Вы уверены, что готовы к проверкам Роскомнадзора?

Пока конец года нас радует изобилием политических и экономических новостей разной степени тяжести, стоит задуматься не только о том, куда вы поедете в отпуск на Рождество и будет ли где взять мандарины к новогоднему столу, но и о том, как в вашей компании хранятся персональные данные. Потому что для вас у Роскомнадзора есть отдельный подарок. Об этом его глава, Александр Жаров, предупредил в ноябре на VI Международной конференции «Защита персональных данных». 

Итак, в следующем году будет уделяться более пристальное внимание проверкам операторов персональных данных (ПДн), к которым большинство из вас, конечно же, не готовы. Более того, под действие соответствующего законодательства попадают все организации, ведущие деятельность на территории России, включая иностранные организации, действующие без создания представительства.

В общем, пройдутся по всем.

Очевидно, что проверки Роскомнадзора в области обработки персональных данных являются для многих новым видом контроля деятельности предприятий. Практика выполнения требований ФЗ-152 «О персональных данных» и сопутствующих подзаконных актов сформировалась неокончательно, и со стороны контролирующих органов периодически появляются дополнительные разъяснения. Например, недавно вступивший в силу Федеральный закон №242-ФЗ (от 01.09. 2015) вносит существенные изменения в процесс, и естественно, неизбежно возникает масса вопросов по этой теме. Поэтому неплохо бы понимать, а готова ли к таким проверкам ваша компания.

Самое важное

Для самых нетерпеливых сразу выделим ключевые моменты. Каждая компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством. Но в любом случае необходимо:

• Назначить ответственного за обработку персональных данных, взаимодействие с субъектами ПДн и регуляторами.
• Направить уведомление в Роскомнадзор о начале, целях, характере обработки ПДн, времени окончания обработки, а также о том, где физически размещены базы данных, участвующие в процессе.
• Опубликовать (на сайте) или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных.
• По запросу Роскомнадзора (или других регуляторов) представить все документы и локальные акты.

Собственно, выполнения всего вышеперечисленного будет достаточно, чтобы избежать серьезных санкций. И самой сложной частью задачи является создание и поддержание в актуальном виде достаточного с точки зрения регуляторов пакета документов.

Кто проверяет и когда

Хотя многие компании назначают ответственных за вопросы защиты ПДн из числа сотрудников IT-служб, Роскомнадзор не будет проверять работу ваших информационных систем персональных данных (ИСПДн). Эта функция возложена на ФСТЭК России и ФСБ России, которые проводят очень мало проверок – и как правило, это госкомпании и крупный бизнес.

В отличие от них Роскомнадзор ежегодно осуществляет значительное количество плановых, и еще больше внеплановых проверок. Поэтому рекомендуем сосредоточиться на документальном обеспечении и информировании своих сотрудников, что в первую очередь коснется юристов и кадровиков.

Проверки Роскомнадзора (помимо плановых и внеплановых) делятся еще на выездные и документарные. Первые происходят значительно чаще, и с ними почти наверняка вам придется иметь дело. Если же вам повезло и ведомство ограничилось вторым вариантом, то вас просто попросят выслать необходимые документы.

Ожидает ли вас плановая проверка или пока можно расслабиться, возможно посмотреть на сайте Управления Роскомнадзора. И хотя в данный момент на головном сайте данных на 2016 год еще нет, но они уже выложены по ряду федеральных округов, например, для Ростовской области.

Что касается внеплановых проверок, то они обычно проводятся по жалобам физических лиц (как сотрудников, так и клиентов), но могут быть инициированы и прокуратурой или самим Роскомнадзором. Чаще всего это следствие жалоб на рекламные e-mail и SMS-рассылки, телефонные звонки. Очевидный минус таких проверок: вас предупредят всего лишь за сутки.

По результатам проверки компания получает следующие документы:

• Акт проверки (с выявленными нарушениями).
• Справка о результатах проверки.
• Предписание об устранении несоответствий (которое необходимо исполнить в течение месяца после получения).

Как вести себя во время проверки

Наша практика показала, что в начале проверки надо обозначить регулятору, что вы "не собираетесь оказывать сопротивление", полностью готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться вы вряд ли сможете, замечания будут почти наверняка. Но это и не страшно: их можно устранить в процессе проверки, а она обычно длится 20 дней. Соответственно, если замечания будут устранены до ее окончания, то в содержание итогового протокола они не попадут.

Желательно пускать проверяющих во все помещения, но только те, которые относятся к хранению персональных данных. Если излишне препятствовать инспектору, то для реализации своих прав он обязан обратиться к правоохранительным органам. Очевидно, что взвод ОМОНа в офисе и перепуганные этим сотрудники вам не нужны.

Теперь хорошая новость: если после получения предписания вы исправите недостатки в документах и привезете их в соответствующее управление, повторно проводить выездную проверку не будут.

Если же возникают сомнения по процедуре проверки и действиям проверяющих, то не надо бояться звонить в региональное управление Роскомнадзора и задавать вопросы. Как правило, дозвониться туда легко и работники охотно идут на контакт, разъясняя видение регулятора по поводу любых спорных вопросов.

К слову сказать, компания Интеркомп имеет опыт прохождения проверок Роскомнадзора и оказывает помощь своим клиентам в подобных ситуациях.

Какие документы проверят в первую очередь

Первое, на что обратят внимание проверяющие – подала ли компания уведомление в Роскомнадзор.

