Проверки Роскомнадзора по персональным данным. Часть 2
В первой части мы определились с тем, кто может проверять юридические лица в сфере персональных данных, и выяснили, что наиболее вероятна проверка со стороны Роскомнадзора. Также в статье были обозначены права контролирующего органа, подробно описаны виды наказаний по статье 13.11 КоАП и выделены основные нарушения за 2016–2017 гг. Во второй части мы поговорим о том, как проходят проверки и что они собой представляют, а затем составим примерный перечень документов, необходимых для разработки.
Для начала нужно определиться, чем регламентировано проведение проверок и какими они бывают. В 2009 году был издан первый «Административный регламент проведения проверок Федеральной службой в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630). В 2011 году он был заменен на ныне действующий «Административный регламент исполнения федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» (утвержден приказом Минкомсвязи России от 14 ноября 2011 г. № 312). В 2014-м в него дважды вносились изменения (приказами Минкомсвязи России от 08.10.2014 № 340 и от 24.11.2014 № 403). Действующую версию документа можно найти в открытом доступе, в первую очередь на сайте Роскомнадзора в разделе «Правовая информация — Административные регламенты»[1].
Давайте кратко ознакомимся с содержимым регламента. В нем сказано, что предметом контроля являются как документы, содержащие персональные данные, так и информационные системы персональных данных, и деятельность по их обработке в целом. При проведении проверок Роскомнадзор имеет право самостоятельно составлять протоколы об административном правонарушении и направлять в правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях и о возбуждении уголовных дел.
Права контролирующего органа, прописанные в регламенте, раскрывают положения ст. 23 Федерального закона № 152-ФЗ «О персональных данных». В ходе проведения проверки Роскомнадзор может запрашивать документы, касающиеся обработки персональных данных, а также получать доступ к информационным системам персональных данных. Роскомнадзор может проверить даже эффективность технических мер по обеспечению безопасности персональных данных в негосударственных информационных системах персональных данных. Для этой цели привлекаются эксперты и экспертные организации.[2]
По результатам проверки оформляется акт, если выявлены нарушения, то выдается предписание об их устранении. В ходе проверки или по ее итогам может быть принято решение о возбуждении дела об административном или уголовном правонарушении.
Существует только два типа проверок — плановые и внеплановые (таблица 3).
Таблица 3
Для того чтобы понять, насколько вероятно проведение Роскомнадздором проверки в отношении вашей организации, давайте обратимся к статистике. Согласно данным официальных отчетов Роскомнадзора[3], в 2016 году было проведено 1307 плановых проверок по персональным данным. Причем нарушения были выявлены в 49% случаев. Внеплановых проверок прошло лишь 99, нарушения выявлены в 24% случаев.
В 2015 году проведено 1160 плановых проверок (из них 132 пришлось на государственные и муниципальные организации) и 104 внеплановые. Проверки государственных и муниципальных органов представлены отдельно: в 2015-м их было 132, в 2016-м — 333. В первой половине 2017-го Роскомнадзор провел 532 плановые проверки и 32 внеплановые.
Если с плановыми проверками все понятно — о них известно заранее, то наибольший интерес представляют внеплановые мероприятия, которые в большинстве случаев проводятся по запросам субъектов. Основные жалобы субъектов персональных данных относятся к следующим категориям организаций:
кредитные организации;
организации ЖКХ;
организации — владельцы интернет-сайтов;
коллекторские агентства[4].
Кроме плановых и внеплановых проверок, Роскомнадзор осуществляет систематическое наблюдение в сфере персональных данных. Только за первое полугодие 2017-го проведено 1088 мероприятий, из них 25 внепланово. Такое наблюдение включает всего проверку информации в сети Интернет, выявление точек продаж баз персональных данных, проверку размещения информации в общественных местах (например, наружной рекламы). По данным отчета Роскомнадзора, за первое полугодие 2017-го[5] основными нарушителями, выявленными в результате систематического наблюдения, являются:
государственные и муниципальные органы государственной власти — 66 нарушений;
учреждения высшего, среднего, начального и общего образования — 66 нарушений;
учреждения здравоохранения — 62 нарушения;
организации в сфере ЖКХ — 51 нарушение;
финансово-кредитные организации — 28 нарушение;
операторы связи — 26 нарушений.
Как видно, многие организации попадают в категорию риска, поэтому готовиться к проверке желательно всем.
Что нужно будет сделать?
разработать документы, определяющие правила работы с персональными данными, а также способы обеспечения их безопасности.
защитить информационные системы.
определить помещения для обработки персональных данных и установить порядок доступа в них.
обучить сотрудников, занимающихся обработкой и защитой персональных данных.
Основной этап подготовки к проверке — разработка документов. Очень важно определиться с необходимым и достаточным комплектом документов. В первую очередь можно выделить три важных документа, на которые следует обратить особое внимание: уведомление об обработке персональных данных, письменное согласие субъекта на обработку персональных данных и политика обработки персональных данных. Первые два из них необязательны, но более подробно об этом мы поговорим в третьей части.
Официального перечня, что должно входить в полный комплект документов для информационной системы персональных данных, нет. Поэтому нужно составить список самостоятельно на основании фрагментов разрозненной информации. Так, согласно положениям административного регламента Роскомнадзор может проверить следующие документы:
уведомление об обработке персональных данных — есть исключения, когда такое уведомление подавать не нужно;
документы, необходимые для проверки фактов нарушений при внеплановой проверке (если они были);
документы, подтверждающие выполнение предписаний об устранении ранее выявленных нарушений — в случае повторной проверки;
письменное согласие субъекта персональных данных на обработку его персональных данных — во многих случаях не требуется;
документы, подтверждающие соблюдение требований законодательства при обработке специальных категорий и биометрических персональных данных;
документы, подтверждающие уничтожение персональных данных субъектов персональных данных по достижении цели обработки;
локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.
Таким образом, если организация обрабатывает персональные данные исключительно своих работников (одно из исключений, когда уведомление можно не подавать), проверка плановая (фактов нарушения нет) и ранее предписания не выдавались, теоретически можно ограничиться предоставлением положения об обработке персональных данных и формы согласия на обработку персональных данных.
В законе «О персональных данных» можно найти косвенные упоминания о необходимости разработать документы (таблица 4).
Таблица 4
Не стоит забывать, что для бумажной обработки нужно руководствоваться положениями Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 г. Москва «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и разработать порядок обработки персональных данных, осуществляемой без использования средств автоматизации.
Также примерный перечень документов можно найти в Постановлении Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Если убрать привязку к государственной службе и немного адаптировать названия документов, получится следующий список:
правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, сроки их обработки и хранения, порядок уничтожения;
правила рассмотрения запросов субъектов персональных данных или их представителей;
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
правила работы с обезличенными данными в случае обезличивания персональных данных
перечень информационных систем персональных данных;
перечни персональных данных;
перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных;
перечень должностей, которые предусматривают осуществление обработки персональных данных либо осуществление доступа к персональным данным;
должностная инструкция ответственного за организацию обработки персональных данных;
типовое обязательство работника, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
типовая форма согласия на обработку персональных данных
порядок доступа в помещения, в которых ведется обработка персональных данных
В третьей части статьи мы более подробно остановимся на основных видах документов и непосредственной подготовке к прохождению проверке.
[1] https://rkn.gov.ru/chamber-of-commerce/administrative-reglament/
[2] Включенные в установленном порядке в реестр граждане и организации, привлекаемые Роскомнадзором в качестве экспертов, экспертных организаций к проведению мероприятий по контролю.
[3] https://rkn.gov.ru/plan-and-reports/reports/p449/
[4] https://rkn.gov.ru/plan-and-reports/reports/p449/
[5] https://rkn.gov.ru/plan-and-reports/reports/p449/
[6] Здесь и далее в таблице – статьи Федерального закона № 152-ФЗ «О персональных данных»
По материалам www.allcio.ru