Готуємося до перевірки РКН щодо персональних даних. Частина 2. Види перевірок
У першій частині ми розібралися, чому потрібно потурбуватися підготовкою до перевірки РКН по виконанню законодавства про захист персональних даних прямо зараз. Тепер, перш ніж ми перейдемо до безпосередніх кроків по підготовці, давайте подивимося, які види перевірок бувають і як проходить типова перевірка.
В цілому, перевірки можна розділити на 2 види: документарні та виїзні. Спочатку розповім про документарних. Документарна перевірка найчастіше починається з того, що в організацію приходить лист з місцевого управління Роскомнадзора з будь-яким вимогою. Якщо ви, наприклад, не подавали повідомлення про внесення до реєстру операторів персональних даних, то вам можуть нагадати, про те, що непогано б повідомлення про втрату чинності все-таки подати. Адже закон вимагає. Або обгрунтувати, чому ваша організація може обробляти персональні дані без повідомлення (в 152-ФЗ передбачено низку винятків). Якщо повідомлення ваша організація подавала, то вам можуть нагадати про те, що в реєстрі час від часу з'являються нові поля і їх теж необхідно заповнювати. Наприклад, необхідно вказати місцезнаходження Цода і чи є він орендованих або власних - так-так, база даних 1С на комп'ютері головбуха в розумінні Роскомнадзора це ЦОД . Ну і, нарешті, вас можуть попросити надіслати поштою копії документів, що регламентують захист персональних даних в організації - накази, інструкції, модель загроз і ось це все. Про документи, їх склад і зміст я розповім в наступних статтях.
Отже, ви отримали такий лист від Роскомнадзора, що робити?
Насправді тут простіше сказати чого категорично не слід робити - ігнорувати ці листи. На жаль, на практиці багато хто вступає саме так. Хтось забуває відповісти, хтось не знає, що писати у відповідь і не відповідає, хтось сподівається, що про них забудуть і все спуститься само собою на гальмах. Ні, не спуститься і не забудуть! Може у якихось відомств і поширена така практика - написати лист в організацію «для галочки» і забути, але тільки не у Роскомнадзора. Тому відповідати потрібно в установлений в листі термін, інакше організація буде покарана за статтею 19.7 КоАП РФ «Неподання або несвоєчасне подання відомостей інформації до державного органу». Просто зайдіть на сайт свого регіонального управління Роскомнадзора (% номер _регіона% .rkn.gov.ru) в розділ «Новини». Швидше за все, добра половина новин буде про притягнення юридичних осіб до відповідальності за тією самою статтею 19.7 КоАП РФ. Причому в кожній новині може фігурувати до 10-15 організацій. Ось це і є всі ті бідолахи, які думали, що «проканает» не реагувати на листи. В принципі штраф невеликий - 3-5 тисяч рублів. Але якщо ви і готові розщедритися, то потрібно пам'ятати по-перше про репутаційні ризики (про вашу організацію обов'язково напишуть в новинах сайту Роскомнадзора), по-друге, про те, що після того як ви заплатите штраф, витребувані відомості все одно доведеться надати. Нижче наводжу скріншот сайту Управління Роскомнадзора по Приморському краю на момент написання цієї статті.
Якщо за змістом надісланого вам листа щось незрозуміло, то в кінці завжди зазначений виконавець листи і його контактні дані. Завжди можна зателефонувати і уточнити, що ж регулятор все-таки від вас хоче.
Про документарні перевірки, мабуть, додати нічого, перейдемо до виїзних.
