Проверка персональных данных Роскомнадзором, ФСБ, иными органами: что это такое, какие документы запрашивают, а также как проводится аудит по обработке информации?

Что такое персональные данные

Для точного определения того, что представляют собой персональные данные, стоит обратиться к ТК РФ. Трудовой кодекс определяет персональные данные, как сведения, необходимые к передаче работодателю для выполнения рабочих обязанностей.

Большинство данных, предоставляемых нанимателю, являются персональными – это и паспортные данные (этот вид сведений должен находиться под особой защитой организации, так как паспорт является идентификатором личности гражданина), автобиографические сведения (к которым может относиться, например, уровень образования, квалификация).

Распространение подобной информации (или неспособность защитить ее конфиденциальность организацией – оператором) и является наиболее частой причиной обращения сотрудника в суд.

Если человек, скажем, перенес тяжелое заболевание, этот биографический факт может принести ему множество проблем при устройстве на работу – естественно, в такой ситуации ему ничего не остается, кроме как защищать собственные интересы в суде.

Суд принимает сторону истца в таких делах в 99% случаев.

Что проверяет Роскомнадзор

Роскомнадзор проверяет:

1. Как оператор соблюдает требования закона «О персональных данных».
2. Документы с правилами обработки персональных данных сотрудниками компании или индивидуальным предпринимателем ().
3. Программы и технику, с помощью которых оператор обрабатывает персональные данные: компьютер, принтер, сканер программа «1С:Предприятие».

Бизнесмена могут проверить по плану, неожиданно или просто наблюдать за ним:

1. Плановые проверки проводят только удалённо — Роскомнадзор просит прислать ему нужные документы.
2. Внеплановые проверки всегда проводят на месте — ревизоры приезжают на работу или домой к оператору.
3. Наблюдение за оператором — сотрудники Роскомнадзора тайно наблюдают за бизнесменом со стороны.

Плановая проверка

Роскомнадзор проводит плановую проверку раз в три года, по графику. Ищите себя в сводном плане проверок на сайте Генпрокуратуры.

Некоторых Роскомнадзор проверяет чаще — раз в два года:

1. Если оператор собирает биометрические и специальные персональные данные: национальность, состояние здоровья, политические взгляды.
2. Если оператор отправляет персональные данные за рубеж.
3. Если оператор собирает персональные данные в государственных информационных системах — реестрах и инфосистемах министерств России. Например, Единая сеть обращения граждан или Реестр федерального имущества.

Что делать при плановой проверке

1. Вовремя подготовьте документы. Роскомнадзор предупреждает оператора о проверке не позже, чем за три рабочих дня до начала: отправляет приказ по почте или электронным письмом. Вместе с приказом оператор получает список документов, которые нужно отправить инспектору. Документы можно отправить по почте или электронным письмом. На бумажных документах нужно расписаться и поставить печать, на электронных — поставить электронную подпись.

У оператора есть пять рабочих дней, чтобы ответить на запрос и прислать документы. Датой подачи документов считается день, когда инспектор их получил. Если оператор опоздает, Роскомнадзор придёт к нему с внеплановой проверкой.

2. Следите за сроками проверки. У инспектора есть 20 дней, чтобы провести проверку. Если их не хватит, он может продлить срок ещё на 20 дней, но только один раз. Максимальный срок проверки — 40 дней.

3. Проверьте акт проверки. Инспектор составляет акт в двух экземплярах. В акте он перечисляет нарушения или указывает, что их нет. Один экземпляр инспектор отправляет оператору по почте или электронным письмом не позднее 10 дней со дня подписания акта проверки.

Чем грозит плановая проверка

Если инспектор найдёт ошибки или неточности, он отправит оператору письмо — даст три рабочих дня на пояснения. Если оператор не ответит, Роскомнадзор придёт с внеплановой проверкой — в офис или домой к оператору.

Если инспектор найдёт нарушения, то вместе с актом пришлёт предписание, где будет сказано, что нужно исправить. В предписании будет указан срок — максимум шесть месяцев со дня выдачи. Оператор должен вовремя исправиться и подтвердить это документами — принести их лично или отправить письмом. Если он нарушит предписание, Роскомнадзор придёт к нему с внеплановой проверкой.

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Внеплановая проверка

Роскомнадзор может прийти с внеплановой проверкой в любое время, но только если для этого есть основания:

1. Оператор не исправил нарушения, которые у него нашли во время наблюдения за ним, плановой или предыдущей внеплановой проверки.
2. Люди пожаловались, что оператор нарушает их права ();
3. Президент, правительство Российской Федерации или прокурор поручили проверить оператора.
4. Сотрудники Роскомнадзора нашли нарушения во время наблюдения за оператором.

