- PVSM.RU - https://www.pvsm.ru -
Дед Роскомнадзор весь год ищет операторов персональных данных, которые с точки зрения закона «плохо себя ведут», и выписывает им предписания. В этой статье мы хотели бы рассказать о том, как это происходит, а ещё немного раскрыть планы «дедушки» на 2018 год. Чудесно, если это кому-то поможет подготовиться заранее и избежать проблем.
Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора: защита прав субъектов персональных данных; контроль и надзор за соответствием обработки персональных данных требованиям законодательства. Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.
Роскомнадзор:
Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг.
Срок рассмотрения обращения — 30 календарных дней, за исключением случаев, установленных в законе. Сейчас в Правительстве ждет утверждения проект нового Административного регламента. Но на данный момент Роскомнадзор проводит проверочные мероприятия на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ № 312 от 14.11.2011 года. В рамках деятельности по контролю и надзору за порядком обработки персональных данных Роскомнадзор осуществляет плановые и внеплановые проверки.
Плановые проверки проводятся на основании ежегодного плана, с ним можно ознакомиться по ссылке rkn.gov.ru/plan-and-reports [1]
План проверок на следующий год обычно размещают на сайтах территориальных управлений в середине декабря текущего года. Так как с 1 сентября 2015 года Роскомнадзор не согласовывает планы проверок по персональным данным с Прокуратурой, то на сайте последней в сводном плане проверок по всем органам проверок по данной тематике нет. В действующем Административном регламенте сказано, что о проведении плановой проверки территориальное управление Роскомнадзора обязано уведомить вас не позднее, чем в течение трех рабочих дней до начала ее проведения.
Предметом проверки Роскомнадзора являются:
Соответственно, Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его главная задача — проверка правовых оснований обработки персональных данных. Вопреки расхожему мнению, положения, инструкции, приказы и прочие документы не являются самым главным объектом проверок. Уполномоченный орган больше интересуют сами персональные данные и соответствие объема этих данных целям обработки.
В уведомлении о плановой проверке, как правило, написано, что проверяемое лицо должно представить:
Всего запрашивается примерно 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):
В план проверок включают юридических лиц, которые подали Уведомление об обработке персональных данных в реестр операторов, и тех, кто этого не сделал. То есть могут проверить всех. Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней.
Внеплановые проверки бывают документарные и выездные. Документарные проводятся в форме запроса Роскомнадзором необходимых документов и предоставления вами этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом. Обычно это делается по телефону или по факсу.
Такие проверки могут проводиться в большинстве случаев по следующим основаниям:
Еще один вид контроля — мероприятия систематического наблюдения. Основное отличие —
мероприятия осуществляются без взаимодействия с проверяемыми лицами. В последние годы это самый популярный вид контроля за порядком обработки персональных данных. Популярность таких мероприятий вызвана тем, что трудозатраты территориальных управлений на их проведение куда меньше плановых проверок, а эффективность намного больше. За небольшой период времени каждое территориальное управление Роскомнадзора может проверить десятки или даже сотни организаций, начав как правило с проверки их интернет-сайтов.
Понятие «мероприятия по систематическому наблюдению» добавилось в 2015 году. Систематическое наблюдение опасно тем, что оповещать о нём компанию никто не обязан. По результатам, если выявлены нарушения, проводится внеплановая проверка в соответствии с «Административным регламентом». Мероприятия систематического наблюдения проводятся на основании приказа руководителя территориального органа и закрепляются в ежегодном плане деятельности территориального управления на следующий год. Мы проанализировали данные доступные на сайте Роскомнадзора. Вот некоторые интересные результаты:
Всего запланированы мероприятия в отношении около 900 операторов ПДн. По географическому признаку — это самые различные организации «от Клининграда до Владивостока». Для выявления наиболее «проверяемых» отраслей мы воспользовались сведениями об основном виде деятельности компаний по ОКВЭД.
В планах лидируют «традиционные» для проверок РКН отрасли: образование, медицина, туризм и управляющие компании.
Около 38% операторов в планах мероприятий по систематическому наблюдению — государственные организации. Соответственно на долю коммерческих организаций приходится более 62% мероприятий. Практически 99,8% — это юридические лица, а не индивидуальные предприниматели.
Чтобы как-то описать размеры компаний, которые в 2018 году попадут под систематическое наблюдение, мы воспользовались информацией об размерах их уставного капитала как косвенным признаком.
В планах РКН компании всех размеров
Самым популярным нарушением, выявляемым в ходе мероприятий систематического наблюдения, является отсутствие на сайте документа, определяющего политику оператора в отношении обработки персональных данных, если на сайте выявлен случай сбора персональных данных (например, формы заявки, регистрации или обратной связи с определенным набором запрашиваемых сведений).