В законе говорится, что если организация использует персональные данные исключительно в целях исполнения трудовых договоров и договоров, связанных с осуществлением коммерческой деятельности, то подавать уведомления не обязательно. Но на практике в большинстве случаев инспекторы придут к выводу, что обработка ведется сверх исполнения договорных обязательств. Например, если обрабатываются данные кандидатов на вакантные должности, сотрудникам оформляются полисы ДМС, или они отправляются на различные курсы и т.д.

Посему лучше уведомление подать. Это не создает дополнительных рисков – хотя бы потому, что вас проверят на соответствие закону независимо от того, подано уведомление или нет, а вот неподача уведомления может вылиться в неприятности. В лучшем случае Роскомнадзор пришлет письмо с просьбой обосновать неподачу, или, что еще хуже, задаст этот вопрос во время проверки. Вопрос этот, понятное дело, приятным не будет.

Поэтому, первое, что нужно предпринять – выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого достаточно ввести ИНН компании на этой странице. Если уведомления нет, то нужно его подать здесь. 

Кроме наличия уведомления инспекторы захотят ознакомиться с тем, совпадает ли поданная информация с реальными процессами обработки персональных данных. Для этого специалисты Роскомнадзора изучат работу тех отделов, в которых ведется обработка ПДн и соответствующие документы. Обычно начнут прямо с отдела кадров.

Как показывает практика Интеркомп, инспекторы посмотрят, где хранятся личные дела и трудовые книжки, проверят, что личные дела действующих работников хранятся отдельно от личных дел уволенных, спросят, как ищут новых сотрудников и как организовано удаление персональных данных. Более того, проверяющие могут потребовать показать, как работает конкретный сотрудник отдела кадров: вход/выход из операционной системы, вход/выход из ИСПДн. Также могут запросить сделать скриншоты программ, используемых для обработки ПДн.

Учтите, что при каждой проверке проверяются абсолютно разные вещи, и многое зависит от конкретного проверяющего. Но если есть расхождения с поданной ранее информацией (например, после подачи уведомления поменялся ответственный за организацию обработки персональных данных), компанию наверняка оштрафуют за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении. Чтобы обойтись без штрафов, на портале персональных данных существует специальная форма.

Как уже упоминалось, строгого перечня необходимых документов нет. Но в ряде отраслей (например, в банковской) существуют свои стандарты, к которым оператор может присоединиться и им следовать. Проверяющими изначально запрашиваются данные, затрагивающие порядка 30 документов, в первую очередь подтверждающих информацию, указанную в уведомлении. Самое главное, что у вас должно быть и быть в порядке:

1. Уведомление об обработке ПДн.
2. Документ, определяющий ответственного.
3. Перечень сотрудников, допущенных к обработке ПДн.
4. Документ, определяющие места хранения персональных данных.
5. Типовая форма согласия на обработку ПДн и документов с их использованием.
6. Порядок уничтожения ПДн и порядок их передачи третьим лицам.
7. Перечень информационных систем персональных данных.
8. Перечень используемых средств защиты информации.

Впрочем, настоятельно рекомендуется вести журналы учета (проведения инструктажей, учета мероприятий по контролю, учета обращений граждан, учета проверок и т.п.). Именно по ним проверяющие вычисляют, проводите ли вы реальную работу в области защиты ПДн или все, что вы делали, было сугубо «для галочки».

К чему еще нужно быть готовыми: в ходе проверки может быть запрошено ДЕЙСТВИТЕЛЬНО БОЛЬШОЕ количество дополнительных документов (регламенты, справки, выписки, договоры). Иногда счет идет на сотни. При этом нужно помнить, что документы должны регламентировать не только автоматизированную обработку, но и «бумажную» тоже.

Если компания передает персональные данные другим компаниям, то следует обратить внимание на то, как составлены с ними договоры. Список компаний, с которыми возникает обмен персональными данными, может быть более чем значительным. Например, кадровые агентства, банки, операторы связи, архивное хранение документов, ЧОПы и так далее. В договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. Также в договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Учтите, Роскомнадзор наверняка попросит копию договора.

В помещения, где обрабатываются персональные данные, должен быть обеспечен контролируемый доступ. Это значит, что персональные данные могут быть доступны только тем работникам, которые имеют допуск к их обработке.

Также нужно организовать раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами - это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если во время проверки инспектор увидит разбросанные на столах документы с персональными данными (знакомо, не правда ли?), к компании обязательно возникнут вопросы.

Кроме документов и помещений инспекторы изучают сайт компании. Если на сайте не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Отдельное внимание уделяется камерам видеонаблюдения. Хотя, согласно разъяснениям Роскомнадзора, в тех случаях, когда идентификация человека не производится, видеоматериалы не относятся к биометрическим персональным данным, но все же лучше заранее зафиксировать этот момент документально. Кроме того, стоит повесить таблички «Ведется видеонаблюдение».

Юридическая справка:

Для вашего удобства мы с коллегами в Интеркомп подготовили список нормативных актов, регулирующих сферу хранения и обработки персональных данных.

1. Федеральный закон №152-ФЗ «О персональных данных»
2. Федеральный закон №261-ФЗ (вносит существенные изменения, действует с 01.07.2011)
3. Федеральный закон №242-ФЗ (вносит существенные изменения, действует с 01.09.2015)
4. Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»
5. Федеральный закон №294-ФЗ «О защите юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

Кроме того, есть ряд постановлений Правительства РФ и приказов регуляторов, имеющих непосредственное отношение к проведению проверок, еще ряд подзаконных нормативных актов находятся в разработке. Для более детального изучения всех вопросов, связанных с персональными данными, рекомендуем ознакомиться с информацией по следующим ссылкам: