Дед Роскомнадзор весь год ищет операторов персональных данных, которые с точки зрения закона «плохо себя ведут», и выписывает им предписания. В этой статье мы хотели бы рассказать о том, как это происходит, а ещё немного раскрыть планы «дедушки» на 2018 год. Чудесно, если это кому-то поможет подготовиться заранее и избежать проблем.

Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора: защита прав субъектов персональных данных; контроль и надзор за соответствием обработки персональных данных требованиям законодательства. Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.

Роскомнадзор:

  • проверяет сведения, указанные организацией в Уведомлении;
  • может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
  • может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
  • вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
  • наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
  • обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.
  • На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:
  • работа с обращениями и жалобами граждан;
  • проведение контрольных и надзорных мероприятий;
  • ведение Реестра операторов персональных данных.

Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг.



Срок рассмотрения обращения — 30 календарных дней, за исключением случаев, установленных в законе. Сейчас в Правительстве ждет утверждения проект нового Административного регламента. Но на данный момент Роскомнадзор проводит проверочные мероприятия на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ № 312 от 14.11.2011 года. В рамках деятельности по контролю и надзору за порядком обработки персональных данных Роскомнадзор осуществляет плановые и внеплановые проверки.

Плановые проверки


Плановые проверки проводятся на основании ежегодного плана, с ним можно ознакомиться по ссылке rkn.gov.ru/plan-and-reports

План проверок на следующий год обычно размещают на сайтах территориальных управлений в середине декабря текущего года. Так как с 1 сентября 2015 года Роскомнадзор не согласовывает планы проверок по персональным данным с Прокуратурой, то на сайте последней в сводном плане проверок по всем органам проверок по данной тематике нет. В действующем Административном регламенте сказано, что о проведении плановой проверки территориальное управление Роскомнадзора обязано уведомить вас не позднее, чем в течение трех рабочих дней до начала ее проведения.

Предметом проверки Роскомнадзора являются:

  • деятельность по обработке персональных данных;
  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • информационные системы персональных данных.

Соответственно, Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его главная задача — проверка правовых оснований обработки персональных данных. Вопреки расхожему мнению, положения, инструкции, приказы и прочие документы не являются самым главным объектом проверок. Уполномоченный орган больше интересуют сами персональные данные и соответствие объема этих данных целям обработки.

В уведомлении о плановой проверке, как правило, написано, что проверяемое лицо должно представить:

  • копию документа о назначении должностного лица или уполномоченного представителя, которое будет представлять интересы юридического лица на проверке;
  • документы, характер информации в которых предполагает или допускает включение в них персональных данных. К таким документам Роскомнадзор обычно относит заявления, анкеты, журналы и пр.;
  • документы, подтверждающие уничтожение персональных данных по достижению цели обработки. К сожалению, не все операторы персональных данных понимают, что в каждом случае обработки персональных данных есть (или должна быть) цель обработки, по достижению которой данные необходимо уничтожить; письменные согласия субъектов персональных данных на обработку их персональных данных;
  • документы, подтверждающие соблюдение требований законодательства РФ при обработке персональных данных, в том числе специальных категорий и биометрических персональных данных;
  • документы, подтверждающие место размещения баз (информационных систем) персональных данных. Это требование появилось, когда в законодательство внесли поправки о локализации персональных данных россиян; документы, подтверждающие ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством и локальными актами оператора по вопросам обработки персональных данных;
  • локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

Всего запрашивается примерно 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):

  • Уведомление об обработке ПДн
  • Документ, определяющий ответственного за организацию обработки ПДн
  • Перечень сотрудников, допущенных к обработке ПДн
  • Документ, определяющие места хранения ПДн
  • Справка об обработке специальных и биометрических категорий ПДн
  • Справка об осуществлении трансграничной передачи ПДн
  • Типовые формы документов с ПДн
  • Порядок уничтожения ПДн
  • Порядок передачи ПДн третьим лицам
  • Типовая форма согласия на обработку ПДн
  • Порядок учета обращений субъектов ПДн
  • Перечень информационных систем персональных данных (ИСПДн)
  • Документы, регламентирующие резервирование данных в ИСПДн
  • Перечень используемых средств защиты информации
  • Матрица доступа
  • Модель угроз
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
  • Журнал учета машинных носителей ПДн

В план проверок включают юридических лиц, которые подали Уведомление об обработке персональных данных в реестр операторов, и тех, кто этого не сделал. То есть могут проверить всех. Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней.

Внеплановые проверки Роскомнадзора


Внеплановые проверки бывают документарные и выездные. Документарные проводятся в форме запроса Роскомнадзором необходимых документов и предоставления вами этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом. Обычно это делается по телефону или по факсу.

