Сегодня предлагаем вашему вниманию статью на тему: "роскомнадзор персональные данные". Мы постарались в полной мере раскрыть тему и объяснить все доступным языком. Все свои вопросы вы можете задавать в комментариях к статье. Наш эксперт будет оперативно на них отвечать.
Содержание
Реестр операторов, осуществляющих обработку персональных данных
Результат поискового запроса отображает информацию не более чем о 100 операторах.
Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации. В случае, если Вы не знаете точный ИНН, можно произвести поиск по наименованию. При этом достаточно указать только оригинальную его часть (одно или несколько слов, которые отличают данную организацию от других) без указания организационно-правовой формы, спецсимволов, кавычек и сокращений. Если наименование состоит из двух и более слов, в том числе разделенных дефисом, достаточно указать только одно из этих слов. Советуем избегать часто встречающихся в наименовании организации слов, например, таких как: “Российский”, “Федеральный”, “Общество” и т.п.
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 20.08.2009 14:03
Последнее изменение: 27.02.2019 19:55
В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года. Руководствуясь положениям ч. 3 ст. 22 Федерального закона «О персональных данных» Роскомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.
Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Роскомнадзор, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных.
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 20.08.2009 14:03
Последнее изменение: 18.03.2018 14:30
Проверка Роскомнадзора: как подготовиться и избежать штрафов
Проверяя компанию, Роскомнадзор руководствуется прежде всего Федеральным законом №152-ФЗ «О персональных данных». При этом проверка может быть как плановой, так и внеплановой.
Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.
Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.
О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.
Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.
При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.
В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.
Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?
Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.
Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.
Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:
Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.
В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.
Проверка Роскомнадзора: на что обращают внимание инспекторы?
Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.
Какие персональные данные можно обрабатывать без уведомления:
- данные, которые обрабатываются в соответствии с трудовым законодательством;
- данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- данные, сделанные субъектом персональных данных общедоступными;
- данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
- данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.
Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.
Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.
Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.
Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.
В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.
Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.
В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.
Кому не нужно уведомлять Роскомнадзор об обработке персональных данных
Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.
Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:
Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.
С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?
Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?
Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.
К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.
При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.
Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.
Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.
Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.
Кто является оператором персональных данных?
В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.
Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
Кого должна уведомить УО о том, что она является оператором персональных данных?
Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.
В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.
Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.
Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.
Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.
Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.
Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.
Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.
Когда нужно заручиться согласием на обработку персональных данных?
Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.
Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.
В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).
Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?
Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?
Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.
Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.
Об ответственности за нарушение законодательства о персональных данных
Какие штрафы существуют и кто их выписывает?
До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.
Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.
С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.
Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом. Ксения Терлецкая
Поделитесь с коллегами и друзьями
Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Опыт прохождения проверки Роскомнадзора по персональным данным
Как показывает практика, проверка Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в области обработки персональных данных (ПДн) является сравнительно редким событием.
Например, в 2013 году в Центральном федеральном округе проведено всего 26 (!) проверок, из которых 22 выездных и 4 документарных. В свете малочисленности подобных мероприятий они и сейчас интересны специалистам по информационной безопасности, так как практика выполнения требований ФЗ-152 от 27.06.2006 «О персональных данных» и подзаконных актов еще до конца не сформировалась. Об этом факте свидетельствуют периодически появляющиеся разъяснения контролирующего органа (по персональным данным работников, биометрическим персональным данным). Эти разъяснения выпускаются Роскомнадзором совместно с экспертами для того, чтобы помочь организациям (операторам) выполнить требования и привести все свои структурные подразделения к единому пониманию существующих нормативных правовых актов, касающихся обработки персональных данных. В данной статье описывается опыт прохождения проверки Роскомнадзора, который может оказаться полезным другим организациям при выполнении работ по защите ПДн.
В конце прошлого года компания АйТи стала консультантом «Эльдорадо» при прохождении проверки Роскомнадзора по персональным данным.
«Нашим главным критерием при выборе компании являлось наличие опыта прохождения таких проверок. Нам необходимы были определенные гарантии, поскольку мы не могли рисковать своей репутацией», – комментирует Константин Коротнев, менеджер по информационной безопасности Компании «Эльдорадо».
Перед нами поставили задачу – пройти проверку с минимальными замечаниями. Забегая немного вперед, скажу, что нам это удалось. Теперь обо всем по порядку.