Как себя вести во время внеплановой проверки

1. Проверьте документы ревизоров. Изучите удостоверения сотрудников, приказ и запрос с перечнем документов для проверки. В приказе должно быть указано, кто проводит проверку, по каким причинам, что будут делать сотрудники Роскомнадзора, сроки и условия выездной проверки. Сверьте фамилии и должности сотрудников Роскомнадзора из приказа с данными удостоверений.

2. Предоставьте информацию по запросу. Предоставьте инспекторам документы и покажите технику, перечисленную в запросе. Важно уложиться в срок, который указан в запросе — максимум два дня с момента вручения. Если во время проверки окажется, что нужны дополнительные документы, инспектор может вручить вам дополнение к запросу.

Если передаёте документы на бумаге, сделайте копии, заверьте печатью и подписью. Если отправляете их в электронном виде — подпишите электронной подписью. Если не успеваете в срок, напишите и отправьте в Роскомнадзор объяснительную.

3. Присутствуйте при проверке. Вы имеете право присутствовать при проверке, давать сотрудникам Роскомнадзора пояснения, отвечать на их вопросы.

4. Не мешайте проверяющим. В правилах сказано, что оператор должен свободно пускать ревизоров в помещение и к компьютеру, предоставлять необходимые документы. Если вы будете мешать, откажетесь показывать документы или отвечать на вопросы, сотрудники Роскомнадзора составят акт о воспрепятствовании проведению выездной проверки и через пару месяцев придут ещё раз. Если вы будете сильно мешать, могут вызвать полицию.

5. Следите за сроками. Инспектор предупреждает оператора о проверке не позднее, чем за 24 часа. Роскомнадзор может проводить внеплановую проверку не дольше 10 дней. Если нужно, срок могут увеличить еще на 10 дней, но только один раз. Максимальный срок проверки — 20 дней.

6. Проверьте правильность составления акта. В акте должна быть информация о выявленных нарушениях или об их отсутствии. Если нарушения есть, в акте должны быть указаны статьи закона и пункты нормативных актов, которые оператор нарушил.

Проверяющий составляет акт проверки в двух экземплярах и прилагает к нему справки, протоколы и пояснения оператора. Акт должны подписать представитель Роскомнадзора и оператор. Если вы откажетесь расписываться, ревизор сделает об этом пометку. Проверяющий отдаёт оператору под расписку один экземпляр акта с копиями приложений.

Оператор должен сделать пометку о том, что ознакомился с актом. Если такого журнала нет, инспектор сделает об этом запись в акте.

Если оператора не будет на месте, Роскомнадзор приостановит проверку, но не более чем на месяц. Если за это время ничего не изменится и проверяющий не сможет застать оператора на месте, он составит акт о невозможности проведения проверки. В течение трёх месяцев после составления акта Роскомнадзор может прийти с проверкой ещё раз, но уже без предупреждения.

Чем грозит выездная проверка

Если Роскомнадзор найдёт нарушения, вместе с актом проверки оператору дадут предписание об устранении нарушений. Он должен будет исправиться в течение установленного срока — максимум шесть месяцев со дня выдачи предписания. Оператор должен будет показать инспектору документы, которые подтверждают, что он исправил нарушения. Их можно отправить по почте, электронным письмом или принести в региональное управление Роскомнадзора.

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Внеплановый контроль

В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:

• выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
• нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
• поручение органов власти, Президента;
• требование прокурора;
• резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Результаты проверки

Выводы инспектирования проверяющие оформляют актом. Факт выездной проверки фиксируется в специальном журнале учета. Если такого журнала нет, запись об этом вносится в акт. Заключение акта содержит:

• факт отсутствия нарушения требований обработки ПДн;
• перечень выявленных нарушений с указанием статей (пунктов) нарушенных нормативных актов.

Акт изготавливается в двух экземплярах, подписывается ответственным, проводившим проверку. В акте выездной проверки уполномоченный специалист оператора расписывается в ознакомлении с ним. При отказе или уклонении от подписи, соответствующая запись делается в самом акте.

Один экземпляр акта остается у проверяющего, второй:

• вместе с копиями приложений передается проверяемому оператору под расписку;
• отправляется почтой в виде заказного письма с уведомлением о вручении, которое хранится у проверяющего органа вместе с первым экземпляром акта;
• направляется в форме электронного документа, подписанного усиленной квалифицированной ЭП ответственного сотрудника Роскомнадзора, проводившего проверку.

Срок отправки — 10 дней со дня подписания. Прилагаются все сопутствующие документы: протоколы, справки, разъяснения оператора, другие бумаги, свидетельствующие обоснованность выводов проверяющих.

