Чек-лист из 22 пунктов: как встретить Роскомнадзор во всеоружии
[b]Елена Голубятник, старший консультант центра информбезопасности «Инфосистем Джет», отвечает на волнующие бизнес вопросы о проверках Роскомнадзора и пытается избавить организации от распространенных заблуждений[/b]
Фото: РБК
Что нужно знать бизнесу о проверках Роскомнадзора
Компании часто оказываются не готовы к проверкам Роскомнадзора, что приводит к предписаниям и штрафам. Только за первую половину 2018 года ведомство провело более 1,5 тыс. проверок и практически в каждом пятом случае вынесло предписание. Общая сумма штрафов по итогам контрольно-надзорных мероприятий превысила 1,4 млн руб.
Первое, что нужно знать предпринимателю: регулятор может заинтересоваться любой организацией.
Если в организации есть хотя бы один работник, по закону она уже считается оператором персональных данных и должна выполнять требования 152-ФЗ «О персональных данных». То же самое касается индивидуальных предпринимателей, обрабатывающих личные данные своих клиентов.
Виды проверок
- Плановые проверки
Следующий нюанс, о котором важно помнить: проверки бывают плановые и внеплановые. Из названия понятно, что плановые — это те, что запланированы. Возникает закономерный вопрос: как узнать, кого намерен проверить Роскомнадзор?
В конце каждого года ведомство публикует на официальном сайте план проведения проверок юридических лиц и индивидуальных предпринимателей на грядущий год. Он включает не только перечень организаций, но и точные даты проведения проверок. Это сводит на нет эффект неожиданности и дает компаниям возможность привести в порядок процессы обработки персональных данных, на которые раньше не находилось времени.
- Внеплановые проверки
С внеплановыми проверками дела обстоят не столь радужно: Роскомнадзор проводит их так же регулярно, как и плановые, однако компании узнают об этом позже, чем о плановых, но как минимум за сутки до начала.
Все проверки состоят из двух стадий: документарная и выездная. В ходе первой представители регулятора смотрят документы, которые касаются обработки персональных данных: политики, положения, типовые формы с полями для внесения персональных данных.
При выездной проверке специалисты регулятора посещают проверяемую организацию лично и на месте изучают, как устроены основные процессы обработки персональных данных: общаются с работниками, просят продемонстрировать информационные системы, запрашивают дополнительные свидетельства.
Теоретически оба вида могут проводиться обособленно. Однако, как показывает наш опыт, любая проверка включает обе стадии.
С чего начинается проверка
Многие проверки начинаются еще до официально заявленной даты, хотя это и незаметно для организаций.
Перед первым визитом представители Роскомнадзора изучают сайт организации: смотрят, какие персональные данные собираются на нем, есть ли согласие на обработку личной информации посетителей и прописана ли политика обработки персональных данных.
Если организация направила в Роскомнадзор уведомление об обработке персональных данных, специалисты изучают и этот документ. Вот почему уже при первом визите проверяющие ведомства обладают некой информацией.
Как правило, за неделю до первого посещения офиса организации Роскомнадзор направляет ей почтовое уведомление с датами проверки и списком документов, которые необходимо подготовить. Часто представители ведомства дополнительно согласовывают время первого визита по телефону с работником организации, ответственным за сопровождение проверки.
В первый день проверки представители регулятора
- рассказывают, как будет проходить проверка,
- забирают запрошенные документы (заверенные печатью организации и подписью руководителя) под опись для последующего анализа (документарной проверки),
- обозначают дату следующего визита.
Во время последующих выездных проверок представители Роскомнадзора пытаются погрузиться в процессы обработки персональных данных в организации.
Срок выполнения проверки
Обычно проверка длится 20 дней, за это время специалисты приезжают в организацию от трех до шести раз.
При необходимости срок может быть продлен. В нашей практике такое случалось лишь однажды: срок дополнительно увеличивали на месяц.
Универсального ответа на вопрос, что будет смотреть Роскомнадзор при проверке, увы, нет. Однако есть пункты, на которые представители регулятора, с большой долей вероятности, обратят внимание.
Чек-лист: что проверяет Роскомнадзор
1. Локальные документы организации, регламентирующие процессы обработки персональных данных. Это документация, наличия которой требует 152-ФЗ «О персональных данных».
2. Назначены ли в компании ответственные за организацию обработки и обеспечение безопасности персональных данных.
3. Опубликован ли на сайте документ, определяющий политику обработки персональных данных, или предоставлен ли к нему неограниченный доступ другим способом.
4. Где расположены базы персональных данных, находятся ли они в России.
5. Осуществляется ли трансграничная передача персональных данных.
6. Особое внимание уделяется вопросам обработки биометрических персональных данных, например фотографий в системе контроля и управления доступом, а также сведений о судимости и состоянии здоровья людей.
7. Соответствуют ли типовые формы требованиям постановления правительства РФ № 687 от 15 сентября 2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
8. Определены ли цели, сроки и правовые основания обработки персональных данных, не являются ли они избыточными.
9. Определен ли перечень лиц, которые обрабатывают персональные данные.
10. Соблюдаются ли заявленные сроки обработки и хранения персональных данных.
11. Определен ли перечень мест хранения материальных носителей персональных данных.
12. Каким образом в компании уничтожаются носители персональных данных, составляется ли акт об их уничтожении, соблюдаются ли при этом требования 152-ФЗ.
13. Ведется ли обработка персональных данных третьих лиц без их согласия или уведомления, например обрабатываются ли данные родственников работников.
14. Хранятся ли копии личных документов работников в их личных делах.
Формирование личных дел работников — обычная практика для многих организаций. Нередко компании включают в них копии личных документов сотрудников, например паспорта, свидетельства о браке и т.д.
Роскомнадзор считает такие действия нарушением, мотивируя это тем, что вся необходимая для исполнения трудового законодательства информация содержится в карточке Т-2 (личная карточка работника).
15. Как обрабатываются запросы обладателей персональных данных.
16. Как обрабатываются персональные данные кандидатов на вакантные должности, есть ли кадровый резерв.
17. Соблюдается ли политика «чистых столов».
Документы, содержащие персональные данные, не должны находиться на столе работника во время его отсутствия, а также когда не требуются для выполнения должностных обязанностей.
18. Как в организации организован пропускной режим, ведется ли сбор согласий на обработку и/или передачу персональных данных.
19. Определена ли форма поручения на обработку персональных данных третьим лицам, содержат ли договоры с ними раздел о конфиденциальности, соответствующий требованиям 152-ФЗ.
20. Получены ли необходимые согласия на обработку и/или передачу персональных данных от всех субъектов персональных данных (работники, посетители, контрагенты, клиенты и т.п.), соответствуют ли формы согласий требованиям 152-ФЗ.
21. Какие ключевые информационные системы персональных данных используются в организации (кадровые системы), не содержат ли они избыточных персональных данных либо тех, чей легитимный срок хранения истек.
Важно
Представители ведомства не вправе самостоятельно эксплуатировать информационные системы, демонстрацию может проводить только работник организации.
22. Проводятся ли внутренние проверки соблюдения требований 152-ФЗ.
Новое в проверках Роскомнадзора
Посещая открытые семинары управления Роскомнадзора по Центральному федеральному округу по вопросам обработки персональных данных и участвуя в сопровождении проверок, мы заметили изменения в некоторых позициях регулятора.
- Cookie-файлы — это персональные данные. Поэтому, если компания использует на сайте такие сервисы, как Google Analytics, «Яндекс.Метрика» и т.д., она обязана уведомлять пользователей, какие данные собирает и куда передает (в данном случае Google и «Яндекс»).
- Архивы, где хранятся бумажные носители персональных данных, необходимо указывать в уведомлении об обработке последних как бумажный центр обработки данных (ЦОД).
- Для каждой цели передачи персональных данных необходимо получать письменное согласие на отдельном листе, то есть количество бумажек должно соответствовать числу целей передачи.
Какие заблуждения по поводу проверок чаще всего возникают у бизнеса
Заблуждение № 1: «Если наша организация не направит в Роскомнадзор уведомление об обработке персональных данных, то к нам не придут».
Мы часто слышим это мнение от организаций, и конечно же, у него мало общего с действительностью. Роскомнадзор выбирает для проверок не те организации, что подали уведомления, а те, на кого систематически поступают жалобы. Причин для жалоб хоть отбавляй, ведь изо дня в день от разных организаций через СМС или мессенджеры приходит масса навязчивой рекламы и поступают звонки с предложением тех или иных услуг.
Заблуждение № 2: «Если при проверке мы подложим представителю регулятора нарушения, которые проще всего устранить, он их найдет, выполнит свой план и оставит нас в покое. после чего мы в кратчайшие сроки просто устраним нарушения и обойдемся без серьезных последствий».
Это очень рискованная позиция, так как у представителей Роскомнадзора нет никакого плана. Специалисты ведомства вникают в процессы обработки персональных данных достаточно глубоко, чтобы обнаружить подавляющее большинство нарушений.
Нам известны случаи, когда под проверку попадали организации, которые соблюдали законодательство в части обработки персональных данных на уровне выше среднего и имели незначительное количество несоответствий, и представители регулятора выявляли их почти все.
Заблуждение № 3: «Мы взяли эти персональные данные из общедоступных источников, поэтому можем использовать в каких угодно целях».
Обладатели персональных данных делают их общедоступными с конкретной целью и при этом не подразумевают, что кто-либо будет использовать такого рода информацию по своему усмотрению.
Например, если кто-либо размещает о себе сведения в социальной сети, вовсе не значит, что он согласен, чтобы некий банк использовал эти данные для предложения кредитной карты по телефону. Роскомнадзор однозначно сочтет такие действия нарушением.
Автор: Елена Голубятник, старший консультант центра информационной безопасности компании «Инфосистемы Джет»