Готовимся к проверке Роскомнадзора

Существует три ключевых контрольно-надзорных органа. Они уполномочены на проведение проверок в области соблюдения законодательства о персональных данных. Эти органы известны как «регуляторы».

Роскомандзор (РКН) — федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ответственная за контроль соблюдения требований Федерального закона «О персональных данных». Ее задачей является проверка организационных мер по защите персональных данных.

ФСТЭК — федеральная служба по техническому и экспортному контролю. А также ФСБ — федеральная служба безопасности. Они обеспечивают контроль за соблюдением организационных и технических мер по защите персональных данных. В том числе — за использованием криптографических средств защиты информации.

Рассмотрим подготовку к проверке Роскомнадзором. Такие проверки касаются большинства компаний, так как практически все организации являются операторами персональных данных.

Проверки Роскомнадзора осуществляются тремя основными способами. Это может быть:
  • инспекционный визит (проводится в отношении организаций, отнесенных к категориям высокого или значительного риска, а также приступающих к осуществлению деятельности в сфере обработки ПДн);
  • документарная проверка (проводится без посещения организации, РКН запрашивает перечень документов, копии которых нужно направить в соответствующее подразделение ведомства);
  • выездная проверка (проводится непосредственно в организации, с приездом инспекторов, они на месте оценивают, выполняет ли компания требования законодательства).
В рамках контроля за обработкой персональных данных проверяются:
  • фактическая деятельность операторов в области обработки персональных данных, включая поручение на обработку, использование или отсутствие автоматизированных средств и тд.;
  • разработанные документы и локальные нормативные акты контролируемых лиц, касающихся обработки персональных данных, а также принятые оператором меры, указанные в ч. 1 ст. 18. 1 Федерального закона «О персональных данных».
В области обработки персональных данных Роскомнадзор уполномочен на проверку соблюдения требований:
  • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
  • Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21.03.2012 № 211 – если проверяемое лицо является государственным или муниципальным органом
  • Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687;
  • Трудового кодекса Российской Федерации (в части касающейся обработки персональных данных работников)
  • Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» (в части касающейся)

На проверку требований Постановления Правительства РФ № 1119 Роскомнадзор не уполномочен. Однако запросить информацию о принятии организационных и технических мер по защите ПДн Роскомнадзор может.

Роскомнадзор, при осуществлении контроля за обработкой персональных данных, использует проверочный лист.

Основные моменты, на которые следует обратить внимание при подготовке к проверке:

  1. Регистрация в Реестре операторов
  2. Назначение ответственного за организацию обработки персональных данных
  3. Разработка и обеспечение неограниченного доступа к Политике по обработке персональных данных
  4. Локальные нормативные акты
  5. Организация хранения и своевременное уничтожение персональных данных
  6. Наличие согласий на обработку персональных данных (в случае отсутствия иных правовых оснований), соответствие письменных согласий требованиям ч. 4 ст. 9 Федерального закона «О персональных данных»
  7. Обеспечение надлежащей защиты персональных данных, обрабатываемых в информационных системах
  8. Ознакомление сотрудников, работающих с персональными данными, с требованиями законодательства, а также с локальными актами по вопросам обработки персональных данных
  9. Своевременное реагирование на жалобы, требования и запросы со стороны субъектов персональных данных (в случае их поступления
  10. Прекращение обработки персональных данных в случаях, предусмотренных законом

Для предупреждения, выявления, прогнозирования и пресечения нарушений требований законодательства проводятся мероприятия по контролю без взаимодействия с контролируемым лицом. К ним относятся:

  • мероприятия в сети «Интернет» (проверки сайтов компаний);
  • мероприятия, проводимые посредством анализа информации о деятельности оператора, которая представляется им непосредственно в силу закона (например, уведомление об обработке ПДн) или может быть получена, например, в ходе межведомственного информационного взаимодействия.

С учетом продления моратория на проведение проверок, можно предположить следующее. В 2024 году основное внимание Роскомнадзора будет уделено проверкам сайтов и проведению профилактических визитов.

На что обращает внимание Роскомнадзор при проверке сайтов в сети Интернет?

Прежде всего проводится оценка на предмет осуществления сбора персональных данных посредством различных форм (обратная связь, регистрация, обращения и иных форм сбора) или метрических программ.

Наличие факта сбора персональных данных на сайте автоматически влечет проверку. Проверяется следующее:

  • наличия cookie-баннера при входе на сайт;
  • наличия согласия на обработку персональных данных в формах сбора данных;
  • опубликование Политики обработки персональных данных (в том числе во всех формах сбора данных), оценку содержания такой Политики;
  • соблюдения требований о локализации баз данных сайта на территории России.

Кроме того, инспектор обязательно изучит содержание сайта на предмет размещения на нем персональных данных и в случае их опубликования, с большой долей вероятности, запросит от оператора предоставления правовых оснований на их публикацию.

В ходе проверки сайта также могут возникнуть вопросы о соблюдении требований по трансграничной передаче персональных данных (например, если будет установлено использование на сайте Google Analytics), избыточной обработке персональных данных (например, если в формах сбора собирается больше данных, чем предусмотрено согласием и Политикой) и иные вопросы, связанные с обработкой ПДн.

Также в ходе проверки сайта Роскомнадзор проверит подано ли организацией уведомление об обработке персональных данных и насколько оно актуально.

