Содержание
- 1 Как проводится проверка Роскомнадзора
- 2 Что такое проверка персональных данных и как её проводят Роскомнадзор, ФСБ и другие органы?
- 3 — Защищайтесь, сударь!
- 4 10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор
- 5 Новые правила проверок Роскомнадзора в области персональных данных
- 6 Проверка Роскомнадзора по защите персональных данных: что проверяют
- 7 Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора? — DocShell 4.0
- 8 Проверка Роскомнадзора по защите персональных данных
Как проводится проверка Роскомнадзора
Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.
Полномочия Роскомнадзора
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
- Учредительная документация (ИНН, устав и прочее).
- Уведомление о том, что фирма работает с ПД.
- Перечень ПД, сбор которых осуществляется.
- Перечень работников, у которых есть доступ к данным.
- Приказ о допуске таких сотрудников к ПД.
- Инструкции для специалистов, которые работают с данными.
- Положение об ответственности сотрудников за разглашение ПД.
- Документ об обработке ПД.
- Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
- Соглашение о неразглашении ПД.
- Письменное согласие лиц на обработку.
- Журналы инструктажей относительно мер безопасности.
- Журналы учета носителей сведений.
Роскомнадзор также может затребовать и другие документы.
Продолжительность проверки
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты проверки
В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.
Можно ли обжаловать результаты проверки?
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
Что такое проверка персональных данных и как её проводят Роскомнадзор, ФСБ и другие органы?
1 июля 2017 года вступили в силу поправки в КоАП РФ, которые изменили ситуацию относительно ответственности за нарушение законодательных требований о персональных данных. Чтобы избежать штрафов и подготовится к такому мероприятию, руководители различных организаций должны знать, как происходит проверка.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !
Что это такое?
Паспортные данные, уровень образования, квалификация и другие автобиографические сведения относятся к персональным.
Распространение такой информации со стороны работодателя недопустимо. В противном случае работник вправе обратиться в суд.
Для выполнения определенного вида работы в некоторых фирмах требуются более личные сведения о кандидате на должность. Например, перечень перенесенных человеком заболеваний.
Проверка персональных сведений призвана выявлять нарушения в системе защиты личной информации о сотрудниках предприятия. Если они выявлены, то начисляется общая сумма штрафов по всем пунктам.
Какие органы ее проводят?
Уполномоченные органы вправе осуществлять контроль и надзор за правильным хранением баз данных, к ним относятся:
Виды аудита
Процедура инспекции зависит от ее типа, основными являются следующие:
- Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
- Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
- Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
- Выездные. Территория организации осматривается сотрудниками уполномоченного органа.
Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.
Какие документы проверяют?
Роскомнадзор
Плановые проверки предусматривают предоставление следующих документов:
- копия документа о назначении уполномоченного представителя, который сможет представлять интересы юридического лица во время проверки;
- все документы, которые могут включать в себя личные сведения (анкеты, заявления, журналы);
- документы, которые подтверждают уничтожение личной информации после ее обработки;
- письменное согласие владельцев личной информации на ее обработку;
- документы, которые подтверждают соблюдение всех требований законодательства при обработке персональных сведений;
- документы, которые подтверждают место размещения баз данных;
- документы, подтверждающие ознакомление работников, осуществляющих обработку личной информации, с действующим законодательством.
Роскомнадзор осуществляет проверку по следующим пунктам:
- деятельность по обработке персональных сведений;
- документы, в которых могут отображаться информация личного характера;
- информационные базы.
Выездная проверка может длиться 20 дней, и еще на 20 суток она может быть продлена. Итог проверки – акт, который, при наличии нарушений, включает в себя предписания по их устранению. Также устанавливаются сроки для исправления ошибок. Результат проверки всегда можно обжаловать.
В ходе проверки ФСБ обращает внимание на следующие аспекты:
- Наличие нарушителя и угрозы, которую он представляет.
- Организационные меры, которые установлены приказом ФСБ №378. В нем сказано о назначении ответственных лиц, порядке допуска работников к ИСПДн, защита объектов и другое.
- Наличие средств криптографической защиты информации.
- Документы на средства криптографической защиты баз данных. Это могут быть лицензии и сертификаты.
Плановые инспекции начинаются с уведомления проверяемого. К нему прилагается копия приказа и план проводимых мероприятий. ФСБ проверяет информационные системы баз данных. В организации должен быть утвержденный документ регламентирующий защиту личных сведений.
Как избежать штрафов и подготовиться?
Как подготовиться к проверке:
- В первую очередь нужно следить за бумагами, особенно копиями паспортов. Хранение такой информации в доступном месте может породить у инспектора много вопросов.
- Убедиться, что на предприятии есть заполненные бланки «согласия сотрудников на обработку их личной информации».
- Провести инструктаж с работниками по охране личных сведений.
- В кабинетах, в которых обрабатывается личная информация в бумажном, виде должны находиться сейфы, закрытые шкафы, бухгалтерские стеллажи, в которых они будут храниться.
Как действовать во время инспекции:
- тщательно ознакомиться со всеми документами, которые относятся к проверке;
- помощь профессионалов, например, юристов, которые имеют право присутствовать во время проведения мероприятия;
- прежде чем передать документы инспектору следует лично ознакомиться с их содержанием;
- не обязательно представлять требуемые документы незамедлительно, всегда есть время на обработку запроса.
Важно помнить, что за несоблюдение законодательства в области защиты персональной информации руководители организаций несут ответственность, согласно ФЗ №152 «О персональных данных».
Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:
+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !
— Защищайтесь, сударь!
Персональный блог про информационную безопасность
19 июля 2018
ПДн. Проверка Роскомнадзора. Начало.
Проверки по соблюдению порядка обработки персональных данных, проводимые Роскомнадзором, все еще не настолько часты и вызывают у представителей Операторов ряд вопросов.
Роскомнадзор, являясь на основании ст.23 Федерального закона от 27.07.2006 №152-ФЗ уполномоченным органом по защите прав субъектов персональных данных, осуществляет проверки порядка обработки персональных данных в рамках реализации своих функций, определённых Административным регламентом (Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312).
Предметом проверки со стороны Роскомнадзора являются:
- документы, характер информации в которых предполагает или допускает включение в их состав персональных данных;
- деятельность по обработке персональных данных;
- информационные системы персональных данных.
Что проверяет Роскомнадзор |
Для полноты картины необходимо уточнить, что проверки порядка обработки персональных данных проводит не только Роскомнадзор, но также сотрудники Прокуратуры, Трудовой инспекции, а также, в отдельных случаях, сотрудники ФСТЭК России и ФСБ России. Но данные проверки достойны отдельного рассмотрения.
Плановая проверка Роскомнадзора.
- начало обработки персональных данных Оператором;
- истекли 3 года после осуществления государственной регистрации организации – Оператора;
- истекли 3 года после последней плановой проверки организации — Оператора.
О том, что в организацию направляется плановая проверка Роскомнадзора, будет сообщено Оператору в направляемом не позднее чем за 3 (три!) дня до начала проверки почтовом (. ) сообщении. Как правило, уведомление о проверке будет направлено на электронный адрес лица, указанного как ответственный за организацию обработки в организации. Приложением к уведомлению будет «Программа проведения … проверки в области персональных данных».
Согласно Административного регламента, продолжительность проведения плановой проверки не может превышать 20 рабочих дней. Но на самом деле срок может быть больше: «de jure» если требуются сложные экспертизы в порядке, указанном в Регламенте возможно продление еще на 20 дней, «de facto» путем затягивания выдачи Акта проведения проверки.
В неплановая проверка Роскомнадзора.
Предупреждение о внеплановом посещении комиссии «ревизоров» организация получит за 24 часа любым доступным сотрудникам Роскомнадзора способом (но только, если Оператор не причиняет вред здоровью граждан — тогда предупреждения не будет). Как правило, предупреждение делается по телефону, электронной почте или факсу.
