10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
3. Назначить ответственных.
4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
6. Ознакомить всех причастных сотрудников с разработанной документацией.
7. Заполнить журналы.
8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Федеральная служба по техническому и экспортному контролю, ФСТЭК – регулятор в сфере обеспечения технической защиты информации.

Предмет контроля:

• соблюдение обязательных требований в области технической защиты информации, в том числе ПДн при их автоматизированной обработке в информационных системах
• эксплуатационные документы и материалы аттестационных испытаний объектов информатизации
• техническая и иная документация по созданию системы защиты информации в государственных информационных системах
• планирующие и отчетные документы о деятельности по технической защите информации, в том числе материалы о результатах контроля эффективности принимаемых мер и СЗИ

Какие документы по персональным данным должны быть в организации

Типовой перечень документов по персональным данным (для Роскомнадзора и не только) в каждой организации следующий:

• положение о работе с персданными сотрудников;
• политика защиты и обработки персданных;
• уведомление в территориальный орган Роскомнадзора о намерении осуществлять обработку ПД;
• приказ о назначении ответственного за работу с персданными;
• регламент допуска сотрудников к обработке ПД;
• обязательство о неразглашении персданных (отдельным документом или в виде дополнительного соглашения);
• согласие сотрудников на обработку ПД;
• уведомление в Роскомнадзор о трансграничной передаче ПД (если таковая есть);
• уведомление в Роскомнадзор об изменении сведений, содержавшихся в предыдущих уведомлениях;
• акт об уничтожении персданных;
• акт об оценке возможного вреда субъектам персданных;
• выгрузка из журнала регистрации событий в системе персданных;
• правила и план внутреннего контроля соответствия обработки ПД;
• протоколы внутренних проверок условий обработки ПД (один раз в три года).

Виды проверок соблюдения законодательства о персональных данных

Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):

• деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
• результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.

1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

Чтобы проверка не застала врасплох, необходимо:

• назначить сотрудников, которые будут нести ответственность за организацию обработки и обеспечение безопасности персональных данных;
• провести аудит среди коллег с целью анализа процессов обработки ПДн;
• разработать и согласовать нужную документацию;
• проверить уровень подготовки сотрудников, занимающихся обработкой ПДн;
• подать уведомление о намерении заниматься обработкой ПДн;
• определить место нахождения базы данных ПДн граждан РФ;
• завести и поддерживать в актуальном состоянии журналы;
• проводить внутренние проверки режима обработки и защиты ПДн;
• фиксировать особенности разработки согласий для категорий субъектов, чьи ПДн подлежат обработке.

Бывают случаи, когда сотрудники РКН могут потребовать от оператора письменное согласие субъекта на обработку ПДн. Документ нужно предоставить, если:

• компания занимается обработкой специальных категорий ПДн (расовая и национальная принадлежность, политические предпочтения, религиозные убеждения, состояние здоровья или интимной жизни);
• обрабатывает биометрические данные;
• передает обработку ПДн третьим лицам;
• готовит общедоступные справочники внутри организации и публикует их в интернете.

Регламент проведения проверок обращения с персданными

Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

Объект проверки

Проверять будут юрлиц и ИП, являющихся операторами персданных.

Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

Виды проверок

Ревизии могут проходить в виде:

1. плановых проверок – выездных и документарных;
2. внеплановых проверок – выездных;
3. мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Внеплановые проверки

Проводятся на основании:

• обращений граждан;
• по требованию прокурора;
• в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

• о проведении плановой проверки – не позднее чем за 3 рабочих дня:
• о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

• заказным письмом с уведомлением о вручении;
• электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

Что будут проверять

Инспекторы проверят:

• документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
• обработку персданных на предмет ее соответствия установленным требованиям;
• информационные системы персданных.

Положение о порядке обработки персональных данных необходимо

Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

Как проверить актуальность персональных данных сотрудников

Дата публикации: 09.10.2017 10:13 (архив)

Начиная с 1 января 2021 года полномочия по администрированию страховых взносов возложены на налоговые органы. Расчет по страховым взносам в 2021 году нужно представлять в налоговую инспекцию один раз в квартал — не позднее 30-го числа месяца, следующего за отчетным периодом (п. 7 ст. 431 Налогового кодекса РФ).

Исходя из положений п. 7 ст. 431 Налогового кодекса РФ расчет по страховым взносам считается непредставленным, если:

• совокупная сумма взносов на пенсионное страхование, исчисленных с выплат в рамках предельной величины базы, за каждый из последних трех месяцев отчетного (расчетного) периода в целом по организации не совпадает с начисленной суммой взносов по каждому работнику;
• указаны недостоверные персональные данные, идентифицирующие застрахованных физических лиц.

В этом случае плательщику не позднее дня, следующего за днем получения расчета в электронной форме (10 дней, следующих за днем получения расчета на бумажном носителе), направляется соответствующее уведомление.

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

• предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
• при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
• при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
• контролирующий орган выносит решение и даёт предписания;
• предприятие выполняет предписания.

Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

• предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
• при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
• при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
• контролирующий орган выносит решение и даёт предписания;
• предприятие выполняет предписания.

Процедура инспекции зависит от ее типа, основными являются следующие:

• Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
• Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
• Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
• Выездные. Территория организации осматривается сотрудниками уполномоченного органа.

Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.

Какие документы по ПД должны быть в организации

Каждая организация обязана иметь перечень документов по персональным данным для Роскомнадзора и других контролирующих органов, куда входят:

• уведомление Роскомнадзора об обработке персданных и об изменении информации, переданной в ранее направленных уведомлениях;
• приказ, в соответствии с которым назначается сотрудник, отвечающий за работу с персональными данными в организации;
• согласие сотрудников на обрабатывание их ПД;
• политика обрабатывания и защиты персональных данных в организации;
• положение о принятых мерах защиты ПД;
• регламент допуска лиц, работающих с персональными данными;
• список лиц, которым требуется допуск к персональным данным, которые проходят обработку в информационной системе;
• обязательство не разглашать персданные;
• правила и план внутреннего контроля соответствия обработки ПД;
• акт уничтожения персональных данных;
• акт, оценивающий вероятный вред, который может быть причинен субъектам ПД;
• уведомление Роскомнадзора о передаче данных трансграничным способом.

Шаг 7. Уведомите Роскомнадзор

152-ФЗ советует отправить в Роскомнадзор уведомление, что компания использует персональные данные.

Закон перечисляет ряд случаев, когда это не обязательно, но лучше исключениями не пользоваться.

Корректно применить исключения к компании сложно. Не легче доказать это контролирующему органу, если он не согласится.

Уведомление отправляется через сайт Роскомнадзора или портал госуслуг, а затем по почте. В уведомлении укажите реквизиты компании и информацию из политики. Используйте инструкцию на сайте Роскомнадзора, она ответит на некоторые вопросы по заполнению.

Этих шагов хватит, чтобы подготовиться к проверке или «письму счастья» из Роскомнадзора. Гарантировать успех в общении с контролирующим органом нельзя, но принять разумные меры стоит уже сегодня… или завтра. Да и Роскомнадзор лоббирует повышение штрафов на порядок.

Похожие записи:

• План счетов бухучёта на 2023 год
• Декларация 3-НДФЛ при продаже машины в 2023 году
• Как изменится работа с ЕГАИС для общепита с 1 сентября 2023 года