РКН (Роскомандзор) – федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
ФСТЭК – федеральная служба по техническому и экспортному контролю.
ФСБ – федеральная служба безопасности.
ПДн – персональные данные.
Существует три ключевых контрольно-надзорных органа, уполномоченных на проведение проверок в области соблюдения законодательства о персональных данных, известных как “регуляторы”.
Роскомандзор – федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ответственная за контроль соблюдения требований Федерального закона “О персональных данных”. Ее задачей является проверка организационных мер по защите персональных данных.
ФСТЭК – федеральная служба по техническому и экспортному контролю, а также ФСБ – федеральная служба безопасности, которые обеспечивают контроль за соблюдением организационных и технических мер по защите персональных данных, включая использование криптографических средств защиты информации.
Рассмотрим подготовку к проверке Роскомнадзором, поскольку такие проверки касаются большинства компаний, так как практически все организации являются операторами персональных данных.
Проверки Роскомнадзора осуществляются тремя основными способами. Это может быть:
- инспекционный визит (проводится в отношении организаций, отнесенных к категориям высокого или значительного риска, а также приступающих к осуществлению деятельности в сфере обработки ПДн);
- документарная проверка (проводится без посещения организации, РКН запрашивает перечень документов, копии которых нужно направить в соответствующее подразделение ведомства);
- выездная проверка (проводится непосредственно в организации, с приездом инспекторов, они на месте оценивают, выполняет ли компания требования законодательства).
В рамках контроля за обработкой персональных данных проверяются:
- фактическая деятельность операторов в области обработки персональных данных, включая поручение на обработку, использование или отсутствие автоматизированных средств и тд.;
- разработанные документы и локальные нормативные акты контролируемых лиц, касающихся обработки персональных данных, а также принятые оператором меры, указанные в ч. 1 ст. 18. 1 Федерального закона “О персональных данных”.
В области обработки персональных данных Роскомнадзор уполномочен на проверку соблюдения требований:
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
- Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21.03.2012 № 211 – если проверяемое лицо является государственным или муниципальным органом
- Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687;
- Трудового кодекса Российской Федерации (в части касающейся обработки персональных данных работников)
- Федерального закона от 27.07.2004 № 79-ФЗ “О государственной гражданской службе Российской Федерации” (в части касающейся)
На проверку требований Постановления Правительства РФ № 1119 Роскомнадзор не уполномочен, но тем не менее запросить информацию о принятии организационных и технических мер по защите ПДн Роскомнадзор может.
Роскомнадзор, при осуществлении контроля за обработкой персональных данных, использует проверочный лист, на основании которого можно выделить Основные моменты, на которые следует обратить внимание при подготовке к проверке:
- Регистрация в Реестре операторов
- Назначение ответственного за организацию обработки персональных данных
- Разработка и обеспечение неограниченного доступа к Политике по обработке персональных данных
- Локальные нормативные акты
- Организация хранения и своевременное уничтожение персональных данных
- Наличие согласий на обработку персональных данных (в случае отсутствия иных правовых оснований), соответствие письменных согласий требованиям ч. 4 ст. 9 Федерального закона «О персональных данных»
- Обеспечение надлежащей защиты персональных данных, обрабатываемых в информационных системах
- Ознакомление сотрудников, работающих с персональными данными, с требованиями законодательства, а также с локальными актами по вопросам обработки персональных данных
- Своевременное реагирование на жалобы, требования и запросы со стороны субъектов персональных данных (в случае их поступления
- Прекращение обработки персональных данных в случаях, предусмотренных законом
Для предупреждения, выявления, прогнозирования и пресечения нарушений требований законодательства, проводятся мероприятия по контролю без взаимодействия с контролируемым лицом:
- мероприятия в сети “Интернет” (проверки сайтов компаний);
- мероприятия, проводимые посредством анализа информации о деятельности оператора, которая представляется им непосредственно в силу закона (например, уведомление об обработке ПДн) или может быть получена, например, в ходе межведомственного информационного взаимодействия.
С учетом продления моратория на проведение проверок, можно предположить, что основное внимание Роскомнадзора в 2024 году будет уделено проверкам сайтов и проведению профилактических визитов.
На что обращает внимание Роскомнадзор при проверке сайтов в сети Интернет?
Прежде всего проводится оценка на предмет осуществления сбора персональных данных посредством различных форм (обратная связь, регистрация, обращения и иных форм сбора) или метрических программ.
Наличие факта сбора персональных данных на сайте автоматически влечет проверку на предмет:
- наличия cookie-баннера при входе на сайт;
- наличия согласия на обработку персональных данных в формах сбора данных;
- опубликование Политики обработки персональных данных (в том числе во всех формах сбора данных), оценку содержания такой Политики;
- соблюдения требований о локализации баз данных сайта на территории России.
Кроме того, инспектор обязательно изучит содержание сайта на предмет размещения на нем персональных данных и в случае их опубликования, с большой долей вероятности, запросит от оператора предоставления правовых оснований на их публикацию.
В ходе проверки сайта также могут возникнуть вопросы о соблюдении требований по трансграничной передаче персональных данных (например, если будет установлено использование на сайте Google Analytics), избыточной обработке персональных данных (например, если в формах сбора собирается больше данных, чем предусмотрено согласием и Политикой) и иные вопросы, связанные с обработкой ПДн.
Также в ходе проверки сайта Роскомнадзор проверит подано ли организацией уведомление об обработке персональных данных и насколько оно актуально.
Несколько рекомендаций, как подготовиться к проверке сайта:
- Проверить размещение сайта на территории РФ.
- Проверить наличие файлов cookie, наличие метрических программ – отразить в документе Политика и Согласие. Это можно сделать с помощью интернет-ресурсов. Если у вас уже есть доступ к сервису 152DOC, зайдите в раздел «Сервис» и проведите проверку следуя инструкции.
- Сделать предупреждающий баннер.
- Проверить все формы сбора персональных данных, чтобы под ними были ссылки на нужные документы. Ссылки должны быть активными, с переходом на соответствующий документ.
- Проверить опубликованный на сайте документ Политика. Документ должен быть актуальным и содержать необходимые разделы.
- Проверить наличие поданного уведомления в РКН и его актуальность.
- Проверить соответствие Уведомления документу Политика в области обработки ПДн.
- Проверить отсутствие предустановленных галок в формах Согласия.
- Проверить правовые основания распространения ПДн на сайте (обеспечить получение соответствующего согласия при необходимости).
Что такое профилактический визит и как он проводится?
Основная цель профилактического визита – предупреждение нарушений обязательных требований и профилактика рисков причинения вреда (ущерба) охраняемым законом ценностям.
Профилактический визит проводится в форме профилактической беседы. Специалисты Роскомнадзора могут пообщаться с представителями оператора непосредственно по месту осуществления деятельности либо путем использования видео- конференц-связи.
Инициатором профилактического визита может быть как контролирующий орган, так и сам оператор. Но в любом случае профилактический визит проводится только с согласия контролируемого лица.
Роскомнадзор проводит профилактические визиты в отношении тех операторов, которые только начали свою деятельность по обработке персональных данных. О дате начала обработки персональных данных Роскомнадзор узнает из уведомления об обработке персональных данных (в 2024 году под профилактические визиты могут попасть компании, которые начали обрабатывать персональные данные в 2023 году).
Однако дата начала обработки данных – не единственный критерий выбора операторов. Например, профилактический визит может быть запланирован, если компанию отнесли к категории чрезвычайно высокого, высокого и значительного риска, но такой подход встречается реже.
О проведении профилактического визита Роскомнадзор уведомит оператора заранее (не позднее чем за пять рабочих дней до даты его проведения) и оператор вправе отказаться от него без негативных последствий (п. 6 ст. 52 Федерального закона от 31.07.2020 № 248-ФЗ). Сообщить об отказе надо не позднее чем за три рабочих дня до мероприятия. Но не торопитесь этого делать.
В ходе профилактического визита инспектор отвечает на вопросы операторов, консультирует по выявленным недочетам, но предписание не выдается, а также оператора не оштрафуют за выявленные нарушения (п. 8 ст. 52 Закона № 248-ФЗ). Разъяснения, полученные контролируемым лицом в ходе профилактического визита, носят рекомендательный характер. Поэтому бояться профилактического визита и отказываться от него не нужно. Это прекрасная возможность выявить нарушения, если они есть и устранить их без негативных последствий.
Однако, рекомендуем подготовиться к профилактической беседе с сотрудниками Роскомнадзора, чтобы получить максимальную пользу от данного мероприятия.
Несколько рекомендаций, как подготовиться к профилактическому визиту:
- Соберите полный комплект локальных актов по вопросам обработки персональных данных, которые есть в компании на день уведомления о проведении профилактического визита, и передайте их инспектору, проводящему профилактический визит.
Лучше направить комплект документов заранее, чтобы у инспектора было достаточно времени более подробно их изучить и подготовить рекомендации по полноте комплекта и содержанию имеющихся в нем документов.
Если локальных актов по вопросам обработки персональных данных нет или пакет документов не полный, не стоит переживать – в ходе профилактического визита никого не накажут, но дадут рекомендации по исправлению ситуации без срока и контроля принятия мер по устранению. Отчитываться об исполнении рекомендаций не придется.
- Подготовьте список проблемных вопросов в области обработки персональных данных, чтобы задать их в ходе профилактического визита. Профилактический визит предполагает возможность бесплатного консультирования контролируемого лица по всем установленным обязательным требованиям и вопросам, связанным с порядком осуществления государственного контроля (надзора).
- Обязательно пригласите принять участие в профилактическом визите (или подключиться к нему, если он проводится онлайн) ответственного за организацию обработки персональных данных.
Также можно привлечь к участию сотрудников, допущенных до обработки персональных данных, ведь в ходе профилактического визита будут рассмотрены основные требования 152-ФЗ, а также может быть обращено внимание на типовые нарушения, допускаемые в ходе обработки ПДн.
В заключение подведем краткий итог, что необходимо сделать чтобы быть готовым к визиту РКН:
- В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Перечень требований может отличаться для разных организаций, в зависимости от того, чьи персональные данные вы обрабатываете, и от типа самой информации.
- Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
- Убедиться, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях.
- Проверить соблюдение законодательства о ПДн при ведении сайта, использовании мобильных приложений и иных информационных ресурсов;
- Провести анализ на предмет необходимости проведения уничтожения материальных носителей ПДн и информации, содержащейся в информационных системах. При необходимости – провести удаление и уничтожение ненужных/излишних/неактуальных сведений;
- Установить и зафиксировать документально места хранения ПДн, разграничить доступ сотрудников к ПДн;
- Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными.
Результаты проверки также зависят от взаимодействия оператора с контролирующим органом (своевременное предоставление запрашиваемой информации и документов, обеспечение доступа в помещения, где ведется обработка персональных данных и т. д.). Воспрепятствование законной деятельности должностного лица Роскомнадзора может привести к привлечению к административной ответственности по ст. 19.4.1 КоАП РФ. Поэтому не стоит относиться к проверкам негативно и пытаться их «сорвать». Лучший способ успешно пройти проверку — предварительно подготовиться к ней.