Основаниями для проведения внеплановой проверки Роскомнадзора являются:
- истечение срока ранее выданного предписания Роскомнадзора об устранении выявленного нарушения требований законодательства о персональных данных. Как правило, проводится такая проверка в след за плановой проверкой в форме документарной с целью выяснения сведений об устраненных Оператором замечаниях.
- приказ руководителя Роскомнадзора (руководителя тер.органа), изданный во исполнение поручения Президента России, Правительства РФ, и на основании требования прокурора по поступившим в прокуратуру материалам и обращениям.
- заявления и обращения (жалобы), поступившие в Роскомнадзор от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации.
Еще одним основанием для проведения внеплановой проверки являются нарушения, выявленные при систематическом контроле, проводимом Роскомнадзором.
Продолжительность проведения внеплановой проверки, также как плановой не может превышать 20 рабочих дней.
Документарная проверка.
Выездная проверка.
Выездная проверка осуществляется по месту осуществления деятельности Оператором. Подавляющее большинство плановых проверок проводится в форме выездных проверок, в то время как внеплановые проверки чаще проводятся в форме документарных проверок.
Не секрет, что техническая составляющая защиты персональных данных Роскомнадзором при проверках не проверяется. Основная задача Роскомнадзора проверить легитимность обработки Оператором персональных данных, оправданность заявленных Оператором целей обработки и соответствие объемов указанным целям.
Несмотря на то, что проверка выездная – это вовсе не означает, что комиссия из Роскомнадзора будут находиться в организации все 20 рабочих дней, предписанные на выполнение проверки. Как правило, комиссия проверяющих посещают офис Оператора 3-4 раза.
По опыту проверок, процесс выездной проверки выглядит следующим образом:
10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор
Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных
Ошибка № 2. Не назначили ответственного за обработку персональных данных
Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным
Ошибка № 4. Собираете и храните лишние документы
Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.
Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).
Видео (кликните для воспроизведения). |
Ошибка № 5. Не проводите внутренний аудит работы с персональными данными
Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.
Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных
Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных
Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных
Новые правила проверок Роскомнадзора в области персональных данных
Юридическая компания «Пепеляев Групп» сообщает о вступлении в силу обновленного порядка проверок соблюдения законодательства в области персональных данных
23 февраля 2019 г. вступает в силу Постановление Правительства РФ[1], устанавливающее порядок организации и осуществления проверок в отношении операторов персональных данных (далее – Постановление). Ранее порядок проведения проверок регулировался Административным регламентом 2011 г.[2] (далее – Административный регламент). Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.
Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд любопытных, на наш взгляд, положений. Среди них можно отметить следующие.
Исключается «техническая сторона» вопроса
В Постановлении акцентировано внимание на том, что Роскомнадзор не проверяет выполнение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн). Причем из-под сферы проверок выведена целиком ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В связи с выведением за пределы проверки существенного блока регуляторных требований в части обеспечения безопасности персональных данных в ИСПДн, можно ожидать последующего утверждения соответствующих правил контроля и надзора в данной области, вероятно, с передачей данной компетенции другим контрольно-надзорным органам, например, ФСТЭК России. |
Увеличивается частота плановых проверок
Как и ранее, сохранилось общее правило о проведении плановых проверок операторов раз в три года и реже. Однако появилась новая классификация операторов персональных данных для целей проверок, среди них операторы:
- осуществляющие сбор биометрических и специальных категорий персональных данных;
- осуществляющие трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
- обрабатывающие персональные данные по поручению иностранной компании (физического лица, государственного органа), не зарегистрированного в России.
Таких операторов теперь смогут проверять чаще – один раз в два года.
Уточняются иные процедурные положения
Несмотря на то, что Роскомнадзор теперь вправе осуществлять плановые проверки операторов чаще, следует учитывать нехватку ресурсов для регулярной проверки значительного количества компаний. Однако если обратить внимание на список операторов, то, например, в связи с обработкой специальных категорий персональных данных, которая осуществляется практически всеми работодателями (например, сведения о состоянии здоровья работников), в данную группу операторов попадают, по сути, все компании. Поэтому если у Роскомнадзора будет намерение проверять того или иного оператора столь часто, это будет допустимо в рамках закона. Уточнен и расширен перечень оснований для продления срока проведения проверки. Так, например, основанием для продления проверки теперь является разветвленность организационно-хозяйственной структуры оператора, сложность технологических процессов обработки персональных данных. Упразднены внеплановые документарные проверки. В отношении ИСПДн уточнено право регулятора получать во время выездной проверки доступ к ИСПДн оператора в режиме просмотра и выборки информации на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки. Срок внеплановой проверки сокращается с 20 до 10 дней. О чем подумать, что сделатьКомпаниям рекомендуется провести проверку соблюдения требований законодательства о персональных данных, а также заблаговременно подготовиться к возможным контрольно-надзорным мероприятиям Роскомнадзора. Помощь консультантовСпециалисты юридической компании «Пепеляев Групп» рады оказать услуги по проведению аудита операторов персональных данных в части соблюдения требований законодательства о персональных данных и по приведению деятельности операторов в соответствие с требованиями закона. Наши юристы обладают большим опытом по подготовке и сопровождению проверок, проводимых Роскомнадзором, и готовы оказать соответствующее комплексное правовое и техническое содействие для своевременного выявления возможных нарушений и их устранения, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.
[2] Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Проверка Роскомнадзора по защите персональных данных: что проверяют |
Справочно-информационный центр |
Портал персональных данных |
Горячая линия для СМИ |
ПЛАН проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2019 год (RTF, 2.78 Mb)
ПЛАН проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2018 год (RTF, 2.86 Mb)
ПЛАН проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2017 год (DOCX, 195.53 Kb)
План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2016 год (DOCX, 217.80 Kb)
План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2015 год (DOCX, 1 000.49 Kb)
План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2014 год (DOC, 9.43 Mb; DOCX, 1.06 Mb)
План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2013 год (DOC, 10.72 Mb; DOCX, 1.20 Mb)
План проверок на 2012 год ( doc ) ( docx )
План проверок на 2011 год ( doc ) (doc в архиве zip)
План проверок на 2010 год (формат: docx 4.5Mb, rtf в архиве RAR 1.1Mb.)
План проверок на 2009 год (формат: doc .)
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 09.09.2009 21:17
Последнее изменение: 11.12.2018 17:40
Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора? — DocShell 4.0
- 20.06.2019
- | Обработка ПДн
- | 631
В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.
При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:
адрес места регистрации и/или проживания;
номер банковской карты и/или лицевого счета.
Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.
Что первым проверит Роскомнадзор?
Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан. Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна. ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.
Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени. Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист. Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.
Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.
-
- Акт установления уровня защищенности информационных систем персональных данных.
- Акт классификации государственной информационной системы или муниципальной информационной системы.
- Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
- Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
- Журнал регистрации инцидентов информационной безопасности.
- Заключение об оценке вреда субъектам персональных данных.
- Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
- Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
- Инструкция по учёту машинных носителей и регистрации их выдачи.
- Модель угроз.
- Отзыв согласия субъекта персональных данных.
- Перечень информационных систем персональных данных.
- Перечень мероприятий по защите персональных данных.
- План внутренних проверок состояния защиты персональных данных.
- Политика обработки персональных данных.
- Положение об ответственном за организацию обработки персональных данных.
- Положение о порядке обработки персональных данных.
- Положение по работе с инцидентами информационной безопасности.
- Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
- Приказ «О журнале учета посетителей».
- Приказ «О журнале регистрации инцидентов информационной безопасности».
- Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
- Приказ «О назначении ответственного за организацию обработки персональных данных».
- Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
- Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
- Приказ «Об организации мероприятий по защите персональных данных».
- Приказ «Об ответственности за обработку и защиту персональных данных».
- Приказ «Об установлении границ контролируемой зоны объектов информатизации».
- Приказ «Об утверждении мест хранения материальных носителей персональных данных».
- Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
- Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
- Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
- Приказ «Об утверждении форм актов уничтожения персональных данных».
- Приказ «Об утверждении форм согласий на обработку персональных данных».
- Приказ «Об утверждении типовой формы поручения обработки персональных данных».
- Типовая форма поручения обработки персональных данных.
- Уведомление об обработке персональных данных.
Скачать чек-лист
Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?
Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.
Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.
Проверка Роскомнадзора по защите персональных данных
В феврале 2019 года Федеральная служба по надзору в сфере связи, ИТ и массовых коммуникаций (далее – Роскомнадзору) утвердила порядок, в соответствие с которым будут проводиться проверки операторов персональных данных. В статье разберем, как осуществляется проверка Роскомнадзора по защите персональных данных, а также выясним, как организации подготовится к визиту инспекторов.
Кого проверяет Роскомнадзор
Функциональные полномочия и регламент деятельность Роскомнадзора регламентированы Положением «О федеральной службе по надзору в сфере связи, ИТ и массовых коммуникаций», утвержденным Правительством РФ №228 от 16.03.2009 года.
В соответствие с документом, функциями Роскомнадзора является контроль за обработкой персональных данных требованиям действующего законодательства. Субъектом контроля Роскомнадзора выступает операторы персональных данных (ОПД) – организации, ИП, физлица, госорганы, которые:
- осуществляют сбор и/или обработку персональных данных (самостоятельно либо совместно с третьими лицами);
- определяет цели работы с личной информацией.
Таким образом, Роскомнадзор вправе проверить любую организацию или предпринимателя, которые в процессе ведения деятельности работают с персональной информацией третьих лиц. К примеру, субъектом проверки Роскомнадзора могут выступать:
- предприятия/ИП, у которых есть наемные работники;
- компании, работающие в сфере ИТ и осуществляющие сбор персональной информации пользователей;
- фирмы, работающие с клиентами и ведущие учет их личных данных (так называемые клиентские базы).
Как видим, от проверки Роскомнадзора не застрахован практически никто. Инспекторы Службы могут нагрянуть с проверкой как к ИТ-компании, которая обрабатывает массивы персональных данных пользователей, так и к ИП, который заключил трудовые договора с несколькими сотрудниками.
Проверка Роскомнадзора по защите персональных данных
Далее выясним, что именно проверяет Роскомнадзор в ходе инспекции.
Положение «О федеральной службе по надзору в сфере связи» не содержит четкого перечня документов, который Роскомнадзор может запросить у проверяемой организации. Что касается целей проверки, то в Положении указаны только общие фразы о контроле за обработкой персональных данных требованиям действующего законодательства.
На практике организации сталкиваются с проверкой:
|
Периодичность проверок Роскомнадзора
Согласно регламенту, Роскомнадзор вправе осуществлять как плановые, так и внеплановые проверки ОПД.
Видео (кликните для воспроизведения). |
Периодичность проведения Роскомнадзором плановых проверок – в таблице ниже:
Категория ОПД | 1 | 1 раз в 2 года |
Репин, В.С. Настольная книга нотариуса (теория и практика); М.: Юрилическая литература, 2013. — 288 c.
Шалагина, М. А. Правоведение. Шпаргалка / М.А. Шалагина. — М.: Феникс, 2015. — 126 c.
Смоленский, М. Б. Теория государства и права / М.Б. Смоленский, Л.Ю. Колюшкина. — М.: Дашков и Ко, Наука-Пресс, 2009. — 288 c.
Имею высшее образование по специальности: юрист по финансово-правовому профилю. Мой стаж работы в юридической компании составляет 12 лет. Очень рад Вас видеть на своем сайте!