РАЗМИНКА
Днем «Х» было 5 ноября, согласно «Плану проведения проверок». Какая предполагается проверка, начало, а также сроки ее проведения, можно посмотреть на сайте Управления Роскомнадзора по соответствующему федеральному округу, в нашем случае это Центральный федеральный округ.
Проверка предполагалась плановая выездная, все в соответствии с ФЗ-294 от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
До начала проверки у нас было Уведомление о проведении плановой выездной проверки ООО «Эльдорадо» вместе с перечнем документов, который необходимо предоставить сотрудникам Роскомнадзора.
Всего запрашивался 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):
- Уведомление об обработке ПДн
- Документ, определяющий ответственного за организацию обработки ПДн
- Перечень сотрудников, допущенных к обработке ПДн
- Документ, определяющие места хранения ПДн
- Справка об обработке специальных и биометрических категорий ПДн
- Справка об осуществлении трансграничной передачи ПДн
- Типовые формы документов с ПДн
- Порядок уничтожения ПДн
- Порядок передачи ПДн третьим лицам
- Типовая форма согласия на обработку ПДн
- Порядок учета обращений субъектов ПДн
- Перечень информационных систем персональных данных (ИСПДн)
- Документы, регламентирующие резервирование данных в ИСПДн
- Перечень используемых средств защиты информации
- Матрица доступа
- Модель угроз
- Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
- Журнал учета машинных носителей ПДн
Совместно с коллегами из «Эльдорадо» мы подготовили все документы. Все организационно-распорядительные документы уже были сделаны, мы готовили только справки, выписки или копии документов. Комплект получился настолько внушительный, что в итоге сотрудникам Роскомнадзора пришлось делить его на двоих. Кроме того был подготовлен реестр документов, в котором сотрудник РКН должен расписываться за каждый полученный документ. Очень удобная вещь, позволяющая отследить все переданные документы и иметь подтверждение о передаче всех запрошенных документов в Роскомнадзор.
Помимо подготовки документов мы провели инструктаж для сотрудников центрального офиса, участвующих в проверке и взаимодействующих с представителями РКН.:
Сами сотрудники не первый раз сталкиваются с информационной безопасностью (в «Эльдорадо» внедрены процессы менеджмента ИБ и есть действующий сертификат ISO 27001). Они и до этого были подготовлены, освежили информацию в голове, вспомнили нужные определения, перечитали имеющиеся регламенты и инструкции по ПДн, навели порядок на столе. Сотрудники были готовы к предстоящей проверке.
ПОСТАНОВКА В ЧЕТЫРЕХ АКТАХ
Плановая выездная проверка должна была проводиться с 5 по 29 ноября. Надо понимать, что РКН не будет все это время находиться у Оператора, в этом нет особого смысла. Всего было 4 встречи с представителями РКН на территории «Эльдорадо».
Первая встреча состоялась 5 ноября, как и планировалось. Сотрудники Роскомнадзора привезли бумажную версию Уведомления о проведении плановой выездной проверки ООО «Эльдорадо», договорились о дате следующей встречи, очертили масштаб проверки (сразу сказали, что будут проверять центральный офис и несколько магазинов, в итоге остановились на двух) и уехали.
Вторая встреча была основной. В первую очередь сотрудники РКН посмотрели Уведомление оператора и внесенные изменения, среди значимых комментариев были следующие:
- Обработка персональных данных начинается с момента создания организации (то есть регистрации в ФНС), а не с момента подачи Уведомления в Роскомнадзор
- В Уведомлении необходимо указывать все физические адреса Оператора (если они относят к данному юридическому лицу), где ведется обработка ПДн, даже если они находятся в других федеральных округах РФ
- В случае изменения сведений, указанных в Уведомлении, необходимо в течение десяти рабочих дней донести эту информацию до РКН (ФЗ-152, ст. 22, п. 7)
Специалисты Роскомнадзора задавали вопросы по основным отделам, в которых ведется обработка ПДн, для понимания целей обработки в целом. Затем прошлись по всем компаниям, с которыми возникает обмен персональными данными – ЧОП, кадровые агентства, банки, операторы связи, архивное хранение документов. Остановились на камерах видеонаблюдения, мы упомянули новые разъяснения Роскомнадзора, сослались на то, что идентификация человека не производится (соответственно, это не биометрические персональные данные), коллеги из Роскомнадзора согласились, правда, попросили повесить табличку «Ведется видеонаблюдение». Через 10 минут на входе висела табличка с соответствующей надписью.
По информационным системам персональных данных (ИСПДн) запросили перечень, модели угроз на ИСПДн, проект по созданию системы защиты персональных данных и сертификаты на средства защиты информации. Также был вопрос по трансграничной передаче информации по каналам связи. Сотрудники Роскомнадзора понимают, что осуществить обмен зашифрованными данными по каналам, используя ГОСТ 28147-89, с зарубежным государством практически невозможно, поэтому им было достаточно понять, что осуществляется шифрование, и информация не передается в открытом виде.
После ознакомления с документами сотрудники РКН перешли к обследованию на местах. Вся наша большая команда пошла в отдел кадров. Проверяющие посмотрели, где хранятся личные дела и трудовые книжки, убедились, что личные дела действующих работников хранятся отдельно от личных дел уволенных. Руководитель отдела кадров рассказал, как набирают сотрудников, как хранят дела, как происходит удаление персональных данных и при каких обстоятельствах. После этого работникам Роскомнадзора показали, как работает сотрудник отдела кадров: вход/выход из операционной системы, вход/выход из ИСПДн. Также проверяющие попросили сделать скриншоты программ, используемых для обработки ПДн, для подтверждения информации об ИСПДн.
Когда закончили проверять отдел кадров, решено было поехать в ближайший магазин «Эльдорадо» и проверить, как там производится обработка ПДн. В магазине ведется очень ограниченная обработка персональных данных, в основном это анкеты клиентов, которые хранятся в бумажном виде и заносятся в базу клиентов, которая не хранится локально. Анкеты хранятся в коробках, в защищаемых помещениях. Хранить каждую анкету в отдельном файле не нужно в соответствии с ПП-687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Затем работники Роскомнадзора посмотрели, как работает сотрудник магазина за компьютером: вход/выход из системы, вход/выход из ИСПДн, скриншоты используемых программ.
В рамках третьей встречи проверяли еще один магазин, который находился недалеко от Управления Роскомнадзора. Проверка проходила также как и в первом магазине, принципы организации магазинов «Эльдорадо» одинаковые, вне зависимости от размеров, поэтому подходы и способы обработки ПДн точно такие же. Проверяющие убедились в этом достаточно быстро, на этом проверка в магазине закончилась.
В ходе проверки было запрошено еще большее количество документов (чем изначальный перечень из 31 документа), это различные регламенты, справки, выписки, договоры, в итоге общее количество перевалило за сотню. Роскомнадзор был доволен, что под каждым словом был документ.
На этом проверка оператора заканчивается.
РЕЗУЛЬТАТЫ
По результатам проверки Роскомнадзора передал компании «Эльдорадо» следующие документы:
- Акт проверки (с выявленными нарушениями)
- Справка о результатах плановой выездной проверки
- Предписание об устранении двух незначительных несоответствий, которое было исполнено в течение месяца после получения
«Результаты проверки оказались положительными. Роскомнадзор подтвердил, что мы выполняем требования ФЗ-152. Со своей стороны могу добавить, что мы понимаем, насколько важно обеспечить защиту персональных данных наших клиентов и работников компании, и прикладываем все усилия для создания современной и надежной системы управления информационной безопасностью, соответствующей как лучшим мировым практикам, так и нормативным актам РФ», – подытоживает Константин Коротнев, менеджер по информационной безопасности компании «Эльдорадо».
ВЫВОДЫ
Представители Роскомнадзора не ставят перед собой задачу закрыть компанию. Происходит конструктивный диалог, в рамках которого можно и нужно отстаивать свою позицию, для этого есть все необходимые инструменты в виде нормативных документов по персональным данным. Все в ваших руках.
Позвольте представиться. Меня зовут Василий. Я уже более 15 лет являюсь частным предпринимателем. Я считаю, что в настоящее время являюсь профессионалом в своей области и хочу помочь всем посетителям сайта решать сложные и не очень задачи. Все данные для сайта собраны и тщательно переработаны для того чтобы донести в удобном виде всю требуемую информацию. Однако чтобы применить все, описанное на сайте всегда необходима консультация с профессионалами.