“Героический эпос” о защите персональных данных: как с честью выдержать проверку

5 октября 2019

Если ваша компания оказалась в “списке избранных” и на горизонте маячит инспекция, или не маячит, но снится вам по ночам, не спешите принимать антидепрессанты. Сначала прочитайте статью. А лучше — сразу сохраните ее в закладки. Мы собрали здесь максимум информации о том, что такое проверка, какой она бывает, как к ней подготовиться и пройти с честью. Всё по существу, чтобы к моменту прочтения последней строки вы чувствовали себя спокойно и уверенно.

*

Кто счастливчик? <объект проверки>

Контролирующие органы могут проинспектировать любую компанию, которая зарегистрирована как юридическое лицо, ведь сейчас все организации, так или иначе, имеют дело с обработкой персональных данных (ПДн). Взять, к примеру, ПДн сотрудников или клиентов.

Но получить официальный статус оператора персональных данных, — можно сказать, святое дело. Хотя бы потому что, если вы этого не сделаете, вас осчастливят штрафом. В статье 19.7 КоАП РФ <https://ppt.ru/kodeks.phtml?kodeks=11&paper=19.7> черным по белому написано: отказ от регистрации в реестре Роскомнадзора расценивается как непредставление информации в контролирующий орган. Должностному лицу такая “шалость” будет стоить от 300 до 500 рублей, юридическому — от 3000 до 5000 рублей. Потеря, конечно, невелика, но реноме компании пострадает. К чему такие сложности?!

Чтобы получить официальный статус оператора ПДн, нужно подать уведомление, причем не мешкая, — желательно прямо в день регистрации компании.

Специально предусмотренную для этого форму можно найти в реестре персональных данных Роскомнадзора, на портале госуслуг или в Приказе Минкомсвязи России от 21.12.2011 N 346. После того, как вы заполните и подпишите бумажную версию, ее нужно будет отправить по почте или отнести лично в местный орган Роскомнадзора. Можно, конечно, заполнить электронный документ на сайте ведомства в разделе “Электронные формы заявлений” <https://pd.rkn.gov.ru/operators-registry/notification/>, но в этом случае вам все равно придется отправить бумажный заверенный экземпляр уведомления в территориальный орган.

Может случиться и так, что указанной вами информации окажется недостаточно, тогда чиновники не поленятся прислать вам запрос об уточнении поданных документов. Если же все в порядке и вопросов к вам нет, регистрация компании на сайте Роскомнадзора займет не более 30 дней.

В сухом остатке выходит вот что: есть у вас официальный статус оператора ПДн или нет — будьте готовы к гостям, званым или незваным. Но, прежде чем бежать за круассанами, давайте разберемся, кто и на каком основании имеет право заявиться к вам “на чай”.

*

Что интересно “Большому Брату”?<проверяющая сторона и ее полномочия>

Если вы только что закончили читать томик Льва Толстого или последнюю книгу Энтони Роббинса, разнообразьте свой досуг знакомством с Федеральным законом № 152-ФЗ. Вы узнаете много интересного о персональных данных. А мы расскажем вам о том, кто денно и нощно бдит, чтобы с ними не случилось чего-нибудь недоброго. Имена этих “мушкетеров” вам знакомы: Роскомнадзор, ФСТЭК и ФСБ.

Роскомнадзор специализируется на “бумажных” проверках, его больше интересуют организационные меры по защите информации.

а если конкретнее — соответствие организационно-распорядительных документов (различные приказы, положения, политики, журналы и т.д.) закону. Перечень сведений, которые необходимо предоставить инспектору, представлен здесь <https://drive.google.com/file/d/0Bxx18TsTSDvdTmtaejZSVlgyTzE1SVlNWTM5Q1laOGtJVGVv/view?usp=sharing>. Кроме этого, мы подготовили для вас шаблоны организационно-распорядительной документации.

Инспектор изучит архив отдела кадров, зайдет к юристам, в бухгалтерии отметится. Может в порядке исключения поинтересоваться мерами физической защиты и заглянуть в серверную, но, что именно на этих серверах находится, и как обеспечивается их защита, внимательно проверять не будет, так как это вотчина двух других регуляторов – ФСТЭК и ФСБ.

Представитель первой организации проверяет, как реализованы меры защиты персональных данных. Если в компании установлено необходимое оборудование и даже лампочки на нем мигают, — это уже здорово, но еще только полдела. Вся техника должна работать согласно нормативным документам, чтобы информация действительно была надежно защищена.

ФСБ в “триллере” о персональных данных отведена не самая оскароносная роль, но собственные узкоспециализированные проверки они тоже проводят. Представителей этой организации интересует все, что касается криптографии, так что если ваша компания шифрует какую-то информацию — ждите ФСБ на рандеву. Представитель Федеральной службы безопасности проверит наличие необходимых журналов, технической и эксплуатационной документации на средства криптографической защиты информации, пройдется по некоторым другим нюансам.

В общем, речь о трех разных проверках. Правда, случается, что ФСБ и ФСТЭК привлекают друг к друга к участию. Например, ФСТЭК может заодно проверить вопросы криптографии и сообщить об этом ФСБ, а ФСБ — поинтересоваться теми мерами защиты, которые интересны их коллегам из ФСТЭК.

*

Гости с уведомлением и без<виды проверок>

Внеплановая инспекция чаще всего бывает выездной. А плановая проверка подразделяется на документарную, когда Роскомнадзор вообще не приезжает в компанию, запрашивая копии документов дистанционно, и выездную. В последнем случае вас ожидает “Марлезонский балет” в трех или даже в большем количестве актов. Сначала Роскомнадзор сообщит вам, какие документы ему интересны, а уже после этого представитель приедет в компанию и лично проверит, как вы обрабатываете данные в информационных системах и на бумаге. Выездная проверка — самая распространенная история.

Если компания ведет себя дружелюбно и отзывчиво, а процесс проверки проходит гладко, через 20 дней выездная инспекция заканчивается. Если же Роскомнадзор не получает необходимые документы в срок и сомневается в каких-то нюансах, вас ожидает “день сурка”: 20 дополнительных дней, а потом еще 20 и еще 20, пока инспектор не получит ясности по всем вопросам.

Плановые проверки проводят раз в три года. Операторов государственных информационных систем, специальных и биометрических категорий ПДн, и операторов, которые передают данные в государства, не обеспечивающие адекватную защиту прав субъектов ПДн, могут проверять раз в два года.

Назначают инспекцию в предшествующий ей год, а все сведения о ней, включая срок и проверяемые объекты, публикуют в конце декабря в общегосударственном реестре, который можно найти на сайте Генеральной прокуратуры . В общем, если вами заинтересовались, вы об этом узнаете. Конечно, далеко не все компании мониторят соответствующие ресурсы в Интернете. В любом случае о плановой проверке компанию предупреждают уведомлением, которое присылают по почте не позже чем за три дня до начала всего самого интересного.

Чтобы получить сюрприз в виде внеплановой проверки, нужно отличиться. Оснований для нее может быть несколько:

  1. например, кто-то подал заявление на компанию (гражданин может заявить о нарушении собственных прав или о противоправной деятельности компании);
  2. поступило соответствующее сообщение от правоохранительных органов или СМИ;
  3. срок предписания по итогам прошлой инспекции истек, и пришло время проверить, как компания его исполнила, или стало известно, что она не выполнила работу над ошибками;
  4. компания нарушила закон о ПДн или указала в уведомлении информацию, не соответствующую действительности.

И если уж “гости” заявились в компанию нежданно-негаданно, значит, органы прокуратуры эту идею поддержали. Проверяющие организации не могут прийти к оператору ПДн с инспекцией без их согласия. Есть и другие нюансы: предположим, какой-то гражданин подал на оператора заявление, но оставил в своем обращении неразборчивую подпись или адрес забыл написать. Если данных для идентификации его личности недостаточно, заявление завернут и проверки не будет.

Чтобы компании не пришлось включать режим “паника”, инспектор в случае внеплановой проверки все-таки предупреждает о своем желании зайти на огонек: не позднее чем за 24 часа любым удобным способом — например, по электронной почте или по телефону.

Не успеете подчистить хвосты, так хоть будет время обеспечить весь коллектив успокоительными и антидепрессантами.

Есть и исключения. Если в результате нарушения оператором закона пострадал человек (угроза здоровью или жизни), инспекция заявится в компанию сразу же, как узнает об этом, без всяких предупреждений. В таком случае, при выявленных нарушениях обработки ПДн, в результате которых пострадал человек, может последовать и уголовная ответственность.

*

Спартанский тимбилдинг <подготовка>

Предположим, вы обнаружили свою компанию в списке счастливчиков, к которым едет ревизор. Первое, что стоит сделать, — собрать все необходимые организационно-распорядительные документы, распечатать их в двух экземплярах, заверить и прошить.

Скачать шаблоны ОРД

Законодательство четко не определяет состав такой документации, зато в нем перечислены сведения, которые должны содержать документы, имеющие отношение к персональным данным. Собственно, эти сведения Роскомнадзор и запрашивает. Вот только они могут быть представлены в одном документе, а могут и в десятках. Жесткого регламента в этом плане не существует.

Инспектор изучит все виды деятельности компании и по каждому из них уточнит, какие ПДн обрабатываются в этом контексте. Но ведь бывает и так, что при регистрации компания на всякий случай указывает много видов деятельности, а в итоге занимается только парой-тройкой направлений. Значит, нужно заранее подготовить справки, из которых будет очевидно, что в рамках определенных видов деятельности ПДн не обрабатываются. Тогда у проверяющего и лишних вопросов не возникнет.

Если вы подготовились на совесть, к приходу инспектора на столе у руководителя появится фундаментальный фолиант страниц на 300-400.

Теперь представьте, сколько времени уйдет на сбор такого количества документов. При этом представитель Роскомнадзора обычно запрашивает их чуть ли не на первой встрече. Согласно установленному порядку проведения проверок инспектор может дать на подготовку от двух дней, но не факт, что вы сможете получить больше. Так что с мечтами в духе “если что, поднапряжемся и за пару дней справимся” придется проститься. Экспресс-вариант подготовки здесь не пройдет.

А теперь несколько слов об участниках “банкета”: на встрече с инспектором должен непременно присутствовать человек, ответственный за организацию обработки ПДн. Он назначается приказом и обозначается в уведомлении, которое компания отсылает в Роскомнадзор. Если по каким-то причинам это специалист отсутствует, кто-то из коллег должен представлять его по доверенности. Здесь возможны варианты: например, привлечение по доверенности внешних экспертов — юриста или специалиста в области информационной безопасности.

Часто случается так, что ответственный за организацию обработки ПДн сотрудник имеет узкое представление о вопросе. Если он технарь, то хорошо ориентируется в части обработки персональных данных, а в юридической или кадровой областях чувствует себя неуверенно. Юрист будет “плавать” в технических моментах, а кадровик — в бухгалтерских и т.д. Поэтому в процессе подготовки к проверке стоит сформировать полноценную комиссию из всех специалистов, к которым могут возникнуть вопросы. Обычно в “команду супергероев” берут юриста, бухгалтера, кадровика и айтишника. Но, в зависимости от специфики деятельности компании, состав специалистов может немного варьироваться.

Консультация по защите персональных данных
*

Час “Икс” и финишная прямая <проверка>

Будет проверка проходить “с песнями, плясками, цыганами и медведями” или без них — решает инспектор. А если серьезно, четкого регламента, содержащего формат и состав встреч, не существует. Обычно Роскомнадзор назначает встречу, на которой за одним столом собираются все необходимые специалисты. Инспектор задает им вопросы и сразу же получает актуальные ответы. Если кто-то из сотрудников в назначенный день прийти не может, — например, отдыхает на Мальдивах или коротает досуг в больничных апартаментах, — количество встреч может быть увеличено. И на финишной прямой компания получает заключение, в котором инспектор детально расписывает выявленные недостатки и порой по доброте душевной делится рекомендациями, как именно их лучше устранить.

