Как подготовиться к проверке РКН по персональным данным: полное руководство

О нас

Доброго времени суток, Хабр! Мы . Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы. В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Что такое единая биометрическая система

В июле 2021 г. CNews писал о том, что в России запущена Единая биометрическая система (ЕБС). Вместе с логином и паролем от Госуслуг ЕБС позволяет гражданам дистанционно получать финансовые услуги. Идентификация пользователя в ЕБС происходит по двум параметрам — голосу и лицу, одновременное использование которых позволяет определить живого человека, а не имитацию его биометрических данных в цифровом канале.

Создание системы инициировано ЦБ совместно с Минцифры, разработчиком и оператором системы является «Ростелеком». Драйвером ее создания стала нацпрограмма «Цифровая экономика», целью которой также является повышение доступности цифровых сервисов для граждан в отдаленных регионах и маломобильного населения.

Чего там нового в законодательстве?

По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше 2015 года. Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве.

242-ФЗ

Сначала давайте вспомним небезызвестный 242-ФЗ. В 2015 году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.
Но была в 242-ФЗ и другая сторона, не растиражированная так активно в СМИ.

В 242-ФЗ были очень важные в контексте проводимых РКН проверок по персональным данным изменения: на деятельность Роскомнадзора в сфере защиты прав субъектов персональных данных с 1 сентября 2015 года не распространяется федеральный закон №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Что это значит? Для операторов персональных данных, как можно догадаться, – ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце 2015 года (и в последующих годах) на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.

Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом и, как следствие, — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И врасплох можно было застать только те немногие организации, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных совсем ничего не делалось. Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.

13.11 КоАП РФ

Другое важное законодательное изменение это изменение статьи 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Эти изменения полностью преобразовали наказание за нарушение законодательства в сфере защиты персональных данных. Ранее статья 13.11 не разбивалась на части, и максимальный штраф был предусмотрен в размере 10 тысяч рублей для юридических лиц. Сейчас же здесь имеется 7 частей (да еще и планируется расширение), по одной из которых (нарушение правил обработки специальных категорий персональных данных) предусмотрен максимальный штраф для юридических лиц – 75 000 рублей. К тому же, при выявлении проверяющими разных нарушений – наказания по разным частям статьи КоАП теоретически могут складываться. Почему «теоретически»? Раньше на сайтах региональных управлений РКН в разделе «Новости» постоянно публиковались новости о том, что регулятор проверил условно 3 организации на выполнение законодательства о персональных данных, у организации №1 все хорошо, организацию №2 оштрафовали на 3 тысячи рублей, организацию №3 оштрафовали на 5 тысяч рублей. Можно было собрать такие новости в кучу за год и подбить некоторую статистику по штрафам. Сейчас же таких новостей нет. Если у кого-то имеются данные по штрафам за нарушение 152-ФЗ после изменений в 13.11 КоАП РФ, то можете поделиться такой информацией в комментариях.
Здесь стоит сразу отметить, что в первоначальном тексте законопроекта по изменению статьи 13.11 КоАП РФ изначально фигурировали более значительные суммы штрафов, например, там где в итоге максимальный штраф был установлен в 75 000 рублей, изначально планировалось наказывать аж на 300 000 рублей. Солидно, но до сумм за нарушение GDPR все равно далеко. Но, несмотря на то, что суммы штрафов в итоге сильно уменьшились, к сожалению, некоторые продавцы услуг по защите персональных данных до сих пор пытаются запугать цифрой «300 000». Будьте бдительны.

Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение 152-ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать.

Как подготовиться к проверке регулятора

Если компании предстоит пройти проверку

В зависимости от вида проверки (плановая, внеплановая) различаются сроки уведомления компании о предстоящей проверке. В случае плановой проверки компания уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения, в случае внеплановой — не менее чем за двадцать четыре часа до начала ее проведения. Кроме того, плановые проверки формируются накануне планируемого периода, согласовываются с центральным аппаратом Роскомнадзора и публикуются на сайтах территориальных подразделений. Таким образом, компания может заранее узнать, есть ли она в списке проверок на следующий год, и, соответственно, более качественно подготовиться к проверочным мероприятиям.

Конечно, не рекомендуется начинать заниматься вопросами законности обработки персональных данных накануне проверки (ведь оператор персональных данных должен делать это постоянно), но, как показывает практика, в некоторых компаниях вопросы обработки персональных данных становятся актуальными непосредственно перед проверкой регулятора. И до сих пор встречаются компании, где подобные работы начинаются с нуля.

После того как стало известно о предстоящей проверке, в первую очередь, необходимо определиться, каким образом компания будет к ней готовиться: самостоятельно или с привлечением сторонних организаций-консультантов для более качественного выполнения подготовительных мероприятий (предпочтительнее привлекать к таким работам лицензиатов ФСТЭК России по технической защите конфиденциальной информации, которые обладают соответствующими компетенциями и значительным опытом выполнения работ в части обработки и защиты персональных данных). В любом случае, в компании необходимо определить ответственного сотрудника, который будет выполнять или курировать такие работы.

Также необходимо учитывать сроки, которые есть у компании на подготовку. В случае внеплановой проверки и небольших сроков на подготовку (компания уведомляется о проверке не менее чем за двадцать четыре часа до начала ее проведения) организация вряд ли успеет выполнить полный комплекс работ по приведению своих процессов обработки персональных данных и информационных систем в соответствие требованиям законодательства РФ. В случае если работы в области обработки персональных данных были выполнены ранее, то особых проблем внеплановая проверка не принесет: необходимо будет предоставить имеющиеся организационно-распорядительные документы и продемонстрировать, что процессы обработки персональных данных соответствуют требованиям законодательства.

В случае плановой проверки, как было отмечено выше, можно узнать о ней заранее из формируемых Роскомнадзором планов и спокойно к ней подготовиться, в том числе выполнить полностью все работы по приведению процессов обработки персональных данных и информационных систем в соответствие установленным требованиям.

Что проверяет Роскомнадзор

Чтобы полноценно подготовится к проверке Роскомнадзора, необходимо понимать, что же все-таки проверяет данный регулятор. В соответствии с Административным регламентом в область проверки входит следующее:

• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• информационные системы персональных данных;
• деятельность по обработке персональных данных.

Как правило, накануне проверки Роскомнадзор присылает приказ о проведении проверки, в котором, в том числе, указаны документы, которые запрашивает регулятор в ходе такой проверки. Ниже приведен пример подобного перечня документов, который может запрашиваться Роскомнадзором (перечни могут отличаться в зависимости от территориального органа Роскомнадзора):

• документы, подтверждающие ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и/или обучение указанных работников;
• документы, подтверждающие место размещения баз (информационных систем) персональных данных;
• копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица, индивидуального предпринимателя при проведении проверки;
• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• типовые формы документов и связанные с ними документы (инструкции по заполнению, карточки, реестры, журналы), предполагающие или допускающие содержание персональных данных;
• документы, подтверждающие уничтожение компанией персональных данных субъектов персональных данных по достижении цели обработки;
• локальные акты оператора, регламентирующие порядок и условия обработки персональных данных;
• документы, подтверждающие выполнение компанией предписаний об устранении ранее выявленных нарушений законодательства РФ в области обработки персональных данных;
• письменное согласие субъектов персональных данных на обработку их персональных данных;
• документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных.

Основные мероприятия при подготовке к проверке

Приведение процессов обработки персональных данных и информационных систем в соответствие требованиям законодательства РФ включает в себя следующие основные мероприятия:

1. Аудит процессов обработки персональных данных и информационных систем. Необходимо провести полную ревизию в части обработки персональных данных и определить, что, где, в каком объеме и на каком основании обрабатывается в компании.
2. Разработка организационно-распорядительной документации. Нужно разработать организационно-распорядительные документы, необходимые и достаточные для соответствия установленным требованиям. Кроме того, необходимо назначить различных ответственных сотрудников в области обработки персональных данных. Отдельно стоит отметить подготовку уведомления об обработке персональных данных, которое компания должна подать в Роскомнадзор (законодательством также предусмотрены случаи, когда такое уведомление не требуется). Это уведомление тоже является предметом проверки в части его соответствия реальному положению дел в компании.
3. Создание системы защиты персональных данных. Необходимо определить имеющиеся информационные системы персональных данных, их уровень защищенности и актуальные угрозы безопасности информации. На основе такой информации в компании должны быть определены организационные и технические меры защиты персональных данных, которые ложатся в основу системы защиты персональных данных.
4. Оценка эффективности принятых мер по защите персональных данных. По завершении работ компания должна провести оценку эффективности принятых мер по защите персональных данных. Оценка эффективности может проводиться компанией самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
5. Работа с персоналом. Необходимо ознакомить своих сотрудников с организационно-распорядительными документами в области обработки персональных данных, а также донести информацию об имеющихся процессах обработки персональных данных и провести инструктаж в части ответов на вопросы проверяющих.

Выше мы привели краткое описание основных мероприятий, которые необходимо выполнить накануне проверки. Конечно же, каждый из перечисленных этапов работ включает в себя множество других необходимых мероприятий, которые не рассматриваются в настоящей статье.

В случае, когда у компании работы в части обработки и защиты персональных данных уже выполнены, мы тем не менее рекомендуем актуализировать все выполненные мероприятия по приведенному выше плану.

Наиболее распространенные нарушения

Также подготовиться к проверке поможет информация о наиболее часто выявляемых Роскомнадзором нарушениях в области обработки персональных данных. Список таких нарушений отражает, что смотрит Роскомнадзор и на что обращает внимание.

Сведения о наиболее распространенных нарушениях в области обработки персональных данных Роскомнадзор предоставляет на различных конференциях, кроме того, эта информация отражается в различных отчетах, которые являются общедоступными.

Так, информация по наиболее распространенным в 2021 году нарушениям содержится в документе Роскомнадзора «Обзор правоприменительной практики контрольно-надзорной деятельности в 2017 году», который можно скачать на официальном сайте регулятора.

Согласно приведенной в этом документе информации, в 2021 году регулятором были выявлены следующие типичные нарушения:

• предоставление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения;
• нарушение требований конфиденциальности при обработке персональных данных;
• обработка персональных данных в случаях, не предусмотренных Федеральным законом «О персональных данных».

Виды проверок

Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.
В целом, проверки можно разделить на 2 вида: документарные и выездные.

Документарные проверки

Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. И да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД. О заполнении уведомления
Практика показывает, что у многих операторов персональных данных возникают вопросы — как правильно заполнять те или иные поля уведомления. О самом уведомлении оператора персональных данных мы немного поговорим в этой статье, но вот туториал по заполнению уже тянет на отдельную. Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.

Итак, вы получили такое письмо от Роскомнадзора, что делать?

На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.

Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у РКН. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Можно зайти на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». В 2021 году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до 10-15 организаций. Сейчас такие новости тоже есть, но меньше, связано это, скорее всего с тем, что сам РКН стал менее активно рассылать «письма счастья».

Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.

Скриншот сайта Управления Роскомнадзора по Приморскому краю, 2016 год

Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.

Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.

Выездные проверки

Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:

• проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
• затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
• бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
• в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
• в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
• в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

Здесь, пожалуй, стоит рассказать о том, что нужно помнить во время проведения выездной проверки.
Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки («терять» ключ от кабинета с документами и тому подобные уловки). Да, проверяющие тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае в 2015-2016 годах. Синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, попросите ссылку на законодательство, чем обусловлено сомнительное требование.

Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, а само определение ИСПДн из 152-ФЗ не запрещает объединять информационные системы и описывать их так, как мы этого сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, что вероятно кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но вот бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла совсем не правильно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные неправомерные замечания проверяющих.

В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

• уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
• уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
• персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.

Как проверить наличие уведомления в реестре и что делать дальше

Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.
Дальше ваши действия должны выглядеть примерно следующим образом.

Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.

Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.

Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.

Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:

• уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
• уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

Для таких случаев на портале персональных данных предусмотрена форма для внесения изменений в существующее уведомление.
После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.

Тематика проверок Роскомнадзора

Базовая функция данной федеральной службы — инспекция работы операторов персональных данных. При этом имеются в виду личные сведения и клиентской аудитории, и персонала компании.

Под проверку Роскомнадзора могут попасть:

• государственные учреждения;
• индивидуальные предприниматели;
• частные компании и фирмы.

Они могут вызывать интерес инспекторов в том случае, если собирают и обрабатывают любую информацию о посетителях и клиентах. Даже если у индивидуального предпринимателя в подчинении есть всего два наемных работника, рано или поздно он подвергнется системной проверке.

На предприятии под персональными данными подразумеваются сведения, передаваемые руководству для полноценного выполнения каких-либо трудовых функций: не только физический адрес и пресловутые паспортные данные, но также семейное положение, вуз, стаж и так далее. В сети под персональными данными подразумеваются сведения, загружаемые на сайт для получения услуг.

Итак, предметом проверки Роскомнадзора является:

• Документация, содержащая личные сведения.
• Условия хранения документов. При этом не имеет значения — электронный или бумажный формат выбрала администрации. Проверке подлежат обе формы.
• Компьютеры. Именно в них чаще всего хранятся обрабатывающие системы.
• Локальные приказы, в которых была бы отражена политика компании: 1) по способу хранения и 2) по вариантам обработки персональных сведений.
• Официальный сайт фирмы.

Практически на каждом сетевом ресурсе есть форма для введения персональных данных. Но под административные санкции можно попасть, если сайт не содержит информацию о том, как в дальнейшем компания планирует работать с собранными сведениями.

Единого федерального перечня документов, подлежащих проверке, не существует. Однако администрация должна была готова предоставить в любой момент пакет документов.

В него входят:

1. Учредительные документы (ИНН, ЕГРЮЛ, Устав);
2. Выписка из реестра операторов, из которой явствовало бы намерение компании выполнять ту или иную работу с данными (это первое, что проверяет Роскомнадзор).
3. Полный перечень сведений, нужных компании для функционирования (для продаж, реализации услуг и тд).
4. Перечень должностных лиц, которые имеют доступ к данным.
5. Локальный приказ о допуске должностных лиц к данным.
6. Инструкция для должностных лиц, обязанностью которых является прием и обработка данных. В том числе — меры, которые данные лица должны предпринимать для обеспечения конфиденциальности.
7. Локальный акт об ответственности должностных лиц, допустивших разглашение или утечку данных. Должен быть озвучен запрет на доступ к данным.
8. Локальный акт о коммерческой тайне и о персональных данных, которые собраны и хранятся в компьютерных системах.
9. Локальный акт об обезличивании персональных данных.
10. Локальный акт определения уровня защищенности данных.
11. Содержание инструктажей персонала по требованиям безопасности (предоставляется вместе с журналом инструктажей).
12. Официальные бланки единого формата, которые сотрудники заполняют в момент предоставления ими личных данных. В этих бланках должно отражаться их согласие на обработку сведений.

На любом предприятии имеются те или иные носители информации. Все чаще данные носители являются электронными (флеш-карты или диски). Проверяющие имеют право затребовать журналы учета бумажных носителей или проинспектировать состояние уровня защиты локальной информационной системы.

Документация к проверке

Хотелось оставить этот торжественный момент на конец статьи. Но что уж там, раз уже перешли к разговору о комплекте необходимой документации, то вот ссылка на наш комплект шаблонов. В архиве 4 папки и шаблон «Модели угроз». Здесь мы будем говорить только о документах из папок «Общее» и «ПДн». «Общее» — это документы, которые могут применяться плюс-минус для любых информационных систем, а «ПДн» это чисто роскомнадзоровская часть. Полное описание состава документов в архиве можно посмотреть у нас на сайте.
Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.

Состав документов

Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.
Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.

В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».

О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.

Все остальное описано неоднозначно, примерно в таком духе:

Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; … 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.
Если есть ответственный, то ему полагается инструкция – за что он отвечает, и какие у него есть права и полномочия. Часто такую инструкцию называют «должностной», что на наш взгляд в большинстве случаев не совсем правильно. Ведь «ответственный за организацию обработки персональных данных» это, как правило, не отдельная должность, а лишь дополнительная обязанность, которая возлагается на того или иного сотрудника.

В общем и целом нам необходимо досконально изучить законодательство по защите персональных данных, выискивая намеки на необходимость наличия различных документов. При этом можно написать одно «Положение об обработке и защите персональных данных», а можно сделать отдельно «Положение об обработке…» и «Положение о защите…». Здесь уже как кому больше нравится.

Содержание документов

Хорошо, с составом документов понятно, а что там с содержанием? А с этим еще хуже. Есть редкие рекомендации регуляторов, как например здесь, но это скорее исключения. В целом здесь можно дать такие общие рекомендации:

• Описания ИСПДн, систем защиты, технологических процессов обработки ПДн и прочих индивидуальных вещей должны быть конкретными, отражающими реальную картину происходящего. Если это все будет описано слишком общими и абстрактными фразами, можно получить претензию от проверяющего.
• Различные перечни (субъектов ПДн, самих ПДн) должны соответствовать действительности.
• Документы должны быть актуальными. Если ответственным за организацию обработки персональных данных назначен давно уволившийся сотрудник, то это гарантированное предписание.
• Журналы должны быть хотя бы минимально заполнены. Хотя бы те журналы, по которым не получится обосновать их абсолютную чистоту. Например, есть журнал учета обращений субъектов ПДн. На самом деле не такая уж и редкая ситуация когда к оператору никто никогда не обращался с подобными запросами. А есть журнал учета инструктажей по информационной безопасности. И вот уже если этот журнал чистый – могут быть вопросы.
• Письменное согласие субъекта на обработку его персональных данных должно соответствовать статье 9 закона «О персональных данных». Так, например, многие забывают указать в согласии юридический адрес оператора, которому дается согласие. Также нужно помнить, что согласие должны быть сознательным и конкретным. Раньше многие любили добавлять фразу «даю свое согласие на передачу моих персональных данных третьим лицам». Сейчас такая практика пресекается, необходимо указать какие именно ПДн будут передаваться, кому именно и с какой целью.
• Все причастные сотрудники к тому или иному документу должны быть ознакомлены с этим документом. Например, все допущенные к обработке персональных данных должны быть под роспись ознакомлены с приказом, утверждающим соответствующий список.

В конце раздела хотелось бы еще попросить не вестись на рассылки различных мошенников, которые предлагают «сертифицированный комплект документов по защите персональных данных». Зачастую такие мошенники пытаются выдать себя за госорганизацию и иногда делают это очень правдоподобно. Заплатив им деньги, вы в лучшем случае получите набор болванок хуже качеством, чем у представленных здесь бесплатно.

Что проверяет Роскомнадзор по персональным данным?

Чем руководствуются?

Список основных документов, содержащих правовые основания для проверки выглядит следующим образом:

• Федеральный закон 152-ФЗ “О персональных данных”,
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
• Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Что проверяют?

Проверяют условия обработки персональных данных, делая упор исключительно на состоянии организационных мер по защите информации. В технические меры не углубляются, хотя обязательно посмотрят все информационные системы персональных данных в организации. Накануне проверки срочно устанавливать пароли на всех компьютерах нет особой необходимости, на это обращать внимания не будут.

А конкретнее?

Если конкретнее, то стоит отметить, что в разных регионах специфика проверок разная. В этом мы убедились из опыта общения с различными учреждениями, «коллегами по цеху» и непосредственно представителями проверяющего ведомства. Единую таблетку от всех проверок выписать невозможно, однако сформулировать ряд рекомендаций – вполне.

Итак, в базе Роскомнадзора должны быть сведения об операторе персональных данных, то есть, о вас. Есть исключения, но, если к вам идет проверка – значит, вы, скорее всего, у них в базе числитесь. Сведения должны быть актуальными.

Ваш сайт должен соответствовать требованиям законодательства. То есть, если у вас есть разделы «обратная связь», «обращение граждан» или другие подобные формы, на которых вы собираете любые данные о физических лицах, то вы обязаны взять с этого лица согласие на обработку его персональных данных. В настоящее время идут споры о том, является ли простановка галочки в чек-боксе юридически значимым действием, однако, сами проверяющие относятся к этому вполне лояльно. Кроме того, законодательство обязывает организацию разместить на сайте «Политику в отношении обработки персональных данных». Желательно размещать ее в таком месте, чтобы ее можно было найти как можно проще.

Что касается списка документов по защите персональных данных для проверки Роскомнадзора, то можно выделить следующие основные группы документов:

• По неавтоматизированной обработке персональных данных. Включают в себя перечень мест хранения бумажных носителей персональных данных, лиц, имеющих к ним доступ, и положение о неавтоматизированной обработке персональных данных;
• О приеме обращений субъектов персональных данных. Включает в себя положение о порядке приема обращений, набор шаблонов заявлений и обращений по этому вопросу;
• Для работы отдела кадров. Включают в себя согласия на обработку персональных данных работников и журнал ознакомления сотрудников с положениями по защите персональных данных в организации;
• По установлению уровня защищенности для информационных систем персональных данных. Включают в себя акты установления уровня защищенности информационных систем персональных данных и положения о мерах по обеспечению принятых уровней защищенности;
• О назначении ряда ответственных сотрудников по работе с персональными данными. Включают в себя назначения ответственного за организацию обработки персональных данных, ответственного за обеспечение контролируемой зоны, ответственного за безопасность информации, ответственных за обеспечение конфиденциальности персональных данных во всех подразделениях;
• По защите от несанкционированного доступа. Включают в себя положения о порядке устранения последствий от несанкционированного доступа, назначения ответственного за восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• По правилам уничтожения персональных данных. Включают в себя положения об уничтожении персональных данных, назначение комиссии по уничтожению персональных данных, акты уничтожения материальных носителей персональных данных;
• О разграничении доступа к персональным данным. Включают в себя списки сотрудников, допущенных до обработки персональных данных, списки сотрудников, допущенных в кабинеты и/или информационные системы персональных данных, положения о разграничении прав доступа, матрицу доступа, инструкции пользователям и администраторам;
• По работам с персональными данными. Перечень носит объемный характер и, в общем случае, содержит множество инструкций, регламентов и правил, описывающих хранение и передачу персональных данных внутри организации.

Безусловно, не стоит забывать про модель угроз. Сам документ проверяющие из РКН не смотрят, но им важно его наличие. Модель угроз – это вотчина ФСТЭК, но это тема совершенно другой статьи.

А штрафы?

Штрафы есть. Они определены Статьей 13.11 КоАП. В отличие от Проверки ФСБ, Роскомнадзор предпочитает накладывать штраф не на физическое лицо, а на юридическое. Стоит отметить, что штрафы суммируются. Так что сумма наказания вполне может достигать размера в 150 000 рублей.

Чтобы избежать наложения таких штрафов, мы рекомендуем обращаться к профессионалам. Как минимум, с целью проведения обследования состояния вашей системы документов и получения рекомендаций по их доработке. Это, в любом случае, поможет вам лучше разобраться в состоянии дел по защите персональных данных в вашей организации.

Вывод

Проверку можно легко пройти, если на вас нет «зуба» у проверяющих, и вы подготовились к их приходу, т.е. собрали необходимые документы, сделали и заверили копии, а также подготовили сотрудников, чтобы те не говорили лишнего. О том, как правильно подготовить сотрудников к предстоящим проверкам регуляторов, мы обязательно напишем в следующих статьях.

И по традиции, полезность! Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны Роскомнадзора, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.

Вы получите следующие шаблоны документов:

• Приказ об утверждении правил рассмотрения запросов субъектов персональных данных;
• Приказ о порядке уничтожения персональных данных.