Month: Ноябрь 2016

Особенности проверок Роскомнадзора в 2016 году

В 2006 году был издан закон №152-ФЗ «О персональных данных». Он определил ответственность компаний за деятельность по работе с персональными данными людей.

Несмотря на то, что закон был принят более 10 лет назад, для многих компаний проверки Роскомнадзора, представляются сложной и непонятной процедурой с неизвестным итогом.

Почему компании так боятся проверок?

  • В 2015 году вступил в силу закон ФЗ-242, который расширил полномочия Роскомнадзора по проведению проверок. Проверки теперь регулируются только административным регламентом Роскомнадзора, так как ФЗ-242 вывел проверки на соблюдение закона о персональных данных из-под действия ФЗ- 294 о защите прав юрлиц и ИП при проверках.
  • Вступили в силу требования о локализации баз данных на территории Российской Федерации, который добавил сложностей компаниям.
  • К плановым проверкам сложно подготовиться. Обычно в России в год проходят тысячи таких проверок. Несмотря на то, что сроки известны, но порой найти даты проверки, а также узнать, как проходит подготовка и что нужно сделать, затруднительно. Информации для подготовки в интернете мало или она устарела.
  • Роскомнадзор проводит внеплановые проверки. Например, по заявлению гражданина о нарушении его прав в данной компании. В этом случае сотрудники Роскомнадзора приходят неожиданно и просят предоставить документацию согласно закону в кратчайшие сроки. Что именно нужно предоставить, а главное, как это подготовить за 1 сутки, сотрудники компании не знают.
  • Законодательство в сфере защиты персональных данных постоянно меняется. Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу. В 2017 году вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и обработкой персональных данных должников.
  • Роскомнадзор в равной степени проверяет как крупные компании, так и микропредприятия, индивидуальных предпринимателей или представителей малого и среднего бизнеса. А значит, что от проверки не застрахован никто.
  • Штрафы за нарушение закона высоки. И в 2017 году планируется принять новый кодекс об административных правонарушениях (КоАП), который ужесточит наказания за нарушения в части роста количества штрафов и их размера — вплоть до 300 000 рублей.
  • С 2016 года Роскомнадзор стал запрашивать больше информации (около 30 документов), а проверки стали объемнее и тщательнее. Так, например, стали проверять информационные системы непосредственно, а не по скриншотам форм, страниц и полей, как было ранее.
  • Метаданные (IP, местонахождение, cookies и др.) являются тоже персональными данными, поэтому теперь нужно брать разрешение на их обработку с пользователей.
  • Уровень проверок стало более детальным. Эксперты с учетом прошлых проверок теперь хорошо разбираются в особенностях IT-систем, бизнес-процессов, интернет-сервисов.

Для того чтобы избавиться от страхов, необходимо обратиться за помощью к экспертам и вовремя подготовить документы.

При проверках Роскомнадзор руководствуется своим регламентом, размещенном на сайте, а также сложившейся практикой. В конце 2016 — начале 2017 года будет принят законопроект, который позволит Роскомнадзору самому определять порядок проверок. Минусы этого закона для компаний в том, что данный орган по сути никто не будет контролировать.

В данной статье мы расскажем вам об особенностях проверок и о том, к чему вам готовиться.

Итак разберем виды проверок:

  1. Плановая проверка проводится в конце года, предшествующего году проверки по истечении трех лет с момента регистрации компании или индивидуального предпринимателя, либо с момента последней проверки. План проверок выкладывается на сайтах территориальных органов Роскомнадзора. При этом с 2016 года РКН перестал предоставлять планы проверок в Прокуратуру, поэтому найти из через порталы прокуратуры не получится.

Плановые проверки бывают двух типов:

  • Выездные проверки проводят не менее двух представителей Роскомнадзора, которые выезжают в офис проверяемой компании, изучают обстановку, общаются с ответственным лицом и другими сотрудниками компании, забирают запрошенные ранее документы и уезжают. Если проверяемая компания крупная — представители Роскомнадзора выезжают на ее объекты чаще одного раза за проверку.
  • Документарные проверки проводятся удаленно через запрос необходимых документов. Их оператор персональных данных направляет в Роскомнадзор по электронной почте для анализа.
  1. Внеплановая проверка проводится только на выезде с обязательным уведомлением компании о посещении не менее чем за сутки.

Выезд сотрудников с внеплановой проверкой происходит по следующим основаниям:

  • физические или юридические лица (пользователи, клиенты, конкуренты и т.д.) подали жалобу на компанию в Роскомнадзор, где рассказали о нарушениях прав субъектов персональных данных;
  • по требованию прокурора (в органы прокуратуры поступили материалы и обращения о нарушении законодательства по персональным данным);
  • представители Роскомнадзора увидели информацию о нарушениях в СМИ, либо получили ее от государственных органов (например, Трудовой инспекцией);
  • компания не устранила обнаруженные нарушения в установленный в предписании срок, либо компания не уведомила об этом надзорный орган;
  • Президент или Правительство поручили провести проверку;
  • компания-оператор персональных данных предоставила неполные/недостоверные ответы на запросы Роскомнадзора, либо не ответила в течение 30 дней;
  • в ходе мероприятий систематического наблюдения были обнаружены нарушения законодательства;
  • сведения в уведомлении об обработке персональных данных компанией не соответствуют действительности (например, адрес местонахождения баз данных).
  1. Мероприятия систематического наблюдения также проводятся представителями Роскомнадзора в режиме онлайн в рамках целой отрасли. В ходе наблюдения анализируют изменения в ЕГРЮЛ, актуальность сведений о базах данных в уведомлениях, изучают сайт компании, отзывы в интернете, в СМИ. На основании этих факторов делают вывод, может ли компания потенциально нарушать закон. В случае подозрений сотрудники Роскомнадзора письменно просят дать разъяснения. Если ответ был несвоевременный или неполный, то представители Роскомнадзора могут инициировать внеплановую проверку и наложить штрафы. Это способ контроля Роскомнадзором выполнения требований законодательства, который начал активно применяться с 2015 года.

