Персональні дані
Контроль за обробкою персональних даних
Чи не єдина, але одна з головних задач Роскомнадзора - контролювати обробку персональних даних операторами. Оператором, фактично, є будь-яка юридична особа і більшість індивідуальних підприємців. У деяких випадках операторами персональних даних можуть бути і інші фізичні особи.
Якщо до вас ще не прийшли з перевіркою - не розслаблюйтеся. Обов'язково прийдуть. Останнім часом захист персональних даних і підготовці відповідних регулюючих документів приділяється особлива увага.
А якщо ваша компанія є оператором, готувати пакет відповідних документів ви зобов'язані - і підтримувати їх в актуальному стані. Перевіркою відповідної документації і, якщо необхідно, умовами зберігання документів, і займається Роскомнадзор.
Чим керується Роскомнадзор при перевірках?
На відміну від планових перевірок, що проводяться не частіше, ніж раз на 3 роки, позапланові можуть проводитися набагато частіше - у міру надходження скарг, за результатами «систематичного спостереження», за поданням прокуратури.
Остерігатися перевірок цілком резонно. У гіршому випадку Роскомнадзор може взагалі припинити діяльність організації до усунення порушень, не кажучи вже про адміністративну відповідальність, посилення якої готується ще з минулого року.
ВИДИ ПЕРЕВІРОК Роскомнадзор
Документарна, виїзна перевірки і систематичне спостереження
Документарна перевірка не передбачає виїзду фахівців Роскомнадзора на територію організації. Роскомнадзор відправляє комерційної / некомерційної організації, підприємцю чи фізичній особі список документів, копії яких необхідно відправити в Роскомнадзор.
Відзначимо, що співробітник Роскомнадзора зазвичай здатний знайти чимало порушень в перевірених документах. Якщо ж мова йде про виїзної позапланової перевірки, справи оператора персональних даних погані. Особливо, якщо він не підготувався до неї заздалегідь.
Нові повноваження Роскомнадзора. Оскільки про прецеденти «систематичного спостереження» і його результати поки практично нічого не відомо, залишається чекати публікацій про конкретні випадки прийняття Роскомнадзором даних заходів.
Розклад заходів щодо систематичного спостереження також викладається на територіальних сайтах Роскомнадзора, проте конкретні компанії в ньому не вказуються, тільки терміни проведення заходів щодо систематичного спостереження по конкретних галузях (державні установи, колекторські агентства і т. П).
Систематичне спостереження небезпечно, в першу чергу, для компаній, які володіють сайтами, обробними персональні дані. Особливо небезпечно воно тим, що сповіщати про систематичному спостереженні компанію ніхто не зобов'язаний. За результатами, якщо виявлено порушення, проводиться позапланова перевірка відповідно до «Адміністративним регламентом».
Планова і позапланова перевірки
Графік планових перевірок складається на рік вперед і викладається в кінці року, що передує початку перевірок. Раніше загальний графік перевірок викладався на головному сайті Роскомнадзора, тепер, у зв'язку зі змінами в «Адміністративному регламенті» - на територіальних сайтах, окремо для кожного регіону.
Зручність такої системи в тому, що найменування організації відомо заздалегідь, відома дата і терміни проведення перевірки, тому єдине, що потрібно від операторів персональних даних - елементарна уважність. Тим більше, що про планові і позапланові перевірки Роскомнадзор повідомляє операторів заздалегідь.
Найгірше доводиться тим організаціям, початок перевірок для яких припадає на самий початок року. У них мінімальний запас часу для підготовки до перевірки.
Може проводитися Роскомнадзором після розгляду скарги або, наприклад, за результатами систематичного спостереження. У зв'язку з новітніми змінами в нормативно-правових актах, для Роскомнадзора в більшості випадків тепер не потрібно схвалення або подання прокуратури.
У самій прокуратури достатньо повноважень звернутися в Роскомнадзор при виявленні будь-якого правопорушення, пов'язаного з обробкою персональних даних.