Такие проверки могут проводиться в большинстве случаев по следующим основаниям:
  • если истек срок исполнения оператором ранее выданного предписания об устранении выявленного нарушения. Обычно после плановой проверки Роскомнадзор проводит внеплановую, чтобы выяснить, как устранено нарушение. Такая проверка редко бывает выездной. Она проводится в документарной форме, то есть Роскомнадзор запросит у вас сведения об устранении нарушений, а вы должны предоставить необходимые документы;
  • если в службу или ее территориальные органы поступило обращение от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации. В 2011 году в службу поступило примерно 1500 жалоб. В 2016 году — примерно 33 000;
  • по приказу руководителя Роскомнадзора или руководителя территориального управления.
  • по факту выявления в результате систематического наблюдения нарушений обязательных требований

Мероприятия систематического наблюдения


Еще один вид контроля — мероприятия систематического наблюдения. Основное отличие —
мероприятия осуществляются без взаимодействия с проверяемыми лицами. В последние годы это самый популярный вид контроля за порядком обработки персональных данных. Популярность таких мероприятий вызвана тем, что трудозатраты территориальных управлений на их проведение куда меньше плановых проверок, а эффективность намного больше. За небольшой период времени каждое территориальное управление Роскомнадзора может проверить десятки или даже сотни организаций, начав как правило с проверки их интернет-сайтов.

Понятие «мероприятия по систематическому наблюдению» добавилось в 2015 году. Систематическое наблюдение опасно тем, что оповещать о нём компанию никто не обязан. По результатам, если выявлены нарушения, проводится внеплановая проверка в соответствии с «Административным регламентом». Мероприятия систематического наблюдения проводятся на основании приказа руководителя территориального органа и закрепляются в ежегодном плане деятельности территориального управления на следующий год. Мы проанализировали данные доступные на сайте Роскомнадзора. Вот некоторые интересные результаты:

Всего запланированы мероприятия в отношении около 900 операторов ПДн. По географическому признаку — это самые различные организации «от Клининграда до Владивостока». Для выявления наиболее «проверяемых» отраслей мы воспользовались сведениями об основном виде деятельности компаний по ОКВЭД.


В планах лидируют «традиционные» для проверок РКН отрасли: образование, медицина, туризм и управляющие компании.

Около 38% операторов в планах мероприятий по систематическому наблюдению — государственные организации. Соответственно на долю коммерческих организаций приходится более 62% мероприятий. Практически 99,8% — это юридические лица, а не индивидуальные предприниматели.

Чтобы как-то описать размеры компаний, которые в 2018 году попадут под систематическое наблюдение, мы воспользовались информацией об размерах их уставного капитала как косвенным признаком.


В планах РКН компании всех размеров

Самым популярным нарушением, выявляемым в ходе мероприятий систематического наблюдения, является отсутствие на сайте документа, определяющего политику оператора в отношении обработки персональных данных, если на сайте выявлен случай сбора персональных данных (например, формы заявки, регистрации или обратной связи с определенным набором запрашиваемых сведений).

Также Роскомнадзор может запросить правовые основания для размещения чьих-либо персональных данных. Такие запросы уже поступали, например, в образовательные организации, когда на их сайте размещали персональные данные о школьниках и их успехах в олимпиадах. Так что, размещая персональные данные своих работников или иных лиц на сайте, проконтролируйте соблюдение требований закона.

На что обратить внимание


Обработка персональных данных — это каждодневная деятельность любого юридического лица. Мы постоянно работаем с данными наших работников и клиентов (пациентов, студентов, покупателей, заявителей, пользователей сайта, заемщиков, страхователей, посетителей зрителей и пр.). Одни и те же данные одного и того же человека мы обрабатываем в разных случаях. И взятое в одном случае согласие — на другой может не распространяться.

Соответственно, чтобы предотвратить негативные последствия, мы должны обратить внимание на правовую основу обработки персональных данных в каждом конкретном случае обработки, т. е. понять, есть ли у нас договоры, согласия или даже нормативные акты, которые Роскомнадзор признает при проверке законным основанием для обработки персональных данных. А проверка может возникнуть в любой момент. Например, у вас есть сайт. Вы собираете на нем данные через различные формы. Соответственно, вас могут проверить в ходе мероприятий систематического наблюдения, или в случае, если какой-нибудь посетитель вашего сайта подаст на вас жалобу. Также вами может быть недоволен ваш клиент или работник (бывший тоже может), которые имеют возможность пожаловаться в Роскомнадзор, и тот в свою очередь обязан на такие жалобы реагировать. Так что ваша задача — обеспечить правовую основу для каждого случая обработки.

Административная ответственность за нарушение законодательства в области персональных данных установлена статьей 13.11 КоАП РФ. Штрафы для юридических лиц за каждое нарушение, установленное статьей 13.11, варьируются от 15 000 до 75 000 рублей.

Проверки Государственной инспекции труда


В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86:
«работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области».
Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.

Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.

Проверки ФСТЭК и ФСБ


Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке.

В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн) и требования к защите персональных данных в ИСПДн. Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования.

В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий. Во исполнение этого требования у нас появились:

  • приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите».

Фактически между ФСБ И ФСТЭК разделили полномочия в этой сфере, где ФСБ определяет меры по защите ИСПДн при использовании в них средств криптографической защиты, а ФСТЭК — меры по всем остальным вопросам обеспечения безопасности.

