Чем руководствуются?
Список основных документов, содержащих правовые основания для проверки выглядит следующим образом:
- Федеральный закон 152-ФЗ “О персональных данных”,
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.
Что проверяют?
Проверяют условия обработки персональных данных, делая упор исключительно на состоянии организационных мер по защите информации. В технические меры не углубляются, хотя обязательно посмотрят все информационные системы персональных данных в организации. Накануне проверки срочно устанавливать пароли на всех компьютерах нет особой необходимости, на это обращать внимания не будут.
А конкретнее?
Если конкретнее, то стоит отметить, что в разных регионах специфика проверок разная. В этом мы убедились из опыта общения с различными учреждениями, «коллегами по цеху» и непосредственно представителями проверяющего ведомства. Единую таблетку от всех проверок выписать невозможно, однако сформулировать ряд рекомендаций – вполне.
Итак, в базе Роскомнадзора должны быть сведения об операторе персональных данных, то есть, о вас. Есть исключения, но, если к вам идет проверка – значит, вы, скорее всего, у них в базе числитесь. Сведения должны быть актуальными.
Ваш сайт должен соответствовать требованиям законодательства. То есть, если у вас есть разделы «обратная связь», «обращение граждан» или другие подобные формы, на которых вы собираете любые данные о физических лицах, то вы обязаны взять с этого лица согласие на обработку его персональных данных. В настоящее время идут споры о том, является ли простановка галочки в чек-боксе юридически значимым действием, однако, сами проверяющие относятся к этому вполне лояльно. Кроме того, законодательство обязывает организацию разместить на сайте «Политику в отношении обработки персональных данных». Желательно размещать ее в таком месте, чтобы ее можно было найти как можно проще.
Что касается списка документов по защите персональных данных для проверки Роскомнадзора, то можно выделить следующие основные группы документов:
- По неавтоматизированной обработке персональных данных. Включают в себя перечень мест хранения бумажных носителей персональных данных, лиц, имеющих к ним доступ, и положение о неавтоматизированной обработке персональных данных;
- О приеме обращений субъектов персональных данных. Включает в себя положение о порядке приема обращений, набор шаблонов заявлений и обращений по этому вопросу;
- Для работы отдела кадров. Включают в себя согласия на обработку персональных данных работников и журнал ознакомления сотрудников с положениями по защите персональных данных в организации;
- По установлению уровня защищенности для информационных систем персональных данных. Включают в себя акты установления уровня защищенности информационных систем персональных данных и положения о мерах по обеспечению принятых уровней защищенности;
- О назначении ряда ответственных сотрудников по работе с персональными данными. Включают в себя назначения ответственного за организацию обработки персональных данных, ответственного за обеспечение контролируемой зоны, ответственного за безопасность информации, ответственных за обеспечение конфиденциальности персональных данных во всех подразделениях;
- По защите от несанкционированного доступа. Включают в себя положения о порядке устранения последствий от несанкционированного доступа, назначения ответственного за восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- По правилам уничтожения персональных данных. Включают в себя положения об уничтожении персональных данных, назначение комиссии по уничтожению персональных данных, акты уничтожения материальных носителей персональных данных;
- О разграничении доступа к персональным данным. Включают в себя списки сотрудников, допущенных до обработки персональных данных, списки сотрудников, допущенных в кабинеты и/или информационные системы персональных данных, положения о разграничении прав доступа, матрицу доступа, инструкции пользователям и администраторам;
- По работам с персональными данными. Перечень носит объемный характер и, в общем случае, содержит множество инструкций, регламентов и правил, описывающих хранение и передачу персональных данных внутри организации.
Безусловно, не стоит забывать про модель угроз. Сам документ проверяющие из РКН не смотрят, но им важно его наличие. Модель угроз – это вотчина ФСТЭК, но это тема совершенно другой статьи.
А штрафы?
Штрафы есть. Они определены Статьей 13.11 КоАП. В отличие от Проверки ФСБ, Роскомнадзор предпочитает накладывать штраф не на физическое лицо, а на юридическое. Стоит отметить, что штрафы суммируются. Так что сумма наказания вполне может достигать размера в 150 000 рублей.
Чтобы избежать наложения таких штрафов, мы рекомендуем обращаться к профессионалам. Как минимум, с целью проведения обследования состояния вашей системы документов и получения рекомендаций по их доработке. Это, в любом случае, поможет вам лучше разобраться в состоянии дел по защите персональных данных в вашей организации.
Вывод
Проверку можно легко пройти, если на вас нет «зуба» у проверяющих, и вы подготовились к их приходу, т.е. собрали необходимые документы, сделали и заверили копии, а также подготовили сотрудников, чтобы те не говорили лишнего. О том, как правильно подготовить сотрудников к предстоящим проверкам регуляторов, мы обязательно напишем в следующих статьях.
И по традиции, полезность! Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны Роскомнадзора, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.
Вы получите следующие шаблоны документов:
- Приказ об утверждении правил рассмотрения запросов субъектов персональных данных;
- Приказ о порядке уничтожения персональных данных.
