Как подготовиться к проверке Роскомнадзора по персональным данным

Как подготовиться к проверке регуляторов по персональным данным

Как подготовиться к проверке регуляторов по персональным данным

Если деятельность компании связана с обработкой персональных данных, необходимо учитывать много нюансов. На требования каких регуляторов в России следует ориентироваться? Какие виды проверок существуют? Как к ним подготовиться? В статье описан пошаговый алгоритм подготовки к проверкам, а также рассмотрены типичные нарушения, выявляемые надзорными органами.

 

 

 

  1. Введение
  2. Проверка в области обработки и защиты персональных данных
    1. 2.1. Законодательство в области персональных данных
    2. 2.2. Регуляторы в области персональных данных
    3. 2.3. Виды проверок
  3. Как подготовиться к проверке регулятора
    1. 3.1. Если компании предстоит пройти проверку
    2. 3.2. Что проверяет Роскомнадзор
    3. 3.3. Основные мероприятия при подготовке к проверке
    4. 3.4. Наиболее распространенные нарушения
  4. Выводы

 

Введение

Обработка персональных данных в настоящее время присутствует в каждой компании. Отличием лишь является состав и объем обрабатываемых данных: в каких-то компаниях обрабатывается небольшой массив данных только по своим работникам, в других могут обрабатываться данные различных групп субъектов персональных данных и уже в больших объемах. В той или иной степени всем российским компаниям необходимо выполнять требования законодательства Российской Федерации по персональным данным.

Законодательство в области обработки персональных данных сегодня можно считать вполне сформировавшимся. Основополагающему закону о персональных данных уже более 10 лет. За это время была разработана нормативная база в развитие отдельных положений федерального закона (постановления, приказы), при этом сам федеральный закон и нормативные акты уже не раз менялись и продолжают изменяться.

При наличии обязательных требований в области обработки и защиты персональных данных законодательством предусмотрены также государственный контроль и надзор за их соблюдением. И хотя законодательство не является новым, у большинства компаний возникают трудности при прохождении такого госконтроля (проверки). При этом нередко компании начинают заниматься вопросами обеспечения соответствия требованиям законодательства только накануне запланированной проверки со стороны регулятора. Поэтому начало подготовки к проверке в области обработки персональных данных можно охарактеризовать одной знаменитой фразой из комедии великого русского писателя Николая Гоголя «Ревизор»: «Я пригласил вас, господа, с тем, чтобы сообщить вам пренеприятнейшее известие: к нам едет ревизор».

Ниже в статье рассмотрим, кто и что проверяет и как можно подготовиться к такой проверке.

 

Проверка в области обработки и защиты персональных данных

Законодательство в области персональных данных

В статье не ставится задача детального описания всей нормативной базы, которая относится или может быть отнесена к области обработки и защиты персональных данных. Рассмотрим основные нормативно-правовые акты в области обработки и защиты персональных данных, которые являются минимально необходимыми и достаточными для выполнения среднестатистической российской компанией установленных требований законодательства.

Основные требования в области обработки персональных данных содержатся в следующих нормативных документах:

  • федеральных законах (основным федеральным законом является ФЗ-152 «О персональных данных»);
  • постановлениях Правительства Российской Федерации;
  • ведомственных документах (различных нормативных актах Роскомнадзора, ФСТЭК России и ФСБ).

На рисунке ниже представлена структура основных нормативно-правовых актов в области обработки и защиты персональных данных, которые необходимо знать перед грядущей проверкой. При этом еще раз обращаем внимание на то, что в статье не рассматриваются различные федеральные законы в сфере информационных технологий и защиты информации, указы Президента, постановления Правительства РФ для государственных и муниципальных органов, документы в области лицензирования деятельности по технической защите конфиденциальной информации и т. д.

 

Рисунок 1. Структура основных нормативно-правовых актов в области обработки и защиты персональных данных

Структура основных нормативно-правовых актов в области обработки и защиты персональных данных

 

Для обеспечения соответствия требованиям основных нормативно-правовых актов компании необходимо выполнить следующие работы:

  • привести в соответствие требованиям законодательства свои процессы обработки персональных данных, в том числе разработать необходимую организационно-распорядительную документацию;
  • привести в соответствие требованиям законодательства свои информационные системы, в которых осуществляется обработка персональных данных, а также создать систему защиты персональных данных.

