Кто проверяет персональные данные в организации – Проверка Роскомнадзора на 2019 год

как подготовиться и избежать штрафов — СКБ Контур

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.    

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который  занимается вопросами персональных данных.
3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию,  например, данные сотрудников в бухгалтерию.
4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном. 

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?  

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

1. данные, которые обрабатываются в соответствии с трудовым законодательством;
2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. данные, сделанные субъектом персональных данных общедоступными;
5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Елена Республиканская

Читайте также:

Чего ждать бизнесу от закона о хранении персональных данных?

5 базовых принципов закона о персональных данных, о которых нужно знать  

kontur.ru

кто придёт вас проверить? — Право на vc.ru

Закон «О персональных данных» действует с 2006 года, но вопросов о порядке его применения до сих пор остаётся множество. Они возникают из-за нечётких формулировок, неполных определений, запутанных норм и т. д.

К сожалению, закон — это только вершина айсберга. К нему прилагается очень много других документов, изданных разными ведомствами. И если вы каким-то образом используете персональные данные, эти ведомства могут вас проверить.

В этой статье мы расскажем о том, кто к вам может прийти, и что проверить.

Правительственной организацией, проверяющей исполнение закона «О персональных данных», назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). На практике, она проверяет лишь «бумажную» сторону дела: внутренние документы, которые должны быть у вас по действующему закону.

Если для обработки данных вы используете компьютеры и компьютерные сети, кроме организационных и административных регламентов, вам неизбежно потребуются технические средства защиты. В некоторых случаях они должны быть сертифицированными.

Техническими средствами защиты данных занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК). Список сертифицированных средств защиты данных опубликован на сайте ФСТЭК.

Если в применённых вами средствах защиты данных использована криптография, к надзору подключается Федеральная служба безопасности РФ (ФСБ). Сертифицированные средства криптографической защиты перечислены на сайте ФСБ.

Кто и что может проверить?

• Роскомнадзор

  — Необходимость и наличие уведомления об операторской деятельности

  — Наличие «Политики оператора в отношении обработки персональных данных»

  — Опубликована ли Политика на сайте или иным способом?

  Имеется ли приказ о назначении лица, ответственного за осуществление Политики?
• ФСТЭК

  — Правильно ли определен тип угроз?

  — Правильно ли определена категория обрабатываемых данных?

  — Правильно ли определен требующийся уровень защищённости?

  — Правильно ли применены выбранные технические средства защиты?

• ФСБ

  — Используются ли криптографические средства защиты?

  — Сертифицированы ли средства, которые должны быть сертифицированы?

  — Правильно ли применены криптографические средства защиты?

Никакие другие ведомства проводить проверки по обработке персональных данных не уполномочены и, соответственно, заниматься такими проверками не могут.

Непосредственно для обработки персональных данных никакие лицензии не нужны, но для обеспечения их безопасности могут потребоваться сертифицированные технические средства.

Как выполнить нормы обработки персональных данных?

• Ознакомиться с текстом федерального закона № 152 «О персональных данных»
• Понять, какого рода данные вы планируете обрабатывать, и распространяется ли на вас действие указанного закона
• Осознать угрозы, которые могут возникать в отношении обрабатываемых вами данных
• Определить способы и инструменты защиты данных
• Составить и должным образом оформить внутренние регламентирующие документы
• Получить согласия лиц, персональные данные которых вы намерены обрабатывать
• Применить выбранные вами способы и инструменты защиты данных
• Уточнить, нет ли других норм, относящихся к вашему случаю

В большинстве случаев утечка персональных данных — результат безалаберности и игнорирования элементарных правил информационной безопасности сотрудниками компании, а не каких-то серьёзных технических просчётов.

Если к вам придут с проверкой, а вы не соответствуете ФЗ-152, вы отделаетесь штрафом. И такое случается крайне редко. А вот если произойдёт утечка данных, скорее всего, вы потеряете бо́льшую часть клиентов, причём, навсегда.

Именно поэтому нужно начинать с внутренних правил и организации работы сотрудников, имеющих доступ к персональным данным ваших клиентов.

Сергей Белкин

Руководитель отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru

Какие нормативные акты относятся обработке персональных данных?

• Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006
• Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012
• Рекомендации Роскомнадзор по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013
• Приказ Федеральной службы безопасности России (ФСБ) № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» от 10.07.2014
• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006
• Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011
• Ряд государственных стандартов

Здесь перечислены лишь основные документы по этому вопросу. Полный список связанных нормативов намного больше.

Как подстраховаться?

Организации или индивидуальные предприниматели, вынужденные в рамках своей деятельности использовать персональные данные, столкнувшись с ворохом норм, часто теряют уверенность в том, что сумеют полностью и правильно исполнить эти нормы.

В этом случае можно обратиться к сторонней организации, имеющей лицензии в области защиты информации, чтобы она провела аттестацию вашей информационной системы на предмет её соответствия российскому законодательству.

Список организаций, лицензированных ФСТЭК, опубликован на сайте федеральной службы.