Какие документы проверяют?

Роскомнадзор

Плановые проверки предусматривают предоставление следующих документов:

• копия документа о назначении уполномоченного представителя, который сможет представлять интересы юридического лица во время проверки;
• все документы, которые могут включать в себя личные сведения (анкеты, заявления, журналы);
• документы, которые подтверждают уничтожение личной информации после ее обработки;
• письменное согласие владельцев личной информации на ее обработку
• документы, которые подтверждают соблюдение всех требований законодательства при обработке персональных сведений;
• документы, которые подтверждают место размещения баз данных;
• документы, подтверждающие ознакомление работников, осуществляющих обработку личной информации, с действующим законодательством.

Роскомнадзор осуществляет проверку по следующим пунктам:

1. деятельность по обработке персональных сведений;
2. документы, в которых могут отображаться информация личного характера;
3. информационные базы.

Выездная проверка может длиться 20 дней, и еще на 20 суток она может быть продлена. Итог проверки – акт, который, при наличии нарушений, включает в себя предписания по их устранению. Также устанавливаются сроки для исправления ошибок. Результат проверки всегда можно обжаловать.

ФСБ

В ходе проверки ФСБ обращает внимание на следующие аспекты:

• Наличие нарушителя и угрозы, которую он представляет.
• Организационные меры, которые установлены приказом . В нем сказано о назначении ответственных лиц, порядке допуска работников к ИСПДн, защита объектов и другое.
• Наличие средств криптографической защиты информации.
• Документы на средства криптографической защиты баз данных. Это могут быть лицензии и сертификаты.

Плановые инспекции начинаются с уведомления проверяемого. К нему прилагается копия приказа и план проводимых мероприятий. ФСБ проверяет информационные системы баз данных. В организации должен быть утвержденный документ регламентирующий защиту личных сведений.

Когда проверку могут продлить

Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:

1. Во время проверки Роскомнадзор получил от правоохранительных органов документы, из которых видно, что оператор нарушает закон.
2. На территории, где проходит проверка, произошло наводнение, затопление или пожар.
3. Во время проверки оказалось, что нужно проверить больше документов, у компании сложная структура, сложный механизм обработки персональных данных.

Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.

Какие штрафы грозят нарушителям

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет. Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке. Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Провеки ФСТЭК и ФСБ

Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке.

В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн) и требования к защите персональных данных в ИСПДн. Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования.

В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий. Во исполнение этого требования у нас появились:

• приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите».

Фактически между ФСБ И ФСТЭК разделили полномочия в этой сфере, где ФСБ определяет меры по защите ИСПДн, при использовании в них средств криптографической защиты, а ФСТЭК — меры по всем остальным вопросам обеспечения безопасности.

В части 8 статьи 19 федерального закона «О персональных данных» закреплен важный момент: «Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».

Выходит, ФСБ и ФСТЭК могут проверять только организации, эксплуатирующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен. Сказано лишь, что ФСТЭК И ФСБ «решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».

Проверки ФСТЭК и ФСБ могут быть как плановыми, так и внеплановыми.

В рамках проверок ФСБ обращает внимание на:

• наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ;
• организационные меры, установленные в соответствии с приказом ФСБ № 378 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
• наличие средств криптографической защиты информации, порядок их учета и эксплуатации;
• документацию на средства криптографической защиты информации (лицензии, сертификаты, формуляры и пр.).

В рамках проверок ФСТЭК обращает внимание на:

• наличие модели нарушителя и угроз, актов установления уровней защищенности для ИСПДн;
• наличие средств защиты информации, порядок их учета и эксплуатации;
• документацию на средства защиты информации (лицензии, сертификаты, формуляры и пр.);
• организационные меры, установленные в соответствии с приказом ФСТЭК России № 21 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
• материалы аттестационных испытаний (в ГИС).

За нарушение данных требований установлена ответственность в соответствии со статьей 13.12 КоАП РФ:

• за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации — штраф до 25 000 рублей для юридических лиц;
• за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации — штраф до 15 000 рублей для юридических лиц.

Как подстраховаться?

Выводы

После вступления в силу поправок в статью 13.11 КоАП РФ контрольно-надзорная деятельность не изменится кардинально, но из-за существенного увеличения штрафов изменится подход организаций к выполнению требований закона и к подготовке к проверкам. Если раньше организации считали, что проще ничего не делать и можно ждать вероятную проверку и по ее итогам заплатить небольшой штраф (до 10 000 рублей), то теперь компании будут бороться за свои права, а значит, это положительно повлияет на довольно неоднозначную судебную практику по данным вопросам.