Также Роскомнадзор может запросить правовые основания для размещения чьих-либо персональных данных. Такие запросы уже поступали, например, в образовательные организации, когда на их сайте размещали персональные данные о школьниках и их успехах в олимпиадах. Так что, размещая персональные данные своих работников или иных лиц на сайте, проконтролируйте соблюдение требований закона [2].
Обработка персональных данных — это каждодневная деятельность любого юридического лица. Мы постоянно работаем с данными наших работников и клиентов (пациентов, студентов, покупателей, заявителей, пользователей сайта, заемщиков, страхователей, посетителей зрителей и пр.). Одни и те же данные одного и того же человека мы обрабатываем в разных случаях. И взятое в одном случае согласие — на другой может не распространяться.
Соответственно, чтобы предотвратить негативные последствия, мы должны обратить внимание на правовую основу обработки персональных данных в каждом конкретном случае обработки, т. е. понять, есть ли у нас договоры, согласия или даже нормативные акты, которые Роскомнадзор признает при проверке законным основанием для обработки персональных данных. А проверка может возникнуть в любой момент. Например, у вас есть сайт. Вы собираете на нем данные через различные формы. Соответственно, вас могут проверить в ходе мероприятий систематического наблюдения, или в случае, если какой-нибудь посетитель вашего сайта подаст на вас жалобу. Также вами может быть недоволен ваш клиент или работник (бывший тоже может), которые имеют возможность пожаловаться в Роскомнадзор, и тот в свою очередь обязан на такие жалобы реагировать. Так что ваша задача — обеспечить правовую основу для каждого случая обработки.
Административная ответственность за нарушение законодательства в области персональных данных установлена статьей 13.11 КоАП РФ. Штрафы для юридических лиц за каждое нарушение, установленное статьей 13.11, варьируются от 15 000 до 75 000 рублей.
В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86:
«работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области».
Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.
Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.
Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке.
В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн) и требования к защите персональных данных в ИСПДн. Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования.
В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий. Во исполнение этого требования у нас появились:
Фактически между ФСБ И ФСТЭК разделили полномочия в этой сфере, где ФСБ определяет меры по защите ИСПДн при использовании в них средств криптографической защиты, а ФСТЭК — меры по всем остальным вопросам обеспечения безопасности.
В части 8 статьи 19 федерального закона «О персональных данных» закреплен важный момент:
«Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».
Выходит, ФСБ и ФСТЭК могут проверять только организации, эксплуатирующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен. Сказано лишь, что ФСТЭК И ФСБ
«решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».
Проверки ФСТЭК и ФСБ могут быть как плановыми, так и внеплановыми.
В рамках проверок ФСБ обращает внимание на:
В рамках проверок ФСТЭК обращает внимание на:
После вступления в силу поправок в статью 13.11 КоАП РФ контрольно-надзорная деятельность не изменится кардинально, но из-за существенного увеличения штрафов изменится подход организаций к выполнению требований закона и к подготовке к проверкам. Если раньше организации считали, что проще ничего не делать и можно ждать вероятную проверку и по ее итогам заплатить небольшой штраф (до 10 000 рублей), то теперь компании будут бороться за свои права, а значит, это положительно повлияет на довольно неоднозначную судебную практику по данным вопросам.
Хуже всего приходится тем организациям, начало проверок для которых приходится на самое начало года. У них минимальный запас времени для подготовки к проверке или наблюдению. Однако, стоит помнить, что обработка ПДн также может осуществляться лицом по поручению оператора. При автоматизированной обработке можно обратиться к нам и избавить себя хотя бы от части головной боли по вопросу соответствия и сократить свои издержки. Мы предлагаем несколько решений, позволяющих приблизится к образу «идеального оператора», основное из них — «Облако ФЗ 152» [3].
Источники:
rkn.gov.ru [4]
fstec.ru [5]
www.fsb.ru [6]
www.anti-malware.ru [7]
Автор: Cloud4Y
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/271758
Ссылки в тексте:
[1] rkn.gov.ru/plan-and-reports: https://rkn.gov.ru/plan-and-reports/
[2] соблюдение требований закона: https://habrahabr.ru/company/cloud4y/blog/343378/
[3] «Облако ФЗ 152»: https://cloud4y.ru/cloud-hosting/oblako-fz-152/
[4] rkn.gov.ru: https://rkn.gov.ru
[5] fstec.ru: https://fstec.ru/
[6] www.fsb.ru: http://www.fsb.ru/
[7] www.anti-malware.ru: https://www.anti-malware.ru
[8] Источник: https://habrahabr.ru/post/345928/?utm_source=habrahabr&utm_medium=rss&utm_campaign=345928
Нажмите здесь для печати.