Проверки Роскомнадзора по персональным данным. Часть 2. Управление информационной безопасностью
Авторы Наши партнёры Наши проекты: IT WorldIT-Weekly
IT-Manager Allcio Manager
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Проверки Роскомнадзора по персональным данным. Часть 2

Лента новостейБезопасностьУправление ИБ

Проверки Роскомнадзора по персональным данным. Часть 2

Ксения Шудрова | 19.12.2017

В первой части мы определились с тем, кто может проверять юридические лица в сфере персональных данных, и выяснили, что наиболее вероятна проверка со стороны Роскомнадзора. Также в статье были обозначены права контролирующего органа, подробно описаны виды наказаний по статье 13.11 КоАП и выделены основные нарушения за 2016–2017 гг. Во второй части мы поговорим о том, как проходят проверки и что они собой представляют, а затем составим примерный перечень документов, необходимых для разработки.

Для начала нужно определиться, чем регламентировано проведение проверок и какими они бывают. В 2009 году был издан первый «Административный регламент проведения проверок Федеральной службой в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630). В 2011 году он был заменен на ныне действующий «Административный регламент исполнения федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» (утвержден приказом Минкомсвязи России от 14 ноября 2011 г. № 312). В 2014-м в него дважды вносились изменения (приказами Минкомсвязи России от 08.10.2014 № 340 и от 24.11.2014 № 403). Действующую версию документа можно найти в открытом доступе, в первую очередь на сайте Роскомнадзора в разделе «Правовая информация — Административные регламенты»[1].

Давайте кратко ознакомимся с содержимым регламента. В нем сказано, что предметом контроля являются как документы, содержащие персональные данные, так и информационные системы персональных данных, и деятельность по их обработке в целом. При проведении проверок Роскомнадзор имеет право самостоятельно составлять протоколы об административном правонарушении и направлять в правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях и о возбуждении уголовных дел.

Права контролирующего органа, прописанные в регламенте, раскрывают положения ст. 23 Федерального закона № 152-ФЗ «О персональных данных». В ходе проведения проверки Роскомнадзор может запрашивать документы, касающиеся обработки персональных данных, а также получать доступ к информационным системам персональных данных. Роскомнадзор может проверить даже эффективность технических мер по обеспечению безопасности персональных данных в негосударственных информационных системах персональных данных. Для этой цели привлекаются эксперты и экспертные организации.[2]

По результатам проверки оформляется акт, если выявлены нарушения, то выдается предписание об их устранении. В ходе проверки или по ее итогам может быть принято решение о возбуждении дела об административном или уголовном правонарушении.

Существует только два типа проверок — плановые и внеплановые (таблица 3).

Таблица 3

img

Для того чтобы понять, насколько вероятно проведение Роскомнадздором проверки в отношении вашей организации, давайте обратимся к статистике. Согласно данным официальных отчетов Роскомнадзора[3], в 2016 году было проведено 1307 плановых проверок по персональным данным. Причем нарушения были выявлены в 49% случаев. Внеплановых проверок прошло лишь 99, нарушения выявлены в 24% случаев.

В 2015 году проведено 1160 плановых проверок (из них 132 пришлось на государственные и муниципальные организации) и 104 внеплановые. Проверки государственных и муниципальных органов представлены отдельно: в 2015-м их было 132, в 2016-м — 333. В первой половине 2017-го Роскомнадзор провел 532 плановые проверки и 32 внеплановые.

Если с плановыми проверками все понятно — о них известно заранее, то наибольший интерес представляют внеплановые мероприятия, которые в большинстве случаев проводятся по запросам субъектов. Основные жалобы субъектов персональных данных относятся к следующим категориям организаций:

  • кредитные организации;

  • организации ЖКХ;

  • организации — владельцы интернет-сайтов;

  • коллекторские агентства[4].

Кроме плановых и внеплановых проверок, Роскомнадзор осуществляет систематическое наблюдение в сфере персональных данных. Только за первое полугодие 2017-го проведено 1088 мероприятий, из них 25 внепланово. Такое наблюдение включает всего проверку информации в сети Интернет, выявление точек продаж баз персональных данных, проверку размещения информации в общественных местах (например, наружной рекламы). По данным отчета Роскомнадзора, за первое полугодие 2017-го[5] основными нарушителями, выявленными в результате систематического наблюдения, являются:

  • государственные и муниципальные органы государственной власти — 66 нарушений;

  • учреждения высшего, среднего, начального и общего образования — 66 нарушений;

  • учреждения здравоохранения — 62 нарушения;

  • организации в сфере ЖКХ — 51 нарушение;

  • финансово-кредитные организации — 28 нарушение;

  • операторы связи — 26 нарушений.

Как видно, многие организации попадают в категорию риска, поэтому готовиться к проверке желательно всем.

Что нужно будет сделать?

  • разработать документы, определяющие правила работы с персональными данными, а также способы обеспечения их безопасности.

  • защитить информационные системы.

  • определить помещения для обработки персональных данных и установить порядок доступа в них.

  • обучить сотрудников, занимающихся обработкой и защитой персональных данных.

Основной этап подготовки к проверке — разработка документов. Очень важно определиться с необходимым и достаточным комплектом документов. В первую очередь можно выделить три важных документа, на которые следует обратить особое внимание: уведомление об обработке персональных данных, письменное согласие субъекта на обработку персональных данных и политика обработки персональных данных. Первые два из них необязательны, но более подробно об этом мы поговорим в третьей части.

Официального перечня, что должно входить в полный комплект документов для информационной системы персональных данных, нет. Поэтому нужно составить список самостоятельно на основании фрагментов разрозненной информации. Так, согласно положениям административного регламента Роскомнадзор может проверить следующие документы:

  • уведомление об обработке персональных данных — есть исключения, когда такое уведомление подавать не нужно;

  • документы, необходимые для проверки фактов нарушений при внеплановой проверке (если они были);

  • документы, подтверждающие выполнение предписаний об устранении ранее выявленных нарушений — в случае повторной проверки;

  • письменное согласие субъекта персональных данных на обработку его персональных данных — во многих случаях не требуется;

  • документы, подтверждающие соблюдение требований законодательства при обработке специальных категорий и биометрических персональных данных;

  • документы, подтверждающие уничтожение персональных данных субъектов персональных данных по достижении цели обработки;

  • локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

Таким образом, если организация обрабатывает персональные данные исключительно своих работников (одно из исключений, когда уведомление можно не подавать), проверка плановая (фактов нарушения нет) и ранее предписания не выдавались, теоретически можно ограничиться предоставлением положения об обработке персональных данных и формы согласия на обработку персональных данных.

В законе «О персональных данных» можно найти косвенные упоминания о необходимости разработать документы (таблица 4).

Таблица 4

img

Не стоит забывать, что для бумажной обработки нужно руководствоваться положениями Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 г. Москва «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и разработать порядок обработки персональных данных, осуществляемой без использования средств автоматизации.

Также примерный перечень документов можно найти в Постановлении Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Если убрать привязку к государственной службе и немного адаптировать названия документов, получится следующий список:

  • правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, сроки их обработки и хранения, порядок уничтожения;

  • правила рассмотрения запросов субъектов персональных данных или их представителей;

  • правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

  • правила работы с обезличенными данными в случае обезличивания персональных данных

  • перечень информационных систем персональных данных;

  • перечни персональных данных;

  • перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных;

  • перечень должностей, которые предусматривают осуществление обработки персональных данных либо осуществление доступа к персональным данным;

  • должностная инструкция ответственного за организацию обработки персональных данных;

  • типовое обязательство работника, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей; 

  • типовая форма согласия на обработку персональных данных

  • порядок доступа в помещения, в которых ведется обработка персональных данных

В третьей части статьи мы более подробно остановимся на основных видах документов и непосредственной подготовке к прохождению проверке.




[1] https://rkn.gov.ru/chamber-of-commerce/administrative-reglament/


[2] Включенные в установленном порядке в реестр граждане и организации, привлекаемые Роскомнадзором в качестве экспертов, экспертных организаций к проведению мероприятий по контролю.


[3] https://rkn.gov.ru/plan-and-reports/reports/p449/


[4] https://rkn.gov.ru/plan-and-reports/reports/p449/


[5] https://rkn.gov.ru/plan-and-reports/reports/p449/


[6] Здесь и далее в таблице – статьи Федерального закона № 152-ФЗ «О персональных данных»



Теги: персональные данные, безопасность

Горячие темы: Угрозы и риски ИБ

Журнал IT-Manager № 11/2017

Об авторе

Ксения Шудрова

Ксения Шудрова

руководитель Красноярского отделения RISC, блогер


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме
Другие материалы рубрики

мероприятия

| 07.02.2018
Бизнес встреча «Цифровая трансформация промышленного предприятия»

Санкт-Петербург, Санкт-Петербург, ул. Достоевского, д. 19/21, лит. Б, Интеллектуальный кластер "Игры разума", Арт пространство "Delos"

Также смотрите

Журнал IT-Manager: № 11/2017

Последние новости

Фоторепортажи

Мероприятия

<<<< Январь >>>>
Пн Вт Ср Чт Пт Сб Вс
1234567
891011121314
15161718192021
22232425262728
2930311234