Здравствуйте, в этой статье мы постараемся ответить на вопрос: «10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.
Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.
- Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
- Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
- Назначить ответственных.
- Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
- Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
- Ознакомить всех причастных сотрудников с разработанной документацией.
- Заполнить журналы.
- Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
- Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.
Федеральная служба по техническому и экспортному контролю, ФСТЭК – регулятор в сфере обеспечения технической защиты информации.
Предмет контроля:
- соблюдение обязательных требований в области технической защиты информации, в том числе ПДн при их автоматизированной обработке в информационных системах
- эксплуатационные документы и материалы аттестационных испытаний объектов информатизации
- техническая и иная документация по созданию системы защиты информации в государственных информационных системах
- планирующие и отчетные документы о деятельности по технической защите информации, в том числе материалы о результатах контроля эффективности принимаемых мер и СЗИ
Какие документы по персональным данным должны быть в организации
Типовой перечень документов по персональным данным (для Роскомнадзора и не только) в каждой организации следующий:
- положение о работе с персданными сотрудников;
- политика защиты и обработки персданных;
- уведомление в территориальный орган Роскомнадзора о намерении осуществлять обработку ПД;
- приказ о назначении ответственного за работу с персданными;
- регламент допуска сотрудников к обработке ПД;
- обязательство о неразглашении персданных (отдельным документом или в виде дополнительного соглашения);
- согласие сотрудников на обработку ПД;
- уведомление в Роскомнадзор о трансграничной передаче ПД (если таковая есть);
- уведомление в Роскомнадзор об изменении сведений, содержавшихся в предыдущих уведомлениях;
- акт об уничтожении персданных;
- акт об оценке возможного вреда субъектам персданных;
- выгрузка из журнала регистрации событий в системе персданных;
- правила и план внутреннего контроля соответствия обработки ПД;
- протоколы внутренних проверок условий обработки ПД (один раз в три года).
Виды проверок соблюдения законодательства о персональных данных
Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:
- Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
- деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
- результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
- Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).
Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).
- Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).
Чтобы проверка не застала врасплох, необходимо:
- назначить сотрудников, которые будут нести ответственность за организацию обработки и обеспечение безопасности персональных данных;
- провести аудит среди коллег с целью анализа процессов обработки ПДн;
- разработать и согласовать нужную документацию;
- проверить уровень подготовки сотрудников, занимающихся обработкой ПДн;
- подать уведомление о намерении заниматься обработкой ПДн;
- определить место нахождения базы данных ПДн граждан РФ;
- завести и поддерживать в актуальном состоянии журналы;
- проводить внутренние проверки режима обработки и защиты ПДн;
- фиксировать особенности разработки согласий для категорий субъектов, чьи ПДн подлежат обработке.
Бывают случаи, когда сотрудники РКН могут потребовать от оператора письменное согласие субъекта на обработку ПДн. Документ нужно предоставить, если:
- компания занимается обработкой специальных категорий ПДн (расовая и национальная принадлежность, политические предпочтения, религиозные убеждения, состояние здоровья или интимной жизни);
- обрабатывает биометрические данные;
- передает обработку ПДн третьим лицам;
- готовит общедоступные справочники внутри организации и публикует их в интернете.
Регламент проведения проверок обращения с персданными
Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.
Объект проверки
Проверять будут юрлиц и ИП, являющихся операторами персданных.
Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.
Виды проверок
Ревизии могут проходить в виде:
- плановых проверок – выездных и документарных;
- внеплановых проверок – выездных;
- мероприятий без взаимодействия инспекторов с операторами.
Плановые проверки
Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.
Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.
В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.
Внеплановые проверки
Проводятся на основании:
- обращений граждан;
- по требованию прокурора;
- в случае неисполнения оператором предписания.
Уведомление компании
Роскомнадзор должен уведомить фирму:
- о проведении плановой проверки – не позднее чем за 3 рабочих дня:
- о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.
Способ уведомления – направление копии приказа о проведении проверки (либо-либо):
- заказным письмом с уведомлением о вручении;
- электронным документом с усиленной квалифицированной электронной подписью на электронную почту.