Із самої назви вже стає ясно, що перевіряючі при таких перевірках як мінімум два-три рази виявляться на вашій території. З особистого досвіду можу сказати, що процес перевірки виглядає приблизно так:
- перевіряючі приїжджають в організацію, знайомляться з керівником, вручають йому повідомлення про перевірку, роблять запис у журналі перевірок юридичної особи контролюючими органами;
- потім представники РКН просять надати документацію, яка є в організації із захисту персональних даних, тут-то ви і тягніть всю цю гору документів - накази, інструкції, положення, політики, модель загроз;
- побіжно ознайомившись зі складом документів перевіряючі або просять виділити їм приміщення, де вони будуть їх вивчати, або просять надати копії всіх документів (можна заздалегідь підготувати) і видаляються з копіями в свої кабінети вивчати надану вами інформацію;
- в процесі ознайомлення з документами можуть виникати питання щодо їх утримання або побажання щодо внесення в них будь-яких змін;
- в один з днів перевірки, представники РКН обов'язково пройдуться по кабінетах, де обробляються персональні дані, оглянуть місця зберігання ПДН на паперових носіях - шафи, сейфи, полки (тут напевно вам натякнути на необхідність придбання замикаються залізних шаф, якщо ПДН зберігаються якось інакше ), також можуть подивитися інформаційну систему;
- в кінці перевіряючими робиться запис в тому ж журналі обліку перевірок про підсумки перевірки (виявлені зауваження чи ні) і вручається акт за підсумками перевірки.
Тут, мабуть, варто розповісти про те, що потрібно пам'ятати під час проведення виїзної перевірки.
По-перше, ні в якому разі не потрібно йти з перевіряючими на конфлікт і як-небудь перешкоджати проведенню перевірки. Так, перевіряючі теж люди і теж можуть помилятися. Яскравий приклад такої помилки, пов'язаної з надмірним захопленням заборонами всього і вся трапилася у нас в Приморському краї зовсім недавно. Так, синдром вахтера ніхто не відміняв, і в процесі перевірки можуть пред'являтися зовсім протиправні і необгрунтовані вимоги. Але це ніяк не скасовує простих правил людського спілкування. Якщо ви з чимось не згодні, висловіть це спокійно, а краще буде зовсім проігнорувати. Чому? Читаємо далі.
По-друге, будь-які претензії будуть висловлені перевіряючими під час перевірки, важливо тільки те, що буде написано в акті за підсумками проведеної перевірки. Наведу простий приклад, на одній з перевірок представники РКН стверджували, що необхідно розділяти інформаційні системи персональних даних «Бухгалтерія» і «Кадри» і в документах відповідно їх описувати окремо. Вимога абсолютно нічим не підкріплено законодавчо, оскільки ніщо нам не забороняє об'єднувати інформаційні системи і описувати їх так, як ми це самі захочемо. Ми можемо в лікувальному закладі об'єднати документально систему з медичними даними з тими ж кадробухамі, і сказати, що це у нас одна ІСПДн. Правда в цьому випадку потрібно пам'ятати, кадробухов доведеться захищати за більш високим рівнем захищеності персональних даних, який буде визначений для частини інформаційної системи з медициною. Але бухгалтерію відокремлювати від кадрів і для кожної системи окремо плодити гори наказів, інструкцій і моделей загроз навіть з точки зору здорового глузду не зовсім розумно. Так ось, головне в цій історії те, що в акті за підсумками перевірки було написано «порушень законодавства не було виявлено». І це перекреслює всі словесні зауваження перевіряючих.
По-третє, обов'язково необхідно проінструктувати всіх своїх співробітників, що беруть участь в обробці будь-яких персональних даних що можна, а що не можна робити і говорити під час перевірки. Наприклад, можна обробляти ПДН відповідно до інструкцій і правил, але не можна розкидати на робочому столі копії паспортів співробітників.
Як я вже писав в одній зі своїх статей на Хабре , В деяких регіонах у наявності введення паличної системи, тобто якщо до вас прийшла перевірка, то вас швидше за все покарають, знайдуть причину. Тому, можливо, в організації варто заздалегідь заготовити енну суму на оплату штрафу або готуватися оспорювати правомірність розпорядження в суді. І, може бути, варто навмисно залишити порушення на самому видному місці, щоб перевіряючі не стали копати занадто глибоко Але справедливості заради, слід зазначити, що така ситуація далеко не у всіх регіонах.
запис Готуємося до перевірки РКН щодо персональних даних. Частина 2. Види перевірок вперше з'явилася Блог про інформаційну безпеку .
Отже, ви отримали такий лист від Роскомнадзора, що робити?Чому?