Примітно, що тепер Роскомнадзор повинен погоджувати перевірки за зверненнями громадян з прокуратурою. Це, мабуть, єдиний варіант, при якому втручання прокуратури необхідно.
Нагадаємо, про позапланову перевірку оператора персональних даних повідомляють за три дні, в окремих випадках, передбачених «Адміністративним регламентом» - за 24 години. У таких випадках самостійно підготуватися до перевірки досить проблематично.
ПІДГОТОВКА ДО ПЕРЕВІРКИ Роскомнадзор
Нагадаємо, крім перевірок Роскомнадзора, держава цілком може провести перевірки ФСТЕК і ФСБ (остання - лише в державних органах), у кожного відомства своя спеціалізація.
Мета перевірок Роскомнадзора - з'ясувати, наскільки точно дотримуються вимоги 152-ФЗ «Про персональних даних» та інших нормативних актів, пов'язаних з обробкою ПДН.
Теоретично, документи до перевірки можна підготувати самостійно, проте, це далеко не завжди вдається навіть співробітникам, які мають досвід підготовки юридичної документації. Дається взнаки специфіка захисту персональних даних і, як наслідок, специфіка підготовки організаційно-розпорядчої документації.
Ефективно впоратися із завданням здатний фахівець в області захисту інформації, але, такі співробітники є в штаті далеко не кожної організації, та й «собівартість» сформованої документації з урахуванням витрат людино-годин, вийде занадто високою.
Ще один варіант - залучити експерта з сторонньої організації. Такі послуги коштують досить дорого, проте результат того вартий. Основний недолік, крім високої ціни - фахівець підготує документи один раз. При найменших змінах в структурі компанії, структурі інформаційних систем, кадровому складі і т. П. Залучати експерта доведеться знову.
Оптимальний варіант - використовувати онлайн-сервіс підготовки документів. Гідних сервісів подібного роду не дуже багато і їх імена давно відомі. При цьому, підготувати пакет документів цілком зможе штатний бухгалтер, юрист, співробітник ІТ-відділу або керівник організації.
РЕКОМЕНДАЦІЇ ЩОДО САМОСТІЙНОЇ ПІДГОТОВКИ
- Призначте співробітника, відповідального за підготовку документів. Крім бухгалтера, юриста або співробітника ІТ-відділу це може бути працівник відділу кадрів або, як ми ж писали, сам керівник. Спеціалізація у співробітників різна, тому оцінити часові витрати в кожному конкретному випадку не представляється можливим.
- Призначте відповідального за обробку персональних даних. Відзначимо, що у великій організації доступ до персональних даних можуть мати десятки, якщо не сотні людей. Варто вибирати з їх числа, найкраще - того ж співробітника, що буде відповідати за підготовку організаційно-розпорядчої документації.
- Можливо, ви ніколи не замислювалися над питанням, які персональні дані обробляє ваша організація, за якими принципами здійснюється обробка персональних даних, як здійснюється збір, знищення тощо. Задумливо оціните цей процес або, якщо підготовкою документації займаєтеся не ви, доручивши це відповідальній особі. Будь нюанс при подальшій підготовці документів може мати значення - саме на підставі цих даних ви будете готувати документи.
- Займіться безпосередньо підготовкою документації. Проблема в тому, що списку обов'язкових документів не існує. Головне, сформувати пакет відповідно до вимог 152-ФЗ, причому, крім «основного» закону, є й інші нормативно-правові, в т. Ч. Відомчі акти - накази ФСТЕК, ФСБ і ін. Перевага онлайн-сервісу підготовки документів саме в тому, що він враховує всі необхідні вимоги при формуванні пакета. При самостійній підготовці варто створити «Політику щодо обробки персональних даних» (назва може відрізнятися), т. Н. «Модель загроз», наказ про призначення відповідальних осіб та ін. Попрацювати над документацією дійсно доведеться, особливо, якщо ви робите це в перший раз.
