Как мы все с вами прекрасно знаем, проверки Роскомнадзора по персональным данным первым апреля не ограничиваются. Попасть под такую проверку более чем реально , а выйти из неё сухим из воды не так уж просто.
Даже если в план проверок на 201Х год ваша организация не попала, а внеплановых проверок вы не боитесь, то полезно бывает время от времени устраивать учения, которые, кстати, являются обязательными в соответствие с п.1 ч.4 ст. 22.1 152-ФЗ.
Далее небольшой гайд по самопроверке
name='more'> К нам едет ревизор...
О визите Роскомнадзора вас обязательно предупредят письмом (или факсом), к которому будет приложена копия приказа о проверке. Предупредить они обязаны не менее чем за 3 рабочих дня до начала проверки (обычно за недельку).
Письмо и приказ будет выглядеть примерно так .
Первым делом следует сразу прочитать эти документы, чтобы знать свои права и тем более обязанности.
Письмо и приказ будет выглядеть примерно так .
Что делать?
Полезно их будет распечатать и показывать выдержки в случае необходимости государственным инспекторам.
Затем необходимо найти ваше уведомление в реестре операторов персональных данных и очень внимательно его прочитать! Особо обратите внимание на адреса офисов и филиалов, ФИО ответственного за организацию обработки персональных данных, категории субъектов персональных данных. Частенько там забывают указать "ближайших родственников" из карточки Т2, "поручителей" из договоров, а так же "инвалидность", "водительское удостоверение", "предыдущие места работы", "телефон" из анкеты о приёме на работу сотрудников.
Если что-то в уведомлении будет не соответствует действительности - сразу получите предписание по статье КоАП 19.7 (3-5 тысяч рублей).
Если уведомления у вас нет, и вы точно уверены, что оно вам не нужно, рекомендую подготовить "справку о причинах неуведомления", в которой указать причины неуведомления Роскомнадзора (нужные подпункты из ч.2 ст.22 152-ФЗ) и подписать у руководителя организации.
Особое внимание следует уделить анкетам кандидатов на приём на работу! Инспектор обязательно попросит шаблон такой анкеты! Может попросить и заполненную анкету одного из кандидатов. Тут, кстати, не попадитесь: если анкеты кандидатов вы храните, а не уничтожаете, то на это нужно согласие самого кандидата!
В анкете не должно быть судимости (если закон не обязывает вас спрашивать об этом у кандидата). Не нужна графа "национальность", "инвалидность", "вредные привычки", "психологические качества" - это все спец.категории ПДн со всеми вытекающими последствиями! Если поправки в КоАП примут, за эти графы даже в старых анкетах можно будет получить до 300 тысяч штрафа! Шаблон анкеты должен так же соответствовать требованиям п.7 ПП 687: на анкете должно быть наименование организации, адрес, целии сроки обработкиперсональных данных.
Должен быть разработан, утвержден и доведен под росписьдо ответственных лиц весь перечень внутренних документов в области персональных данных:
- копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица при проведении проверки;
- учредительные документы оператора;
- положение о порядке обработки персональных данных;
- положение о подразделении, осуществляющем функции по организации защиты персональных данных;
- должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;
- план мероприятий по защите персональных данных;
- план внутренних проверок состояния защиты персональных данных;
- приказ о назначении ответственных лиц по работе с персональными данными;
- типовые формы документов, предполагающие или допускающие содержание персональных данных;
- журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
- приказы об утверждении мест хранения материальных носителей персональных данных;
- приказы об установлении перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- документы, подтверждающие информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
- документы, содержащие сведения о соблюдении условий, обеспечивающих сохранность персональных данных граждан и исключающих несанкционированный к мим доступ, перечень мер необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер;
- письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
- распечатки электронных шаблонов полей, содержащие персональные данные;
- справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
- журналы (книги) учета обращений граждан (субъектов персональных данных);
- акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
- копии документов о назначении ответственного за организацию обработки персональных данных;
- копии документов, определяющих политику оператора в отношении обработки персональных данных;
- копии локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- копии документов, регламентирующих применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- копии локальных актов оператора персональных данных, регламентирующих порядок осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- копии документов оператора, направленных на оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения федерального законодательства в области персональных данных, соотношение указанного вреда и принимаемых оператором мер;
- копии документов об ознакомлении работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- копии документов по обеспечению безопасности персональных данных (в том числе, документы по определению угроз безопасности персональных данных; документы по применению организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; документы по применению прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; документы по оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; документы по учету машинных носителей персональных данных; документы по обнаружению фактов несанкционированного доступа к персональным данным и принятием мер; документы по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; документы по установлению правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; документы по контролю за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных);
- журнал учета проверок юридического лица, проводимых органами государственного контроля (надзора), органами муниципального контроля.
Это копипаст из шаблона письма Роскомнадзора, ссылку на которое я давал в самом начале поста. Перечень документов уже пару лет как не меняется, поэтому есть смысл пробежаться глазами по всему списку и подготовить ответ по каждому пункту.
Хорошая новость заключается в том, что большую часть своего внимания сотрудники Роскомнадзора сосредоточат на вашем отделе кадров и бухгалтерии. У каждой компании свои методы и системы обработки персональных данных клиентов, но отдел кадров у всех работает одинаково, поэтому его легче проверять. Это, конечно, не правило, а только лишь наблюдение.
Пройти успешно проверку Роскомнадзора можно и своими силами, не прибегая к услугам компаний-интеграторов. Главное помнить, что защита персональных данных - это не разовое событие, а постоянный процесс. И если закупку межсетевых экранов и систем контроля доступа можно откладывать, ссылаясь на нехватку бюджетов, то документы по защите персональных данных должны быть у каждой организации. Сегодня это совсем не тяжело сделать.