Стоит ли тратить ресурсы на аттестацию по обработке персональных данных, решать каждому самому.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

vc.ru

Проверка Роскомнадзора 2019. План. Что проверяют

Содержание страницы

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
2. Надзор над предоставлением услуг в области связи.
3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
4. Ведение информационной системы, реестров операторов связи.
5. Регистрация СМИ.
6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

• Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
• Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
• Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
• Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

• Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
• Системы, осуществляющие обработку данных (ПК и программы).
• Наличие локальных нормативных актов.
• Исполнение положений этих актов.
• Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

• Учредительная документация (ИНН, устав и прочее).
• Уведомление о том, что фирма работает с ПД.
• Перечень ПД, сбор которых осуществляется.
• Перечень работников, у которых есть доступ к данным.
• Приказ о допуске таких сотрудников к ПД.
• Инструкции для специалистов, которые работают с данными.
• Положение об ответственности сотрудников за разглашение ПД.
• Документ об обработке ПД.
• Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
• Соглашение о неразглашении ПД.
• Письменное согласие лиц на обработку.
• Журналы инструктажей относительно мер безопасности.
• Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

assistentus.ru

Опыт прохождения проверки Роскомнадзора по персональным данным

Как показывает практика, проверка Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в области обработки персональных данных (ПДн) является сравнительно редким событием.Например, в 2013 году в Центральном федеральном округе проведено всего 26 (!) проверок, из которых 22 выездных и 4 документарных. В свете малочисленности подобных мероприятий они и сейчас интересны специалистам по информационной безопасности, так как практика выполнения требований ФЗ-152 от 27.06.2006 «О персональных данных» и подзаконных актов еще до конца не сформировалась. Об этом факте свидетельствуют периодически появляющиеся разъяснения контролирующего органа (по персональным данным работников, биометрическим персональным данным). Эти разъяснения выпускаются Роскомнадзором совместно с экспертами для того, чтобы помочь организациям (операторам) выполнить требования и привести все свои структурные подразделения к единому пониманию существующих нормативных правовых актов, касающихся обработки персональных данных. В данной статье описывается опыт прохождения проверки Роскомнадзора, который может оказаться полезным другим организациям при выполнении работ по защите ПДн.

В конце прошлого года компания АйТи стала консультантом «Эльдорадо» при прохождении проверки Роскомнадзора по персональным данным.

«Нашим главным критерием при выборе компании являлось наличие опыта прохождения таких проверок. Нам необходимы были определенные гарантии, поскольку мы не могли рисковать своей репутацией», – комментирует Константин Коротнев, менеджер по информационной безопасности Компании «Эльдорадо».

Перед нами поставили задачу – пройти проверку с минимальными замечаниями. Забегая немного вперед, скажу, что нам это удалось. Теперь обо всем по порядку.

РАЗМИНКА

Днем «Х» было 5 ноября, согласно «Плану проведения проверок». Какая предполагается проверка, начало, а также сроки ее проведения, можно посмотреть на сайте Управления Роскомнадзора по соответствующему федеральному округу, в нашем случае это Центральный федеральный округ.

Проверка предполагалась плановая выездная, все в соответствии с ФЗ-294 от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

До начала проверки у нас было Уведомление о проведении плановой выездной проверки ООО «Эльдорадо» вместе с перечнем документов, который необходимо предоставить сотрудникам Роскомнадзора.

Всего запрашивался 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):

• Уведомление об обработке ПДн
• Документ, определяющий ответственного за организацию обработки ПДн
• Перечень сотрудников, допущенных к обработке ПДн
• Документ, определяющие места хранения ПДн
• Справка об обработке специальных и биометрических категорий ПДн
• Справка об осуществлении трансграничной передачи ПДн
• Типовые формы документов с ПДн
• Порядок уничтожения ПДн
• Порядок передачи ПДн третьим лицам
• Типовая форма согласия на обработку ПДн
• Порядок учета обращений субъектов ПДн
• Перечень информационных систем персональных данных (ИСПДн)
• Документы, регламентирующие резервирование данных в ИСПДн
• Перечень используемых средств защиты информации
• Матрица доступа
• Модель угроз
• Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
• Журнал учета машинных носителей ПДн

Совместно с коллегами из «Эльдорадо» мы подготовили все документы. Все организационно-распорядительные документы уже были сделаны, мы готовили только справки, выписки или копии документов. Комплект получился настолько внушительный, что в итоге сотрудникам Роскомнадзора пришлось делить его на двоих. Кроме того был подготовлен реестр документов, в котором сотрудник РКН должен расписываться за каждый полученный документ. Очень удобная вещь, позволяющая отследить все переданные документы и иметь подтверждение о передаче всех запрошенных документов в Роскомнадзор.

Помимо подготовки документов мы провели инструктаж для сотрудников центрального офиса, участвующих в проверке и взаимодействующих с представителями РКН.:

Сами сотрудники не первый раз сталкиваются с информационной безопасностью (в «Эльдорадо» внедрены процессы менеджмента ИБ и есть действующий сертификат ISO 27001). Они и до этого были подготовлены, освежили информацию в голове, вспомнили нужные определения, перечитали имеющиеся регламенты и инструкции по ПДн, навели порядок на столе. Сотрудники были готовы к предстоящей проверке.