- З документами необхідно ознайомити працівників (з тим документами, які мають до них відношення за родом діяльності), партнерів, здобувачів. Наприклад, при укладенні трудового договору бажано прописувати основні принципи обробки персональних даних в тексті.
- «Політика щодо обробки персональних даних» - документ основний і загальнодоступний. Теоретично, ви повинні пред'явити його на першу вимогу, особливо особам, обробкою персональних даних яких ви займаєтеся. Вкрай бажано розмістити «Політику» на сайті, якщо у вашій організації він є. Обов'язково - якщо сайт збирає персональні дані користувачів (наприклад, при реєстрації).
- Надішліть повідомлення в Роскомнадзор ДО початку обробки персональних даних. Повідомлення подається як в електронному вигляді - анкета заповнюється на сайті Роскомнадзора, так і в паперовому - роздрукована копія надсилається поштою. Важливо! Відправлення електронного повідомлення не позбавляє від обов'язку надсилати паперову копію. Через 30 днів вашу організацію включать до Реєстру операторів персональних даних. Відзначимо, що подавати повідомлення про початок обробки персональних даних зобов'язані далеко не всі оператори. У п. 2 ст. 22 152-ФЗ вказано конкретно, хто подавати повідомлення не зобов'язаний. На ділі, подати його рекомендується всім. У разі помилки вашу організацію і відповідальних посадових осіб притягнуть до адміністративної відповідальності.
Варто пам'ятати, що повідомлення, як і інші документи, потребує своєчасної актуалізації. Якщо змінилися дані, зазначені в поданій анкеті, відправити повідомлення необхідно повторно - на це обов'язково звернуть увагу.
Перевіряючі обов'язково ознайомляться з організаційно-розпорядчими документами. Нагадаємо, затвердженого списку документів не існує, тому що перевіряють з'ясовуватимуть, наскільки сформовані документи відповідають вимогам законів, наказів і т. П. - назви самих документів великої ролі не грають. Як правило, особливу увагу приділять «Політиці обробки персональних даних». Це не означає, що інші документи залишать без уваги.
Якщо організація має веб-сайт (не має значення, чи передбачений інтерфейсом збір персональних даних), доцільно розмістити на ньому «Політику».
Дані, як за документами, так і в дійсності, слід обробляти тільки відповідно до положень законів. Т. е. Збирати їх в строго необхідному обсязі, при заповненнями суб'єктами анкет вказувати мету збору даних, знищувати персональні дані відповідно до вимог законів і т.п. За деякими винятками, обробка персональних даних здійснюється строго за згодою суб'єкта персональних даних.
Уважно ознайомтеся з 152-ФЗ «Про персональних даних». За безпеку персональних даних перед суб'єктом відповідає оператор - навіть у випадках, коли їх передача допускається третій стороні відповідно до вимог закону. Обробка персональних даних третьою стороною детально прописується в договорі з цією стороною - цілі передачі, заходи щодо забезпечення конфіденційності, дії з персональними даними та т. П.
У самій організації доступ до персональних даних повинен бути обмежений колом співробітників, в чиї обов'язки входить обробка персональних даних. Мова йде не тільки про комп'ютерну техніку. Якщо мова йде про персональні дані на паперових та інших носіях, матеріали повинні бути закриті в спеціальних шафах або приміщеннях, доступ до яких мають лише певні люди. Приклад - навіть якщо співробітник відноситься до числа топ-менеджерів, однак в сформованих документах не передбачено його допуск до персональних даних, отримувати його простим розпорядженням відповідальним особам він не має права.
Це лише деякі з ключових аспектів, на які співробітники Роскомнадзора звернуть увагу при перевірці. Ретельно знайомтеся з законами і вибирайте спосіб формування документів. Будь-яка з помилок здатна привести до небажаних наслідків. Так, Роскомнадзор має право не тільки складати протоколи для передачі справ до суду, а й призупинити діяльність організації до усунення допущених помилок, якщо мали місце помилки, а не злочин.