В части 8 статьи 19 федерального закона «О персональных данных» закреплен важный момент:
«Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».

Выходит, ФСБ и ФСТЭК могут проверять только организации, эксплуатирующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен. Сказано лишь, что ФСТЭК И ФСБ

«решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».

Проверки ФСТЭК и ФСБ могут быть как плановыми, так и внеплановыми.

В рамках проверок ФСБ обращает внимание на:
  • наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ;
  • организационные меры, установленные в соответствии с приказом ФСБ № 378 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
  • наличие средств криптографической защиты информации, порядок их учета и эксплуатации;
  • документацию на средства криптографической защиты информации (лицензии, сертификаты, формуляры и пр.).

В рамках проверок ФСТЭК обращает внимание на:
  • наличие модели нарушителя и угроз, актов установления уровней защищенности для ИСПДн;
  • наличие средств защиты информации, порядок их учета и эксплуатации;
  • документацию на средства защиты информации (лицензии, сертификаты, формуляры и пр.);
  • организационные меры, установленные в соответствии с приказом ФСТЭК России № 21 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
  • материалы аттестационных испытаний (в ГИС).
  • За нарушение данных требований установлена ответственность в соответствии со статьей 13.12 КоАП РФ:
  • за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации — штраф до 25 000 рублей для юридических лиц;
  • за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации — штраф до 15 000 рублей для юридических лиц.

Заключение


После вступления в силу поправок в статью 13.11 КоАП РФ контрольно-надзорная деятельность не изменится кардинально, но из-за существенного увеличения штрафов изменится подход организаций к выполнению требований закона и к подготовке к проверкам. Если раньше организации считали, что проще ничего не делать и можно ждать вероятную проверку и по ее итогам заплатить небольшой штраф (до 10 000 рублей), то теперь компании будут бороться за свои права, а значит, это положительно повлияет на довольно неоднозначную судебную практику по данным вопросам.

Хуже всего приходится тем организациям, начало проверок для которых приходится на самое начало года. У них минимальный запас времени для подготовки к проверке или наблюдению. Однако, стоит помнить, что обработка ПДн также может осуществляться лицом по поручению оператора. При автоматизированной обработке можно обратиться к нам и избавить себя хотя бы от части головной боли по вопросу соответствия и сократить свои издержки. Мы предлагаем несколько решений, позволяющих приблизится к образу «идеального оператора», основное из них — «Облако ФЗ 152».

Источники:
rkn.gov.ru
fstec.ru
www.fsb.ru
www.anti-malware.ru

Комментарии (11)


  1. alexmay
    31.12.2017 14:02
    -3

    ПДн, какое новое, странное сокращение от практически общепринятого ПД.


    1. lostpassword
      31.12.2017 19:39
      +1

      Впервые слышу об этом общепринятом сокращении)


    1. MooNDeaR
      31.12.2017 22:56

      Никто и никогда не говорит ПД.


  1. oldbie
    31.12.2017 14:26
    +1

    то теперь компании будут бороться за свои права, а значит, это положительно повлияет на довольно неоднозначную судебную практику по данным вопросам.

    Я бы не бы так уверен на счет "а значит". Одно дело бороться за права, совсем другое добиться успеха. Имхо тут не прямой связи, т.е. ростелеком, конечно, свои права отстоит, но это еще нет значит что общая ситуация изменится к лучшему. У нас законы принимают с противоречиями конституции, а вы говорите повлияет.


    1. andyudol
      31.12.2017 19:31
      -1

      То есть бороться не надо? И тогда успех гарантирован?


      1. oldbie
        01.01.2018 03:03

        Бороться нужно за то, чтобы идиотские(или выгодные "элтам") инициативы и законы не воплощались в жизнь, а не с последствиями, обивая пороги неработающих институтов где вам подробно объяснят почему и на основе каких брократических процедур Вас могут посылать подальше. Ну это в лучшем случае, а то и вовсе проигрнорируют. Бороться нужно за то, чтобы суды/правоохранители работали, а не за то, чтобы они работали для Вас лично. А успех он никогда не гарантирован.


      1. furtaev
        02.01.2018 03:46

        Бороться немного поздно. Когда принимали эти бредовые законы, все думали, что их-то точно не коснётся… А сейчас момент упущен.


  1. kirillaristov
    31.12.2017 19:21

    Ставишь чекбокс, публикуешь "политика обработки персональных данных" и дело в шляпе.


    1. firk
      01.01.2018 04:06
      +1

      Нет, тут (и не только тут) так нельзя. Нельзя написать в договоре что захочешь и потом им отмахиваться от претензий. Если договор (в данном случае — ваша "политика обработки") противоречит законам, то он признаётся недействительным, и не только галочка, но и реальная нотариально заверенная подпись контрагента под ним не будет значить совершенно ничего.


      1. kirillaristov
        01.01.2018 20:30

        Да, разумеется, "политика обработки персональных данных" должна полностью соответствовать законодательству.


  1. mafia8
    02.01.2018 12:47

    Картинка: Дарт Вейдер с отрубленной рукой.