ПОСТАНОВКА В ЧЕТЫРЕХ АКТАХ

Плановая выездная проверка должна была проводиться с 5 по 29 ноября. Надо понимать, что РКН не будет все это время находиться у Оператора, в этом нет особого смысла. Всего было 4 встречи с представителями РКН на территории «Эльдорадо».

Первая встреча состоялась 5 ноября, как и планировалось. Сотрудники Роскомнадзора привезли бумажную версию Уведомления о проведении плановой выездной проверки ООО «Эльдорадо», договорились о дате следующей встречи, очертили масштаб проверки (сразу сказали, что будут проверять центральный офис и несколько магазинов, в итоге остановились на двух) и уехали.

Вторая встреча была основной. В первую очередь сотрудники РКН посмотрели Уведомление оператора и внесенные изменения, среди значимых комментариев были следующие:

• Обработка персональных данных начинается с момента создания организации (то есть регистрации в ФНС), а не с момента подачи Уведомления в Роскомнадзор
• В Уведомлении необходимо указывать все физические адреса Оператора (если они относят к данному юридическому лицу), где ведется обработка ПДн, даже если они находятся в других федеральных округах РФ
• В случае изменения сведений, указанных в Уведомлении, необходимо в течение десяти рабочих дней донести эту информацию до РКН (ФЗ-152, ст. 22, п. 7)

Специалисты Роскомнадзора задавали вопросы по основным отделам, в которых ведется обработка ПДн, для понимания целей обработки в целом. Затем прошлись по всем компаниям, с которыми возникает обмен персональными данными – ЧОП, кадровые агентства, банки, операторы связи, архивное хранение документов. Остановились на камерах видеонаблюдения, мы упомянули новые разъяснения Роскомнадзора, сослались на то, что идентификация человека не производится (соответственно, это не биометрические персональные данные), коллеги из Роскомнадзора согласились, правда, попросили повесить табличку «Ведется видеонаблюдение». Через 10 минут на входе висела табличка с соответствующей надписью.

По информационным системам персональных данных (ИСПДн) запросили перечень, модели угроз на ИСПДн, проект по созданию системы защиты персональных данных и сертификаты на средства защиты информации. Также был вопрос по трансграничной передаче информации по каналам связи. Сотрудники Роскомнадзора понимают, что осуществить обмен зашифрованными данными по каналам, используя ГОСТ 28147-89, с зарубежным государством практически невозможно, поэтому им было достаточно понять, что осуществляется шифрование, и информация не передается в открытом виде.

После ознакомления с документами сотрудники РКН перешли к обследованию на местах. Вся наша большая команда пошла в отдел кадров. Проверяющие посмотрели, где хранятся личные дела и трудовые книжки, убедились, что личные дела действующих работников хранятся отдельно от личных дел уволенных. Руководитель отдела кадров рассказал, как набирают сотрудников, как хранят дела, как происходит удаление персональных данных и при каких обстоятельствах. После этого работникам Роскомнадзора показали, как работает сотрудник отдела кадров: вход/выход из операционной системы, вход/выход из ИСПДн. Также проверяющие попросили сделать скриншоты программ, используемых для обработки ПДн, для подтверждения информации об ИСПДн.

Когда закончили проверять отдел кадров, решено было поехать в ближайший магазин «Эльдорадо» и проверить, как там производится обработка ПДн. В магазине ведется очень ограниченная обработка персональных данных, в основном это анкеты клиентов, которые хранятся в бумажном виде и заносятся в базу клиентов, которая не хранится локально. Анкеты хранятся в коробках, в защищаемых помещениях. Хранить каждую анкету в отдельном файле не нужно в соответствии с ПП-687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Затем работники Роскомнадзора посмотрели, как работает сотрудник магазина за компьютером: вход/выход из системы, вход/выход из ИСПДн, скриншоты используемых программ.

В рамках третьей встречи проверяли еще один магазин, который находился недалеко от Управления Роскомнадзора. Проверка проходила также как и в первом магазине, принципы организации магазинов «Эльдорадо» одинаковые, вне зависимости от размеров, поэтому подходы и способы обработки ПДн точно такие же. Проверяющие убедились в этом достаточно быстро, на этом проверка в магазине закончилась.

В ходе проверки было запрошено еще большее количество документов (чем изначальный перечень из 31 документа), это различные регламенты, справки, выписки, договоры, в итоге общее количество перевалило за сотню. Роскомнадзор был доволен, что под каждым словом был документ.

На этом проверка оператора заканчивается.