Несколько рекомендаций, как подготовиться к проверке сайта:

  • Проверить размещение сайта на территории РФ.
  • Проверить наличие файлов cookie, наличие метрических программ — отразить в документе Политика и Согласие. Это можно сделать с помощью интернет-ресурсов. Если у вас уже есть доступ к сервису 152DOC, зайдите в раздел «Сервис» и проведите проверку следуя инструкции.
  • Сделать предупреждающий баннер.
  • Проверить все формы сбора персональных данных, чтобы под ними были ссылки на нужные документы. Ссылки должны быть активными, с переходом на соответствующий документ.
  • Проверить опубликованный на сайте документ Политика. Документ должен быть актуальным и содержать необходимые разделы.
  • Проверить наличие поданного уведомления в РКН и его актуальность.
  • Проверить соответствие Уведомления документу Политика в области обработки ПДн.
  • Проверить отсутствие предустановленных галок в формах Согласия.
  • Проверить правовые основания распространения ПДн на сайте (обеспечить получение соответствующего согласия при необходимости).

Что такое профилактический визит и как он проводится?

Основная цель профилактического визита — предупреждение нарушений обязательных требований и профилактика рисков причинения вреда (ущерба) охраняемым законом ценностям.  

Профилактический визит проводится в форме профилактической беседы. Специалисты Роскомнадзора могут пообщаться с представителями оператора непосредственно по месту осуществления деятельности. Либо путем использования видео-конференц-связи.

Инициатором профилактического визита может быть как контролирующий орган, так и сам оператор. Но в любом случае профилактический визит проводится только с согласия контролируемого лица.

Роскомнадзор проводит профилактические визиты в отношении тех операторов, которые только начали свою деятельность по обработке персональных данных. О дате начала обработки персональных данных Роскомнадзор узнает из уведомления об обработке персональных данных (в 2024 году под профилактические визиты могут попасть компании, которые начали обрабатывать персональные данные в 2023 году).

Однако дата начала обработки данных — не единственный критерий выбора операторов. Например, профилактический визит может быть запланирован, если компанию отнесли к категории чрезвычайно высокого, высокого и значительного риска, но такой подход встречается реже.

О проведении профилактического визита Роскомнадзор уведомит оператора заранее (не позднее чем за пять рабочих дней до даты его проведения) и оператор вправе отказаться от него без негативных последствий (п. 6 ст. 52 Федерального закона от 31.07.2020 № 248-ФЗ). Сообщить об отказе надо не позднее чем за три рабочих дня до мероприятия. Но не торопитесь этого делать.

В ходе профилактического визита инспектор отвечает на вопросы операторов, консультирует по выявленным недочетам, но предписание не выдается, а также оператора не оштрафуют за выявленные нарушения (п. 8 ст. 52 Закона № 248-ФЗ). Разъяснения, полученные контролируемым лицом в ходе профилактического визита, носят рекомендательный характер. Поэтому бояться профилактического визита и отказываться от него не нужно. Это прекрасная возможность выявить нарушения, если они есть и устранить их без негативных последствий.

Однако, рекомендуем подготовиться к профилактической беседе с сотрудниками Роскомнадзора, чтобы получить максимальную пользу от данного мероприятия.

Несколько рекомендаций, как подготовиться к профилактическому визиту:

  • Соберите полный комплект локальных актов по вопросам обработки персональных данных, которые есть в компании на день уведомления о проведении профилактического визита, и передайте их инспектору, проводящему профилактический визит.

Лучше направить комплект документов заранее, чтобы у инспектора было достаточно времени более подробно их изучить и подготовить рекомендации по полноте комплекта и содержанию имеющихся в нем документов.

Если локальных актов по вопросам обработки персональных данных нет или пакет документов не полный, не стоит переживать – в ходе профилактического визита никого не накажут, но дадут рекомендации по исправлению ситуации без срока и контроля принятия мер по устранению. Отчитываться об исполнении рекомендаций не придется.

  • Подготовьте список проблемных вопросов в области обработки персональных данных, чтобы задать их в ходе профилактического визита. Профилактический визит предполагает возможность бесплатного консультирования контролируемого лица по всем установленным обязательным требованиям и вопросам, связанным с порядком осуществления государственного контроля (надзора).
  • Обязательно пригласите принять участие в профилактическом визите (или подключиться к нему, если он проводится онлайн) ответственного за организацию обработки персональных данных.

Также можно привлечь к участию сотрудников, допущенных до обработки персональных данных, ведь в ходе профилактического визита будут рассмотрены основные требования 152-ФЗ, а также может быть обращено внимание на типовые нарушения, допускаемые в ходе обработки ПДн.

В заключение подведем краткий итог, что необходимо сделать чтобы быть готовым к визиту РКН:
  • В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Перечень требований может отличаться для разных организаций, в зависимости от того, чьи персональные данные вы обрабатываете, и от типа самой информации.
  • Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
  • Убедиться, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях.
  • Проверить соблюдение законодательства о ПДн при ведении сайта, использовании мобильных приложений и иных информационных ресурсов;
  • Провести анализ на предмет необходимости проведения уничтожения материальных носителей ПДн и информации, содержащейся в информационных системах. При необходимости – провести удаление и уничтожение ненужных/излишних/неактуальных сведений;
  • Установить и зафиксировать документально места хранения ПДн, разграничить доступ сотрудников к ПДн;
  • Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными.

Результаты проверки также зависят от взаимодействия оператора с контролирующим органом (своевременное предоставление запрашиваемой информации и документов, обеспечение доступа в помещения, где ведется обработка персональных данных и т. д.). Воспрепятствование законной деятельности должностного лица Роскомнадзора может привести к привлечению к административной ответственности по ст. 19.4.1 КоАП РФ. Поэтому не стоит относиться к проверкам негативно и пытаться их «сорвать». Лучший способ успешно пройти проверку — предварительно подготовиться к ней.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять