Сопровождение при проверке регуляторов

В теории и на форумах в интернете все просто. Достаточно почитать закон и реализовать требования статей 6, 9, 18.1, 19 и 22 закона, так как Роскомнадзор в первую очередь проверяет по ним:

• уведомление об обработке персональных данных;
• согласия об обработке персональных данных;
• проверка договоров с контрагентами в части правильности передачи права обработки персональных данных и возложения обязанностей по их защите;
• проверка правильности организации обработки и защиты персональных данных в информационных (компьютерных) системах;
• проверка правильности обработки и защиты персональных данных на бумажных носителях.

Так как закон был разработан для организаций всех форм собственности и отраслей, формулировки закона имеют общий характер, и неподготовленному читателю их не переварить. Это является основной проблемой реализации требований закона – без понимания выполнить требования невозможно и тем более пройти проверку Роскомнадзора.

Обычно о подготовке к проверке Роскомнадзора операторы задумываются прямо перед самой проверкой, получив уведомление, что к ним уже идут. В таком случае остается очень мало времени, чтобы подготовиться документально, не говоря о том, чтобы реализовать все требования закона реально и в полном объеме. Под документальной подготовкой понимается разработка пакета организационно-распорядительной документации (ОРД) в части обработки и защиты персональных данных с целью прохождения проверки Роскомнадзора. Полный пакет насчитывает около 60 документов для организации любого масштаба.

Подготовиться к проверке можно как самостоятельно, так и обратившись за помощью к компетентной организации. Как показывает практика, только при втором варианте можно получить гарантию прохождения проверки и отсутствие штрафных санкций.

Порядок самостоятельной подготовки в целом выглядит следующим образом:

1. Необходимо приказом назначить ответственное лицо за обработку персональных данных в организации. Данное лицо будет единой точкой контакта перед Роскомнадзором.
2. В первую очередь провести анализ статей 18.1 и 19 закона и оценить готовность организации к проверке.
3. Нужно классифицировать информационные системы персональных данных организации в соответствии с постановлением Правительства № 1119.
4. Подписать дополнительные соглашения с контрагентами по договорам, в рамках которых осуществляется передача персональных данных.
5. Разработать организационно-распорядительную документацию в соответствии со статьями 18.1 и 19 закона.
6. Постараться оперативно реализовать технические меры защиты и оценить защищенность компьютерных систем (аттестация ИСПДн), в которых обрабатываются персональные данные.
7. Собрать согласия с сотрудников и клиентов на обработку персональных данных.
8. Разработать и утвердить регламенты взаимодействия с Роскомнадзором и субъектами персональных данных.
9. Реализовать требования постановления Правительства № 687 в части обработки персональных данных на бумажных носителях.
10. Подать уведомление или извещение об изменении сведений в Роскомнадзор по обработке персональных данных.

При прохождении проверки Роскомнадзор операторы сталкиваются со следующими основными проблемами:

1. Не знают, какие конкретно документы запрашивает Роскомнадзор на проверке, и с ужасом узнают, что это около 60 документов, на подготовку которых требуется уйма времени.
2. Не знают, что, помимо документов, которые требуется разработать в соответствии со статьями 18.1 и 19 закона, Роскомнадзор запрашивает и другие документы, а также справки по организации, направленные на выявление нарушений требований закона. Подготовка дополнительных документов и справок также занимает много времени, и оперативно их разработать не представляется возможным.
3. Не знают, что проверка Роскомнадзора подразумевает не только документарную проверку, но и обследование информационных (компьютерных) систем персональных данных, в том числе на предмет их защищенности в соответствии со статьей 19 закона и подзаконными нормативно-правовыми актами в области защиты персональных данных.
4. Не знают, что на проверке Роскомнадзора словесные доводы никого не интересуют, а интересуют документальные доказательства выполнения требований закона.
5. Не знают, что при проверке Роскомнадзора запрашиваются сведения по филиалам организации, а также договоры с контрагентами, в рамках которых персональные данные передаются: проездные документы и бронирование гостиниц при организации командировок, добровольное медицинское страхование, обеспечение телефонной связью, заработная плата сотрудникам, изготовление визитных карточек и др.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Предметом государственного контроля являются:

1. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
2. Проверка сведений, содержащихся в уведомлении об обработке ПДн:
   • договоры с внешними организациями,
   • проездные документы и бронирование гостиниц при организации командировок,
   • добровольное медицинское страхование,
   • обеспечение телефонной связью,
   • заработная плата сотрудникам,
   • изготовление визитных карточек.
3. Согласие сотрудника на обработку персональных данных.
4. Информационные системы персональных данных.
5. Деятельность по обработке персональных данных:
6. Проверка соблюдения требований законодательства РФ при обработке ПДн кандидатов на замещение вакантных должностей.
7. Проверка соблюдения требований законодательства РФ при обработке ПДн сотрудников.
8. Проверка соблюдения требований законодательства РФ при обработке ПДн родственников сотрудников.
9. Проверка мест хранения документов уволенных сотрудников.
10. Проверка соблюдения требований законодательства РФ при обработке ПДн физических лиц, состоящих в договорных или иных гражданско-правовых отношениях.
11. Проверка соблюдения требований законодательства РФ при обработке ПДн заявителей/представителей заявителей (обратившихся к оператору с заявлениями или обращениями).
12. Проверка соблюдения требований законодательства РФ при обработке биометрических и специальных категорий ПДн.
13. Проверка соблюдения требований «Положения об особенностях обработки ПДн, осуществляемых без использования средств автоматизации».
14. Проверка соблюдения оператором требований ст. 18.1 ФЗ-152 «О персональных данных».
15. Проверка соблюдения оператором требований ст. 19 ФЗ-152 «О персональных данных».
16. Проверка соблюдения требований законодательства РФ при обработке ПДн в целях продвижения товаров, работ и услуг на рынке.
17. Проверка соблюдения требований законодательства РФ при обработке ПДн в целях организации пропускного режима и охраны территории оператора.

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.

Роскомнадзор осуществляет проверку в соответствии с Административным регламентом Роскомнадзора и имеет право:

1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.
2. Составлять протоколы об административном правонарушении или направлять в органы прокуратуры и другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.
4. Использовать технику и оборудование, принадлежащие службе или ее территориальному органу.
5. Запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки.
6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.
7. Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.
9. Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
10. Привлекать экспертов и экспертные организации при проведении контрольно-надзорных мероприятий, а также для анализа полученных материалов.

Для успешного прохождения проверки Роскомнадзора необходимо учесть следующие основные моменты:

1. Роскомнадзор проверят отдельно автоматизированную (в компьютерных системах) и не автоматизированную (бумажную) обработку персональных данных. Внутренние ОРД должны быть разработаны по обоим направлениям отдельно.
2. Роскомнадзор на проверке запрашивает не все абсолютно договоры с контрагентами, а по определенным категориям (см. выше «Что проверяет Роскомнадзор?»). Поэтому стоит позаботиться о том, чтобы как минимум по 1-2 договору по каждому направлению у вас были идеальными (соответствовали требованию закона в части передачи права обработки и возложения обязанности по защите персональных данных) или имелись соответствующие дополнительные соглашения к данным договорам.
3. Роскомнадзор при проведении проверки руководствуется административным регламентом по данной процедуре проверки, который размещен на официальном сайте Роскомнадзора. Рекомендуется с ним как следует ознакомиться перед прохождением проверки.
4. Обязательно необходимо перед проверкой сделать самооценку по статьям 18.1 и 19 закона и оперативно разработать необходимые документы (см ниже «Какие документы запрашивает Роскомнадзор на проверке»).
5. Роскомнадзор проверяет не только обработку персональных данных оператором, но и обработку персональных данных при организации пропускного режима и охраны территории оператора, даже если эту функцию выполняет внешняя организация.

Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).

Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.

Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.

Мы предлагаем вам подготовку к проверке Роскомнадзора с разработкой полноценного пакета организационно-распорядительной документации, необходимой для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора с гарантией по договору.

В полный комплекс услуг входит:

1. Обследование бизнес-процессов организации, связанных с обработкой персональных данных:

• персональные данные каких субъектов обрабатываются (сотрудники, клиенты и др.);
• какие категории (ФИО, телефон и др.) персональных данных обрабатываются и их объём (кол-во);
• технологический процесс и порядок обработки данных;
• используемые меры защиты данных;
• порядок и правильность оформления взятия согласия с субъектов персональных данных;
• анализ договоров с контрагентами на наличие специальных формулировок, требуемых законом;
• правильность регистрации в реестре персональных данных (реестр Роскомнадзора);
• правильность оформления взаимодействий с субъектами персональных данных и регулятором (обращений, ответов на обращения и др.);
• правильность ведения и оформления бумажного документооборота с персональными данными;
• правильность организации пропускного режима на территорию оператора в части обработки персональных данных.

При необходимости проводится обследование и других бизнес-процессов.

На выходе обычно оформляется отчёт об обследовании, в котором делается вывод о соответствии или не соответствии оператора требованиям закона, а также выдаются замечания и рекомендации по корректировке бизнес-процессов организации.

2. Установление уровня защищенности персональных данных при их обработке в информационных системах (т.е. в автоматизированном виде):

• анализ категорий субъектов персональных данных (сотрудники, клиенты и др.);
• анализ категорий (ФИО, телефон и др.) и объема (количества) персональных данных;
• анализ актуальных угроз, связанных с недекларированными возможностями, в используемом при обработке данных программном обеспечении.

На выходе: акт установления уровня защищенности персональных данных. Акт формируется для каждой информационной системы по отдельности или один на все системы одновременно.

3. Приведение бизнес-процессов, связанных с обработкой персональных данных, в соответствие закону с документальным оформлением соответствия как при автоматизированной, так и при не автоматизированной обработке данных:

• разработка политики обработки и защиты персональных данных и нижестоящих регламентирующих документов;
• разработка описания технологического процесса обработки персональных данных;
• разработка описания мер защиты персональных данных;
• разработка регламента взаимодействия с субъектами персональных данных, включая журнал учета обращений и ответов на обращения;
• разработка регламента взаимодействия с Роскомнадзором, включая журнал учета обращений и ответов на обращения;
• разработка типовых форм согласий для каждой категории субъектов;
• разработка типовых формулировок, необходимых к включению в договоры с контрагентами, к или от которых поступают персональные данные;
• корректировка типовых бумажных форм документов, предусматривающих внесение в них персональных данных;
• корректировка порядка и(или) документального оформления пропускного режима на территорию оператора.

На выходе получается следующий пакет организационно-распорядительной документации:

1. Приказ об ответственном за организацию обработки персональных данных.
2. Правила/положение об обработке персональных данных.
3. Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением:
   • журнал учета инцидентов;
   • акты выявления инцидентов (при наличии);
   • акты устранения инцидентов (при наличии).
4. Положение о внутреннем контроле обработки и защиты персональных данных, с приложением:
   • план внутреннего контроля;
   • акты внутреннего контроля;
   • акты выявления недостатков (при наличии).
5. Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением:
   • инструкция по оценке вреда;
   • акт оценки вреда (при наличии).
6. Раздел в трудовой договор и(или) должностную инструкцию и(или) согласие об обработке персональных данных.
7. Политика в отношении обработки и защиты персональных данных.
8. Положение об учете машинных носителей персональных данных, с приложением:
   • журнал учета машинных носителей;
   • акты установки (ввода в эксплуатацию) носителя(ей) (при наличии);
   • акты уничтожения носителей (при наличии);
   • акты восстановления носителя(ей) персональных данных (при наличии);
   • акты приема-передачи носителя(ей) персональных данных (при наличии).
9. Положение о резервном копировании и восстановлении персональных данных, с приложением:
   • журнал учета резервирования персональных данных;
   • акты восстановления персональных данных (при наличии).
10. Разрешительная система доступа.
11. Раздел в инструкцию пользователя.
12. Раздел в инструкцию системного администратора.
13. Раздел в инструкцию администратора информационной безопасности.
14. Положение о внутреннем контроле обработки и защиты персональных данных, с приложением:
    • план внутреннего контроля;
    • акт внутреннего контроля.
15. Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением:
    • акт установления границы контролируемой зоны;
    • перечень помещений с ИСПДн;
    • журнал учета доступа в помещения с ИСПДн (в случае отсутствия СКУД).
16. Положение об обеспечении сохранности носителей персональных данных, работа с которыми осуществляется с использованием средств автоматизации, с приложением:
    • журнал учета машинных носителей;
    • акты установки (ввода в эксплуатацию) носителя(ей) (при наличии);
    • акты уничтожения носителей (при наличии);
    • акты восстановления носителей персональных данных (при наличии);
    • акты приема-передачи носителей персональных данных (при наличии).
17. Положение об обеспечении сохранности и учета носителей персональных данных, работа с которыми осуществляется без использования средств автоматизации, с приложением:
    • акты уничтожения носителей персональных данных (при наличии);
    • акты восстановления носителей персональных данных (при наличии);
    • акты приема-передачи носителей персональных данных (при наличии).
18. Перечень сотрудников, имеющих доступ к персональным данным.
19. Приказ о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
20. Типовые формы согласия для каждой категории субъектов персональных данных.
21. Регламент взаимодействия с субъектами персональных данных, включая журнал учета обращений и ответов на обращения.
22. Регламент взаимодействия с уполномоченным регулятором в области обработки персональных данных, включая журнал учета обращений и ответов на обращения.
23. Типовая форма соглашения или формулировок к договорам с контрагентами, к или от которых поступают (передаются) персональные данные.
24. Инструкции по заполнению бумажных форм документов, предусматривающих внесение в них персональных данных, в соответствии с ПП 687.

4. Защита информационных систем персональных данных, в соответствии с требованиями статьи 19 закона:

1. Обследование информационных систем персональных данных:
   • акт (отчет) об обследовании;
   • модель угроз безопасности персональных данных (по методике ФСБ и отдельно по ФСТЭК России);
   • акт установления уровня защищенности персональных данных;
   • техническое задание на создание системы защиты персональных данных.
2. Проектирование системы защиты персональных данных.
3. Технический проект на систему защиты персональных данных, в составе:
   • ведомость эксплуатационных документов;
   • структурная схема комплекса технических средств;
   • спецификация оборудования;
   • пояснительная записка.
4. Внедрение системы защиты информации:
   • поставка, установка и настройка средств защиты информации;
   • разработка организационно-распорядительной документации (ОРД) в части защиты персональных данных (около 15 документов).
5. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных:
   • технический паспорт на ИСПДн;
   • программа и методика эффективности принимаемых мер по обеспечению безопасности персональных данных;
   • протокол оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
   • заключение эффективности принимаемых мер по обеспечению безопасности персональных данных;
   • аттестат соответствия (выдает Лицензиат ФСТЭК России) или декларация соответствия.

5. Приведение неавтоматизированной (бумажной) обработки персональных данных в соответствие требованиям 687 постановления Правительства:

• анализ и выдача замечаний по корректировке типовых бумажных форм документов с персональными данными;
• подготовка отдельного согласия сотрудников, осуществляющих обработку персональных данных без использования средств автоматизации;
• анализ и выдача замечаний по корректировке журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
• анализ порядка хранения материальных носителей с персональными данными и выдача замечаний и рекомендаций по приведению в соответствие.

6. Подача в Роскомнадзор уведомления об обработке или извещения об изменении сведений по обработке персональных данных:

• формирование проекта уведомления или извещения об изменении с учетом практики прохождения проверок Роскомнадзора;
• согласование с оператором, утверждение и подача в Роскомнадзор;
• отслеживание регистрации оператора (о корректировке сведений) в реестре Роскомнадзора.

7. Проведение контроля готовности к проверке Роскомнадзора:

• проверка наличия и утверждения пакета организационно-распорядительной документации в требуемом объёме;
• выборка договоров с контрагентами, наиболее соответствующих требованию закона;
• контроль готовности оператора к прохождению проверки в соответствии с типовым планом проверки Роскомнадзора.

На выходе, как правило, следующие отчетные документы:

• выбрано по одному договору к проверке (наиболее подходящие) по каждому типу контрагентов;
• программа и методика проверки;
• протокол проверки;
• заключение о готовности к прохождению проверки Роскомнадзора;
• протокол технического совещания по результатам контроля готовности к проверке.

8. Сопровождение при прохождении проверки Роскомнадзора (при необходимости):

• выезд на территорию заказчика при выездной проверке Роскомнадзора;
• пояснение требований и замечаний Роскомнадзора (при наличии);
• помощь в устранении замечаний от Роскомнадзора (при наличии);
• помощь в подготовке справок и ответа на замечания Роскомнадзора (при наличии).

9. Сопровождение системы защиты персональных данных в составе ИСПДн (при необходимости):

• актуализация организационно-распорядительной документации в части обработки и защиты персональных данных в информационных системах;
• администрирование системы защиты персональных данных (системное администрирование средств защиты информации);
• ежегодный контроль защищенности (оценка эффективности применяемых мер защиты персональных данных);
• мониторинг защищенности информационных систем и реагирование на инциденты безопасности.

10. Сопровождение оператора персональных данных (при необходимости):

• отслеживание изменений в законе и подзаконных актах;
• отслеживание изменений в категориях и объеме обрабатываемых оператором данных;
• своевременная актуализация сведений в реестре Роскомнадзора;
• периодический контроль соответствия требованиям закона;
• актуализация организационно-распорядительной и регламентирующей документации в части обработки и зашиты персональных данных у оператора.