РЕЗУЛЬТАТЫ

По результатам проверки Роскомнадзора передал компании «Эльдорадо» следующие документы:

• Акт проверки (с выявленными нарушениями)
• Справка о результатах плановой выездной проверки
• Предписание об устранении двух незначительных несоответствий, которое было исполнено в течение месяца после получения

«Результаты проверки оказались положительными. Роскомнадзор подтвердил, что мы выполняем требования ФЗ-152. Со своей стороны могу добавить, что мы понимаем, насколько важно обеспечить защиту персональных данных наших клиентов и работников компании, и прикладываем все усилия для создания современной и надежной системы управления информационной безопасностью, соответствующей как лучшим мировым практикам, так и нормативным актам РФ», — подытоживает Константин Коротнев, менеджер по информационной безопасности компании «Эльдорадо».

ВЫВОДЫ

Представители Роскомнадзора не ставят перед собой задачу закрыть компанию. Происходит конструктивный диалог, в рамках которого можно и нужно отстаивать свою позицию, для этого есть все необходимые инструменты в виде нормативных документов по персональным данным. Все в ваших руках.

 

bis-expert.ru

Проверки в сфере защиты персональных данных работников

В№3 журнала «Справочник кадровика» мы вспомнили, какие новые правила необходимо соблюдать в сфере защиты персональных данных работников*. Теперь самое время поговорить о том, кто и как может проконтролировать соблюдение работодателем этих правил. Сегодня мы определим, когда и на каком основании вашу организацию может проверить Роскомнадзор, какими правами и обязанностями наделены проверяющие и на что вам следует обратить особое внимание при подготовке к таким проверкам. А также ответим на вопрос о том, могут ли другие государственные органы проверить, как в вашей компании организована работа с персональными данными сотрудников.

Глава 14 Трудового кодекса РФ и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) позволяют определить основные принципы защиты персональных данных работника.

Принцип 1. Конфиденциальность получаемых персональных данных, ограничение доступа к ним иных лиц.

Работники не должны отказываться от своих прав на сохранение и защиту тайны. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами (например, Налоговым кодексом РФ, Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и др.).

Принцип 2. Достоверность и полнота персональной информации, а равно запрет включения в персональные данные недостоверных фактов и информации, полученной не от работника или от иных лиц без его письменного согласия, если это не предусмотрено федеральным законом.

Работник вправе требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ.

Вправе ли мы направить запрос в медучреждение о правомерности работы нашего сотрудника в период временной нетрудоспособности у другого работодателя? Дело в том, что наш сотрудник, будучи на больничном, был замечен работающим водителем на автомобиле другой организации.

Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Так как указанные мероприятия работодателем проведены не были, следует их исполнить либо воздержаться от направления запросов в медучреждение, дабы не нарушить требования законодательства и прав работника.

Обратите внимание! Целевой характер означает, что персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежат уничтожению, если в них миновала надобность

Принцип 3. Целевой характер персональной информации, законность целей и способов ее обработки и добросовестность.

Согласно ст. 86 ТК РФ обработку персональных данных работника можно проводить исключительно для того, чтобы обеспечить соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, личную безопасность работников, контроль количества и качества выполняемой работы и сохранность имущества.

Принцип 4. Свободный доступ работника к своим персональным данным и право на полную информацию о них, а равно запрет работодателю объединять созданные для несовместимых между собой целей базы персональных данных, недопустимость создания информационных ресурсов персонального характера, закрытых или ограниченных в доступе для работника, кроме случаев, предусмотренных федеральным законом.

Принцип 5. Гарантированность субъективных прав работника, связанных с защитой его персональных данных. Государственные органы, работодатели обязаны соблюдать эти права.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии с нормой ст. 90 ТК РФ несут дисциплинарную, административную (ст. 13.11 и 13.14 КоАП РФ), гражданско-правовую (ст. 277 ТК РФ для руководителя организации, ст. 1100 ГК РФ) или уголовную ответственность (ст. 137 и 138 УК РФ).

Наряду с дисциплинарной ответственностью по ТК РФ (подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК РФ) в качестве одного из оснований наступления полной материальной ответственности работников, имеющих в связи с должностными обязанностями доступ к персональным данным работников, может быть разглашение сведений, составляющих служебную тайну (ст. 243 ТК РФ).

КТО И ЧТО МОЖЕТ ПРОВЕРИТЬ?

В соответствии с Законом о персональных данных контрольные и надзорные полномочия в сфере защиты персональных данных имеет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Также согласно установленным полномочиям определенные проверочные функции в данной сфере осуществляет Государственная инспекция труда.

Проверку проводит Роскомнадзор

Один из значимых документов для оператора персональных данных — Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее — Регламент), утв. приказом Минкомсвязи России от 14.11.2011 № 312.

Данный регламент определяет сроки и последовательность действий (административных процедур) Роскомнадзора и ее территориальных органов, а также порядок взаимодействия с государственными и муниципальными органами, юридическими или физическими лицами, организующими и (или) обрабатывающими персональные данные, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) соответствия обработки персональных данных требованиям законодательства РФ в области персональных данных.