Таким образом, указанные нормативно-правовые акты отражают основные вопросы, которые проверяются при проведении проверок в области обработки персональных данных. Ниже рассмотрим, кто может быть тем самым проверяющим и какие виды проверок могут проводиться.

Регуляторы в области персональных данных

Определившись с законодательством РФ в области обработки персональных данных, перейдем к рассмотрению регуляторов, которые могут выступать в роли проверяющих в области обработки персональных данных.

В соответствии с ФЗ-152 функции по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ осуществляет уполномоченный орган по защите прав субъектов персональных данных, которым является федеральный орган исполнительной власти — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Но Роскомнадзор может контролировать только вопросы, связанные с обработкой персональных данных, а именно соответствие такой обработки требованиям законодательства. Выполнение организационных и технических мер по обеспечению безопасности персональных данных контролируют органы исполнительной власти, уполномоченные в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации — ФСБ России и ФСТЭК России соответственно. ФСТЭК России контролирует вопросы технической защиты персональных данных, ФСБ России — вопросы защиты персональных данных в части использования средств криптографической защиты информации.

Вопросы обработки персональных данных также могут быть затронуты в рамках проверок трудовой инспекции. В этой связи отметим, что основные требования Трудового кодекса выполняются в рамках общего законодательства по персональным данным и в настоящей статье не рассматриваются.

Таким образом, есть три основных регулятора в области обработки и защиты персональных данных. Но при этом стоит отметить, что обозначенные регуляторы могут проверять не все организации. В соответствии с ФЗ-152, ФСТЭК России и ФСБ России уполномочены осуществлять контроль и надзор только при обработке персональных данных в государственных информационных системах, а также, в отдельных случаях, по решению Правительства РФ такие проверки могут осуществляться в отношении информационных систем персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных. Поэтому большая часть компаний не попадает в область интересов указанных структур. В то же время практика проверок частных компаний присутствует, в частности, со стороны ФСБ России, однако она не носит массового характера.

Таким образом, основным регулятором, который может провести проверку любой компании в области обработки персональных данных, является Роскомнадзор. Но если компанию не проверяет ФСТЭК России и ФСБ России, это еще не означает, что можно проигнорировать вопросы обеспечения безопасности персональных данных, потому что сложившаяся практика проверок показывает, что Роскомнадзор при проведении своих проверочных мероприятиях также затрагивает вопросы технической защиты персональных данных. Такая ситуация в сфере проверок в настоящее время превратилась в устоявшуюся практику.

Виды проверок

Как было отмечено выше, основным регулятором в области обработки персональных данных, который может однажды посетить любую организацию, является Роскомнадзор. Поэтому далее мы продолжим обсуждать проверки в области персональных данных именно со стороны Роскомнадзора.

Роскомнадзор осуществляет государственный контроль и надзор в области обработки персональных данных в соответствии с Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным приказом Минкомсвязи России от 14.11.2011 № 312. Роскомнадзор выделяет в своей практике несколько видов проверок, которые приведены в таблице ниже.

 

Таблица 1. Виды проверок Роскомнадзора

Вид проверки

Плановая

Внеплановая

Мониторинг

Форма проверки

Документарная

Выездная

Документарная

Выездная

Мероприятия систематического наблюдения

Проверки проводятся

В отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных (далее – «Реестр»).

В отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.

 

Как видно из таблицы, проверки могут проводится в разных формах. Документарная проверка подразумевает под собой изучение организационно-распорядительной документации без выезда к проверяемому, а выездная проверка проводится по месту нахождения проверяемого. Как правило, при проведении плановой или внеплановой проверки совмещаются обе описанные выше формы контроля: документарная и выездная. Реже проверки проводятся только в документарной форме. Мероприятия систематического наблюдения подразумевают под собой мониторинг интернета на предмет соблюдения требований по обработке персональных данных на сайтах различных компаний.