У компании есть в среднем два месяца, чтобы провести работу над ошибками и отправить соответствующие документы в Роскомнадзор.

Если к концу этого срока оператор ПДн уйдет в “глухую засаду”, инспектор заглянет в гости повторно — проверить, как исполняются предписания. Или вообще отправит документы в суд, и тогда штрафов не миновать. Напоследок отметим, что у операторов ПДн тоже есть небольшое поле для маневра: если инспектор нарушает нормы законодательства в процессе проверки, компания может оспорить его решение в суде. Это касается и вынесенного предписания и протокола о привлечении к административной ответственности.

Но завершить свой инструктаж мы хотели бы на позитивной ноте: если оператор ПДн щепетильно относится к соблюдению закона о защите персональных данных, добросовестно готовится к встрече с инспектором и в процессе проверки охотно идет ему навстречу, ревизия заканчивается успешно и в срок.

Удачных вам проверок, коллеги! Если вопросы по этой теме у вас все-таки остались, эксперты компании CorpSoft24 охотно на них ответят. С нами можно связаться по электронной почте corp@corpsoft24.ru или по телефону: 8 (495) 983-04-12, 8 (800) 707-04-12.

Топ-4 совета от эксперта:

  1. Желательно заранее подготовить четкие ответы на предполагаемые вопросы инспектора и выдавать всю необходимую информацию максимально оперативно. Если вы не учтете этот нюанс, может возникнуть необходимость в сотне дополнительных справок со скриншотами, описаниями и прочей детализацией. В результате и без того огромный объем документов, который вы изначально готовили к проверке, увеличится за счет дополнений, проясняющих сомнительные моменты, раза в два.

  2. При подготовке заверенных копий документов, запрашиваемых проверяющими, рекомендуетсяразработать справку с подробной детализацией, — где находится тот или иной документ. Это ощутимо облегчит процесс поиска нужных сведений инспектором и снизит вероятность дополнительного запроса сведений, которые могли содержаться в предоставленных документах, но не были чётко обозначены и остались незамеченными.

  3. Многие компании рассчитывают на экспресс-подготовку, но по факту оказывается для проверки нужно так много документов, что собрать их за несколько дней до инспекции не представляется возможным. Предварительная подготовка решает многие проблемы: уменьшает количество документации, которую нужно предоставить, снижает количество возможных промахов и ускоряет процесс проверки. Не стоит откладывать подготовку на потом.

  4. Если вы воспримите проверку в штыки, инспектор может запросить массу дополнительных справок и продлить процесс ревизии. Лучше настройтесь на конструктивное сотрудничество с представителями проверяющей стороны и окажите им дружелюбный прием. Цель инспекторов не только изучить все нюансы работы с персональными данными в конкретной компании и выявить нарушения, но также дать полезные рекомендации. Если вы пойдете представителю проверки навстречу, он может подсказать вам, как быстрее и эффективнее исполнить те или иные предписания и избежать неприятных последствий”.
Алексей Залецкий
Руководитель департамента информационной безопасности CorpSoft24
Подготовиться к проверке. Защита персональных данных в облаке Corp Soft24
Хостинг ИСПДн
Защита
персональных
данных

Остались вопросы?

Напишите нам и мы вам ответим
Демьян Раменский
Руководитель направления Хостинг ИСПДн CorpSoft24
Ваше сообщение
успешно отправлено
Мы ответим вам в ближайшее время
CorpSoft24
Адрес компании corpsoft24 127473, РФ, МОСКВА, УЛ. СЕЛЕЗНЕВСКАЯ, Д.32
загрузка карты...