Обратите внимание! Проверки Роскомнадзора и ее территориальных органов проходят в соответствии с требованиями Федерального закона от 2612.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

Обратите внимание! План проверок Роскомнадзора размещается на официальном сайте (http://www.rsoc.ru/)

Проводимые проверки могут быть плановыми и внеплановыми.

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.

Основанием для включения плановой проверки в план является начало осуществления оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

• государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
• окончания проведения последней плановой проверки оператора. Внеплановые проверки проводятся по следующим основаниям:

Основание 1. Истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных.

Основание 2. Поступление в Роскомнадзор или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновении угрозы причинения вреда жизни, здоровью граждан; причинении вреда жизни, здоровью граждан.

Основание 3. Приказ руководителя Роскомнадзора, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Основание 4. Нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных.

Основание 5. Нарушение операторами требований законодательства РФ в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

В ходе проведения проверки Роскомнадзор или ее территориальный орган рассматривают документы оператора, а также исследуют (обследуют) информационную систему персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Кстати сказать

Основополагающим документом, принятым на международном уровне в целях развития института частной жизни, является Всеобщая декларация прав человека, утвержденная 10.12.1948 на Генеральной Ассамблее ООН. В статье 12 Декларации указывается, что каждый человек имеет право на защиту закона от произвольного вмешательства в его личную и семейную жизнь, произвольного посягательства на его честь и репутацию. В статье 19 свобода убеждений и их выражения связана с правом искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ. Статья 23 провозгласила право на труд, на свободный выбор работы, на справедливые и благоприятные условия труда и защиту от безработицы. Статьи 8 и 10 Европейской конвенции о защите прав человека и основных свобод (1950 г.) закрепили право на уважение частной жизни, свободу получать и распространять информацию. В Международном пакте о гражданских и политических правах (1966 г.) провозглашается запрет на вмешательство в личную и семейную жизнь и незаконное посягательство на честь и репутацию. Каждый имеет право на защиту от такого вмешательства и таких посягательств (ст. 17). Данные положения нашли отражение и развитие в Руководстве ООН относительно компьютерных файлов персональных данных (1990 г.), ряде конвенций и рекомендаций МОТ, а также актах других международных организаций (например, в Основных положениях Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными (1980 г.)). С 28.01.1981 была открыта для подписания Конвенция Совета Европы! «О защите физических лиц в отношении автоматизированной обработки данных личного характера», вступившая в силу с 01.10.1985 (ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»).

В этом году наша организация внесена в план проверок, размещенный на официальных сайтах Роскомнадзора и Генеральной прокуратуры. Подскажите, пожалуйста, наличие и содержание каких документов нам нужно проверить при подготовке к ней?

Вам и другим операторам персональных данных следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки.

К таким документам в соответствии с п. 67.1 Регламента относятся:

• уведомление об обработке персональных данных;
• документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Роскомнадзор или ее территориальный орган;
• документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
• письменное согласие субъекта персональных данных на обработку его персональных данных;
• документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
• документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки;
• локальные нормативные акты, регламентирующие порядок и условия обработки персональных данных.

Работодателю нелишне будет знать, какими правами при проведении проверки обладают должностные лица Роскомнадзора.

Согласно п. 6 Регламента должностные лица Роскомнадзора или ее территориального органа при проведении проверок вправе в пределах своей компетенции:

1) выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных;

2) составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

3) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных;

4) использовать технику и оборудование, принадлежащие Роскомнадзору или ее территориальному органу;

Обратите внимание! Проверки могут проводиться как в отношении операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных, так и в отношении операторов, не включенных в Реестр, но осуществляющих такую обработку

5) запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки;

6) получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации;

7) направлять заявление в орган, лицензирующий деятельность оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

8) принимать меры по приостановлению или прекращению обработки персональных данных, проходящей с нарушениями требований законодательства РФ в области персональных данных;

9) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. Проверки могут проводиться в двух формах: документарной и выездной.

Форма проведения плановой и (или) внеплановой проверки определяется Роскомнадзором или ее территориальным органом самостоятельно.

Как проводится документарная проверка?

Документарная проверка проводится по месту нахождения Роскомнадзора или ее территориального органа. Предмет документарной проверки — сведения, содержащиеся в документах оператора, устанавливающих его организационно-правовую форму, права и обязанности; документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, предписаний Роскомнадзора или ее территориального органа.

Обратите внимание! В ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих

Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения либо эти данные не позволяют оценить исполнение оператором требований, установленных нормативными правовыми актами, то проверяющие вправе направить мотивированный запрос о предоставлении необходимых для проверки документов. Получив такой запрос, оператор персональных данных обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.

При этом все необходимые документы представляются оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя оператора.

В прошлом месяце Роскомнадзор проверяла наши документы в сфере обработки и защиты персональных данных. Проверяющие запрашивали у нас копии некоторых документов и просили заверить их у нотариуса. Правомерны ли такие действия?

Действия проверяющих в данном случае неправомерны.

Регламентом прямо запрещено истребование оригиналов документов, а также их нотариального удостоверения (п. 70.7). Все необходимые документы представляются оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя (п. 70.6 Регламента).

Обратите внимание! Выявление нарушений в ходе проведения документарной проверки является одним из оснований для проведения выездной проверки

В случае если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то оператору может быть направлено требование о представлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Роскомнадзора или ее территориального органа вправе провести выездную проверку.

Также решение о проведении выездной проверки может быть принято в случаях, если оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.

Как оформляются результаты проверки?

Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к акту проверки содержатся в п. 78 Регламента. Пунктом 85 Регламента предусмотрено, что при выявлении нарушений оператору вместе с актом выдается предписание об устранении нарушений.

В случае выявления нарушений по результатам проверок возможны следующие меры:

Мера 1. Выдача предписания об устранении выявленного нарушения.

Мера 2. Направление протокола с материалами проверки в суд либо в прокуратуру в случае выявления административного правонарушения и, соответственно, составления протокола об административном правонарушении.

Мера 3. Направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела, если в ходе проверки выявлено уголовно наказуемое деяние.

Основные положения Регламента представлены в таблице.

Правила проведения проверок Роскомнадзора

Проверку проводит Гострудинспекция

 В рамках полномочий, предоставленных ГИТ положениями ТК РФ, в ходе проведения проверки государственный инспектор труда вправе проверить исполнение требований гл. 14 ТК РФ. Основным нарушением, которое может выявить проверяющий в этой области, является отсутствие в организации локального нормативного акта, регулирующего порядок обработки персональных данных работников и (или) то, что работники не осведомлены о его существовании и не ознакомлены под роспись с его положениями.

В ТК РФ прямо не указано, что работодатель должен иметь локальный нормативный акт, регулирующий порядок обработки персональных данных работников. Может ли трудовой инспектор проверить наличие этого документа?

Несмотря на то, что в ТК РФ напрямую отсутствует обязанность работодателя иметь локальный акт, регулирующий порядок обработки персональных данных работников, в гл. 14 можно найти неоднократные упоминания о наличии такого документа.

В соответствии с п. 8 ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать требование об ознакомлении работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.

В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать также требование осуществления передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

Кроме того, согласно ст. 18.1 Закона о персональных данных оператор, являющийся юридическим лицом, должен издать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Таким образом, организация обработки персональных данных работодателем должна регламентироваться соответствующим локальным нормативным актом, наличие которого может проверить трудовой инспектор.

Название такого локального акта законодательством не определено. Работодатель вправе обозначить его сам. Как правило, такой документ называют Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом под роспись в соответствии с требованиями ч. 3 ст. 68 ТК РФ до подписания трудового договора (либо при вступлении локального нормативного акта в действие).

Журнал: Справочник кадровика, По состоянию на: 06.04.2012, Год: 2012, Номер: №5
Автор: Иванова И.А.

hr-portal.ru

Как подготовиться к проверке регулятора по персональным данным (пошаговая инструкция)

Что проверяют регуляторы по персональным данным? Как подготовиться к проверке? Как пройти проверку с наименьшими потерями? Такие вопросы возникают перед руководителями службы безопасности (служб информационной безопасности), когда они узнают о предстоящей проверке. В данной статье речь пойдет о том, как самостоятельно успешно пройти проверку регуляторов, не прибегая к помощи сторонних организаций.

Константин Саматов
Начальник отдела по защите информации ТФОМС Свердловской области,
член АРСИБ (Ассоциация руководителей служб информационной безопасности),
преподаватель информационной безопасности УРТК им. А.С. Попова

Кто такие регуляторы и что они проверяют?

Основных контрольно-надзорных органов, уполномоченных проводить проверки в части соблюдения законодательства о персональных данных (т.н. «регуляторов»), три:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомандзор) России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК) России;
• Федеральная служба безопасности (ФСБ) России.

Кто из них что проверяет?

Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, на него возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных». По сути – проверка организационных мер защиты персональных данных.

ФСТЭК и ФСБ осуществляет функции по контролю за соблюдением оператором государственных информационных систем организационных и технических мер по защите персональных данных (функции ФСБ ограничены порядком пользования средств криптографической защиты информации).

Как узнать, что вас собираются проверять?

Планы проверок практически всех организаций публикуются на официальном сайте Генеральной прокуратуры РФ в начале года. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих в текущем году проверках, их длительности и периоде проведения (указывается только месяц). Также регуляторы обязаны осуществлять размещение планов своих контрольно-надзорных мероприятий на официальных сайтах.

Что делать, если вас включили в план (пошаговая инструкция)?

Шаг 1. Соберите информацию
Поинтересуйтесь у коллег, посмотрите планы проверок за прошедшие годы, подумайте, с кем из тех, кто уже проходил проверку, у вас есть возможность проконсультироваться. Посетите семинары (конференции) с участием представителей регуляторов.

Основных контрольно-надзорных органов, уполномоченных проводить проверки в части соблюдения законодательства о персональных данных (т.н. «регуляторов»), три:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомандзор) России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК) России;
• Федеральная служба безопасности (ФСБ) России.

Шаг 2. Проведите внутренний аудит
Тут два момента: во-первых, поймете, где вы сейчас. Во-вторых, результаты внутреннего аудита понадобятся вам для предоставления регулятору.

На что смотреть в первую очередь:

• Анализ уведомления в Роскомнадзор. Если проверяющий орган Роскомнадзор, то уведомление желательно обновить за 1–2 месяца до проверки (если, конечно, позволяют сроки).
• Проанализировать политику в области обработки персональных данных. Сделать скриншот с сайта, где она размещена.
• Провести ревизию сертификатов соответствия на средства защиты информации: проверить, чтобы они были действующими и надлежащим образом заверенными.
• Составить перечень имеющихся локальных нормативных актов по защите информации (инструкции, регламенты, приказы, распоряжения).

Шаг 3. Подготовка к проверке
Для всех регуляторов подготавливаются следующие документы:

• Учредительные документы юридического лица: выписка из ЕГРЮЛ, Устав (Положение), приказ о назначении руководителя. Копия документа, удостоверяющего полномочия физического лица, которое будет представлять интересы юридического лица при проведении проверки. Организационно-штатная структура юридического лица (штатное расписание, положение), журнал учета проверок юридического лица.
• Документы, в которых зафиксировано, какие категории персональных данных вы обрабатываете, например: «Политика в области обеспечения безопасности персональных данных», «Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных».
• Перечень информационных систем персональных данных. Как правило, их несколько, так как законодательство не допускает объединение информационных систем персональных данных, созданных в различных целях. Например, информационные системы персональных данных, обрабатывающие данные о клиентах и сведения о сотрудниках, необходимо разделять.
• Модели угроз, акты определения уровня защищенности, формуляры и сертификаты на средства защиты информации.
• Документы о назначении ответственного или структурного подразделения, ответственного за обеспечение обработки персональных данных.
• Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей.
• Документы, регламентирующие режимные мероприятия. Например, «Инструкция по режиму безопасности». Журнал (реестр, книга), содержащий персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию или в иных аналогичных целях.
• Документ, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение таких последствий: «Инструкция по реагированию на инциденты информационной безопасности», «Инструкции по внутреннему контролю (аудиту)», акты внутренних проверок.
• Документы, подтверждающие ознакомление сотрудников с внутренними регламентами по обеспечению безопасности персональных данных (листы ознакомления). Также рекомендуется сделать листы ознакомления с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными подзаконными актами, которыми вы руководствуетесь при проведении мероприятий по защите персональных данных.

Выше был представлен обобщенный перечень документов, необходимых для предоставления всем регуляторам.

Для Роскомнадзора

Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, на него возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных». По сути – проверка организационных мер защиты персональных данных.
ФСТЭК и ФСБ осуществляют функции по контролю за соблюдением оператором государственных информационных систем организационных и технических мер по защите персональных данных (функции ФСБ ограничены порядком пользования средств криптографической защиты информации).

В случае проверки Роскомнадзором этот перечень необходимо дополнить:

• Договоры, одной из сторон которых является субъект персональных данных. Например, трудовой договор: желательно, чтобы в нем было согласие на обработку персональных данных.
• Письменное согласие субъектов персональных данных, в том числе работников, на обработку их персональных данных (резюме, анкета, трудовой договор).
• Письменное согласие на обработку биометрических и (или) специальных персональных данных (если они обрабатываются).
• Наличие письменного согласия на трансграничную передачу данных (если передаются).
• Согласие субъекта на передачу его данных третьему лицу (если оператор поручает обработку третьему лицу).
• Документы, устанавливающие порядок уничтожения и обезличивания персональных данных. Например, «Инструкция по делопроизводству», «Инструкция по конфиденциальному делопроизводству».
• Типовые формы документов, характер которых предполагает включение в них персональных данных (бланки согласий, бланки трудовых договоров, анкеты сотрудников, клиентов и т.п.).
• Документы, устанавливающие места хранения материальных носителей персональных данных и порядок их хранения («Инструкция по конфиденциальному делопроизводству» или «Инструкция по режиму безопасности в организации»).
• Локальные документы, регламентирующие порядок и условия обработки персональных данных работников, кандидатов на замещение вакантных должностей, ведение кадрового резерва (при наличии), а также документы, подтверждающие факт ознакомления работника с локальными документами, регламентирующими порядок и условия обработки его персональных данных. Например, «Положение о защите персональных данных сотрудников с листами ознакомления».

Для ФСТЭКа

• Сведения о наличии лицензий на осуществление работ по защите информации.
• Приказ о постоянно действующей технической комиссии по защите информации.
• Сведения о сотрудниках подразделения (штатном специалисте) по защите информации: приказ о назначении, штатная и фактическая численность, стаж в области защиты информации, копии дипломов об обучении, сведения о повышении квалификации, сведения о согласовании кандидатуры руководителя с Управлением ФСТЭК России по региону.
• Сведения об аттестованных объектах информатизации (аттестат) и планируемых к аттестации.
• Сведения о проведении инструментального контроля на объектах информатизации.
• Сведения о наличии аппаратуры контроля эффективности мер по защите информации.