Стоит также отметить, что для каждого вида проверок в регламенте Роскомнадзора определены различные основания для их проведения (например, начало осуществления оператором деятельности по обработке персональных данных). Таким образом, Роскомнадзор может проверить любую российскую компанию на предмет соблюдения требований законодательства в области обработки персональных данных. Поэтому, если вы еще не задумывались о вопросах обработки персональных данных и считаете, что вас проверка не коснется, советуем пересмотреть свои взгляды и заблаговременно привести процессы обработки персональных данных в соответствие законодательству РФ.

 

Как подготовиться к проверке регулятора

Если компании предстоит пройти проверку

В зависимости от вида проверки (плановая, внеплановая) различаются сроки уведомления компании о предстоящей проверке. В случае плановой проверки компания уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения, в случае внеплановой — не менее чем за двадцать четыре часа до начала ее проведения. Кроме того, плановые проверки формируются накануне планируемого периода, согласовываются с центральным аппаратом Роскомнадзора и публикуются на сайтах территориальных подразделений. Таким образом, компания может заранее узнать, есть ли она в списке проверок на следующий год, и, соответственно, более качественно подготовиться к проверочным мероприятиям.

Конечно, не рекомендуется начинать заниматься вопросами законности обработки персональных данных накануне проверки (ведь оператор персональных данных должен делать это постоянно), но, как показывает практика, в некоторых компаниях вопросы обработки персональных данных становятся актуальными непосредственно перед проверкой регулятора. И до сих пор встречаются компании, где подобные работы начинаются с нуля.

После того как стало известно о предстоящей проверке, в первую очередь, необходимо определиться, каким образом компания будет к ней готовиться: самостоятельно или с привлечением сторонних организаций-консультантов для более качественного выполнения подготовительных мероприятий (предпочтительнее привлекать к таким работам лицензиатов ФСТЭК России по технической защите конфиденциальной информации, которые обладают соответствующими компетенциями и значительным опытом выполнения работ в части обработки и защиты персональных данных). В любом случае, в компании необходимо определить ответственного сотрудника, который будет выполнять или курировать такие работы.

Также необходимо учитывать сроки, которые есть у компании на подготовку. В случае внеплановой проверки и небольших сроков на подготовку (компания уведомляется о проверке не менее чем за двадцать четыре часа до начала ее проведения) организация вряд ли успеет выполнить полный комплекс работ по приведению своих процессов обработки персональных данных и информационных систем в соответствие требованиям законодательства РФ. В случае если работы в области обработки персональных данных были выполнены ранее, то особых проблем внеплановая проверка не принесет: необходимо будет предоставить имеющиеся организационно-распорядительные документы и продемонстрировать, что процессы обработки персональных данных соответствуют требованиям законодательства.

В случае плановой проверки, как было отмечено выше, можно узнать о ней заранее из формируемых Роскомнадзором планов и спокойно к ней подготовиться, в том числе выполнить полностью все работы по приведению процессов обработки персональных данных и информационных систем в соответствие установленным требованиям.

Что проверяет Роскомнадзор

Чтобы полноценно подготовится к проверке Роскомнадзора, необходимо понимать, что же все-таки проверяет данный регулятор. В соответствии с Административным регламентом в область проверки входит следующее:

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • информационные системы персональных данных;
  • деятельность по обработке персональных данных.

Как правило, накануне проверки Роскомнадзор присылает приказ о проведении проверки, в котором, в том числе, указаны документы, которые запрашивает регулятор в ходе такой проверки. Ниже приведен пример подобного перечня документов, который может запрашиваться Роскомнадзором (перечни могут отличаться в зависимости от территориального органа Роскомнадзора):

  • документы, подтверждающие ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и/или обучение указанных работников;
  • документы, подтверждающие место размещения баз (информационных систем) персональных данных;
  • копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица, индивидуального предпринимателя при проведении проверки;
  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • типовые формы документов и связанные с ними документы (инструкции по заполнению, карточки, реестры, журналы), предполагающие или допускающие содержание персональных данных;
  • документы, подтверждающие уничтожение компанией персональных данных субъектов персональных данных по достижении цели обработки;
  • локальные акты оператора, регламентирующие порядок и условия обработки персональных данных;
  • документы, подтверждающие выполнение компанией предписаний об устранении ранее выявленных нарушений законодательства РФ в области обработки персональных данных;
  • письменное согласие субъектов персональных данных на обработку их персональных данных;
  • документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных.

Основные мероприятия при подготовке к проверке

Приведение процессов обработки персональных данных и информационных систем в соответствие требованиям законодательства РФ включает в себя следующие основные мероприятия:

  1. Аудит процессов обработки персональных данных и информационных систем. Необходимо провести полную ревизию в части обработки персональных данных и определить, что, где, в каком объеме и на каком основании обрабатывается в компании.
  2. Разработка организационно-распорядительной документации. Нужно разработать организационно-распорядительные документы, необходимые и достаточные для соответствия установленным требованиям. Кроме того, необходимо назначить различных ответственных сотрудников в области обработки персональных данных. Отдельно стоит отметить подготовку уведомления об обработке персональных данных, которое компания должна подать в Роскомнадзор (законодательством также предусмотрены случаи, когда такое уведомление не требуется). Это уведомление тоже является предметом проверки в части его соответствия реальному положению дел в компании.
  3. Создание системы защиты персональных данных. Необходимо определить имеющиеся информационные системы персональных данных, их уровень защищенности и актуальные угрозы безопасности информации. На основе такой информации в компании должны быть определены организационные и технические меры защиты персональных данных, которые ложатся в основу системы защиты персональных данных.
  4. Оценка эффективности принятых мер по защите персональных данных. По завершении работ компания должна провести оценку эффективности принятых мер по защите персональных данных. Оценка эффективности может проводиться компанией самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
  5. Работа с персоналом. Необходимо ознакомить своих сотрудников с организационно-распорядительными документами в области обработки персональных данных, а также донести информацию об имеющихся процессах обработки персональных данных и провести инструктаж в части ответов на вопросы проверяющих.

Выше мы привели краткое описание основных мероприятий, которые необходимо выполнить накануне проверки. Конечно же, каждый из перечисленных этапов работ включает в себя множество других необходимых мероприятий, которые не рассматриваются в настоящей статье.

В случае, когда у компании работы в части обработки и защиты персональных данных уже выполнены, мы тем не менее рекомендуем актуализировать все выполненные мероприятия по приведенному выше плану.

Наиболее распространенные нарушения

Также подготовиться к проверке поможет информация о наиболее часто выявляемых Роскомнадзором нарушениях в области обработки персональных данных. Список таких нарушений отражает, что смотрит Роскомнадзор и на что обращает внимание.

Сведения о наиболее распространенных нарушениях в области обработки персональных данных Роскомнадзор предоставляет на различных конференциях, кроме того, эта информация отражается в различных отчетах, которые являются общедоступными.

Так, информация по наиболее распространенным в 2017 году нарушениям содержится в документе Роскомнадзора «Обзор правоприменительной практики контрольно-надзорной деятельности в 2017 году», который можно скачать на официальном сайте регулятора.

Согласно приведенной в этом документе информации, в 2017 году регулятором были выявлены следующие типичные нарушения:

  • предоставление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения;
  • нарушение требований конфиденциальности при обработке персональных данных;
  • обработка персональных данных в случаях, не предусмотренных Федеральным законом «О персональных данных».

 

Выводы

В настоящей статье были рассмотрены законодательные аспекты обработки персональных данных, основные регуляторы в области обработки персональных данных, виды существующих проверок со стороны Роскомнадзора, а также приведено краткое описание мероприятий, позволяющих компании подготовиться к проверке регулятора.

Учитывая, что внимание Роскомнадзора может коснуться любой компании, связанной с обработкой персональных данных, целесообразно заблаговременно готовиться к проверочным мероприятиям. Подготовиться к подобной проверке компания может самостоятельно или с привлечением сторонних профессиональных консультантов в области обработки и защиты персональных данных для минимизации трудозатрат компании и более качественной подготовки к проверке регулятора.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru