь на нехватку бюджетов, то документы по защите персональных данных должны быть у каждой организации. Сегодня это совсем не тяжело сделать.


Артем Агеев