Для ФСБ

• Документы, определяющие выбор криптосредства в соответствии с определенными уровнями защищенности. Например, модель нарушителя (может быть совмещена с моделью угроз), акт определения уровня защищенности.
• Документы по поставке средств криптографической защиты (СКЗИ). Например, договор купли-продажи со спецификацией.
• Эксплуатационная документация на криптосредства: формуляры, руководства оператора, сертификаты и т.п.
• Документы определяющие порядок учета СКЗИ: акты установки СКЗИ, перечень помещений с СКЗИ, журналы учета, журналы передачи СКЗИ.
• Документы, подтверждающие наличие функциональных обязанностей ответственных пользователей СКЗИ. Например, должностные инструкции сотрудников.
• Организация процесса обучения лиц, использующих СКЗИ, правилам работы с ними и другим нормативным документам по организации работ с использованием СКЗИ: листы ознакомления, копии свидетельств о повышении квалификации сотрудников, занятых на работах с СКЗИ, листы проведенных инструктажей, приказы (планы) обучения сотрудников правилам работы с СКЗИ и т.п.
• Инструкция по восстановлению связи в случае компрометации криптографических ключей.

Что делать, если вас включили в план?

• Шаг 1. Соберите информацию.
• Шаг 2. Проведите внутренний аудит.
• Шаг 3. Подготовка к проверке.
• Шаг 4. Непосредственно участие в самой проверке.

Шаг 4. Непосредственно участие в самой проверке
Если проверка документарная, в адрес организации направляется приказ, в котором указывается перечень документов, необходимых для предоставления регулятору и срок. В указанный в нем срок вам необходимо предоставить регулятору запрашиваемые документы любым доступным способом: либо направить по почте, либо нарочно с отметкой о получении. Регулятор примет эти документы, проведет их анализ и по его результатам составит и направит (также либо почтой, либо нарочно) акт и, возможно, предписание.

Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения юридического лица, месту осуществления деятельности индивидуального предпринимателя и (или) по месту фактического осуществления их деятельности. Обычно за 10 дней или месяц до начала проверки направляется по факсу или приносится сотрудником контрольно-надзорного ведомства приказ о проведении проверки. Затем за 1–2 дня обговаривается время, когда комиссия приходит в организацию.

Проверка начинается с ознакомления руководителя организации с документами, удостоверяющими личности и принадлежность к государственному органу членов комиссии, затем вручается приказ о проведении проверки с перечнем вопросов и необходимых для предоставления документов, обговаривается срок их предоставления.

Когда документы подготовлены и вручены проверяющим, комиссия приступает к их анализу. Работа с документами в случае выездной проверки может проходить как на территории организации, так и на территории самого регулятора (члены комиссии могут забрать их с собой). По итогам проверки подготавливается акт, который вручается под роспись руководителю организации. К акту может быть приложено предписание об устранении выявленных нарушений.

Что делать, если проверка внеплановая?

Внеплановая проверка проводится в форме документарной проверки и (или) выездной проверки.

О проведении внеплановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного контроля (надзора) не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом. На практике при проведении проверки по тематике персональных данных срок уведомления больше (от 10 дней до 1 месяца).

К уведомлению, как правило, прикрепляется приказ о проведении проверки, перечень документов, необходимых для предоставления регулятору, устанавливается срок. Во всем остальном порядок проведения проверки и ее форма (документарная либо выездная) схожи с плановой. Иными словами, отличие заключается только в сроке и порядке уведомления о контрольно-надзорном мероприятии, а соответственно, основной проблемой будет подготовка недостающих документов и отсутствие времени на сбор необходимой информации и консультации с экспертами, имеющими опыт прохождения подобных проверок.

При этом следует отметить, что выполнение хотя бы части вышеперечисленных требований существенно увеличивает вероятность пройти все регламентные процедуры без предписания и (или) штрафа.

lib.itsec.ru

Что относится к персональным данным работника организации в 2019 году

Задать вопрос эксперту ClubTK Вход/регистрация рубрики

• Актуально
• Анонсы
• Архивное хранение
• Больничные
• Бухгалтерия в кадрах
• Военнослужащие
• Воинский учет
• Гарантии и компенсации
• Госслужба
• Делопроизводство
• Договоры
• Документооборот
• Должностные инструкции
• Законодательство
• Инвалиды
• Иностранные работники
• Инструкции по охране труда
• Интервью
• Кадровики советуют
• Командировки
• Конфиденциальность
• Материальная ответственность
• Медосмотры
• Обучение и переподготовка
• Оплата труда
• Отпуска
• Отчетность
• Охрана труда
• Оценка персонала
• Персональные данные
• Подбор персонала
• Прием на работу
• Проверки
• Профессии
• Профстандарты
• Рабочее время
• Разбираем на примерах

clubtk.ru