Что будут проверять
Инспекторы проверят:
- документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
- обработку персданных на предмет ее соответствия установленным требованиям;
- информационные системы персданных.
Положение о порядке обработки персональных данных необходимо
Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.
Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.
Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.
Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Поэтому у государственного инспектора труда имелись основания для выдачи предписания.
Как проверить актуальность персональных данных сотрудников
Дата публикации: 09.10.2017 10:13 (архив)
Начиная с 1 января 2021 года полномочия по администрированию страховых взносов возложены на налоговые органы. Расчет по страховым взносам в 2021 году нужно представлять в налоговую инспекцию один раз в квартал — не позднее 30-го числа месяца, следующего за отчетным периодом (п. 7 ст. 431 Налогового кодекса РФ).
Исходя из положений п. 7 ст. 431 Налогового кодекса РФ расчет по страховым взносам считается непредставленным, если:
- совокупная сумма взносов на пенсионное страхование, исчисленных с выплат в рамках предельной величины базы, за каждый из последних трех месяцев отчетного (расчетного) периода в целом по организации не совпадает с начисленной суммой взносов по каждому работнику;
- указаны недостоверные персональные данные, идентифицирующие застрахованных физических лиц.
В этом случае плательщику не позднее дня, следующего за днем получения расчета в электронной форме (10 дней, следующих за днем получения расчета на бумажном носителе), направляется соответствующее уведомление.
Как проходит проверка Роскомнадзора по защите персональных данных
Программа предусматривает поэтапное взаимодействие:
- предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
- при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
- при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
- контролирующий орган выносит решение и даёт предписания;
- предприятие выполняет предписания.
Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.
Как проходит проверка Роскомнадзора по защите персональных данных
Программа предусматривает поэтапное взаимодействие:
- предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
- при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
- при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
- контролирующий орган выносит решение и даёт предписания;
- предприятие выполняет предписания.
Процедура инспекции зависит от ее типа, основными являются следующие:
- Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
- Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
- Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
- Выездные. Территория организации осматривается сотрудниками уполномоченного органа.
Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.
Какие документы по ПД должны быть в организации
Каждая организация обязана иметь перечень документов по персональным данным для Роскомнадзора и других контролирующих органов, куда входят:
- уведомление Роскомнадзора об обработке персданных и об изменении информации, переданной в ранее направленных уведомлениях;
- приказ, в соответствии с которым назначается сотрудник, отвечающий за работу с персональными данными в организации;
- согласие сотрудников на обрабатывание их ПД;
- политика обрабатывания и защиты персональных данных в организации;
- положение о принятых мерах защиты ПД;
- регламент допуска лиц, работающих с персональными данными;
- список лиц, которым требуется допуск к персональным данным, которые проходят обработку в информационной системе;
- обязательство не разглашать персданные;
- правила и план внутреннего контроля соответствия обработки ПД;
- акт уничтожения персональных данных;
- акт, оценивающий вероятный вред, который может быть причинен субъектам ПД;
- уведомление Роскомнадзора о передаче данных трансграничным способом.
Шаг 7. Уведомите Роскомнадзор
152-ФЗ советует отправить в Роскомнадзор уведомление, что компания использует персональные данные.
Закон перечисляет ряд случаев, когда это не обязательно, но лучше исключениями не пользоваться.
Корректно применить исключения к компании сложно. Не легче доказать это контролирующему органу, если он не согласится.
Уведомление отправляется через сайт Роскомнадзора или портал госуслуг, а затем по почте. В уведомлении укажите реквизиты компании и информацию из политики. Используйте инструкцию на сайте Роскомнадзора, она ответит на некоторые вопросы по заполнению.
Этих шагов хватит, чтобы подготовиться к проверке или «письму счастья» из Роскомнадзора. Гарантировать успех в общении с контролирующим органом нельзя, но принять разумные меры стоит уже сегодня… или завтра. Да и Роскомнадзор лоббирует повышение штрафов на порядок.