Что проверяет Роскомнадзор

С 2015 года Роскомнадзор запрашивает информацию блоками, изучая их в офисе компании последовательно в разные дни:

  1. Общие вопросы. Сюда входят регистрационные данные организации, категории обрабатываемых персональных данных, цели этих действий, системы, где происходит хранение и передача сведений, документация, касающаяся работы с персональными данными.
  2. Кадровый блок. К нему относятся методы подбора персонала, формы согласия на обработку персональных данных, получаемых от клиентов и сотрудников, все справки и договоры о порядке получения и хранения сведений от субъектов персональных данных.
  3. Информационные системы персональных данных. Здесь Роскомнадзору понадобится информация обо всем программном обеспечении, используемом для обработки персональных данных, его подробное описание и назначение, операции, совершаемые им, а также сведения о создании, хранении и уничтожении резервных копий.
  4. Интернет-сервисы. Сюда относят информацию о веб-ресурсе предприятия, его базах данных, используемых на нем системах сбора и обработки персональных данных, статистике посещений как через браузер, так и с помощью мобильных приложений.

Ссылка на список запрашиваемых документов.

Давайте рассмотрим некоторые блоки более подробно.

Информационные системы

В этом блоке проверяют все IT-системы, где происходят действия с персональными данными. Практически всегда специалисты запрашивают не просто устное описание программы и ее функций, а блок-схему работы ПО, хранения персональных данных. Выглядеть она может, например, таким образом: подробный разбор того, как персональные данные попадают в систему, путь, по которому проходит информация во время обработки, передача личных сведений конечному пользователю.

Также запрашивается документальная информация обо всех участниках процесса. Особо внимательно эксперты изучают роль трансагентов: необходимо как можно подробнее объяснить, каким образом они получают информацию и для каких целей. Часто требуются договоры с этими партнерами.

Еще один важный момент — необходимо документально подтвердить место, где находится система обработки персональных данных. Также надо быть готовым к тому, что Роскомнадзор может напрямую запросить сведения о локализации IT-службы или базы данных у поставщика этих услуг.

Стоит иметь в виду, что инспекторы могут потребовать наглядно продемонстрировать работу информационной системы. Для этого необходимо, чтобы ваш сотрудник в присутствии специалиста Роскомнадзора показал все операции, совершаемые с персональными данными: получение, обработку, передачу, уничтожение и т.д. Кроме того, могут быть запрошены скриншоты, чтобы убедиться, что заявленный в документах объем личной информации соответствует фактическому.

Помните, что эксперты проверяют не только основную базу данных, но и все сопутствующие ей системы: мобильные приложения, сайты, сведения из Яндекс.Метрики и Google Analytics, Flurry, рекламных систем. Для них используются все вышеописанные методы анализа: составление блок-схем, изучение местонахождения, ручная проверка. Для веб-ресурса также могут запросить информацию о том, на чем он написан и кем поддерживается.

Отдельное внимание стоит обратить на почтовые сервисы. Они не являются системой обработки персональных данных до тех пор, пока электронная почта не используется для сбора личных сведений (например, для приема откликов на вакансии).  

С недавних пор все IP-адреса, сведения из cookie-файлов и мобильных приложений также относятся к персональным данным. При работе с ними необходимо следить за соблюдением требований закона.

Процессы обработки персональных данных

Здесь Роскомнадзор изучает действия, связанные с персональными данными.

Основная цель — понять все происходящие в организации процессы по обработке личных сведений. Для этого специалисты могут потребовать подробное описание всех работ, проводимых с персональными данными и детально рассказать о каждом его этапе – сборе, удалении, пересылке и т.д.

Если какое-либо действие выходит за рамки обязанностей оператора, то в этом случае  Роскомнадзор может потребовать предоставить блок-схему этого процесса. Также проверяется цель обработки персональных данных и ее соответствие заявленной в документации.

Документарная проверка

На этом этапе происходит изучение и анализ всех корпоративных актов, справок и договоров, относящихся к персональным данным. Кроме документов, указанных в первоначальном запросе, необходимо предоставлять подтверждающие бумаги на для подтверждения всех заявленных фактов в ходе дальнейшей инспекции.

В этом году особо часто Роскомнадзор запрашивал информацию о том, кто имеет доступ к персональным данным, а также детально изучал документы о текущей деятельности компании и требовал много дополнительных данных по этому вопросу.

Отдельное внимание уделяется передаче персональных данных третьим лицам и получению данных от третьих лиц. Например, подрядчикам (дилерские центры, банки, IT-системы, системы бронирования отелей, кадровые службы и пр.). Особенно в США. Это связано с тем, что Роскомнадзор считает, что Соединенные штаты не способны как следует защитить информацию, и поэтому такую пересылку можно делать только с согласия владельца персональных данных. Кроме того, инспекторы интересуются целью передачи личных сведений за рубеж.

Напомним, что эксперты имеют право смотреть сами персональные данные.

Рекомендуем подготовить как можно больше запрашиваемых документов до начала проверки. В ходе мероприятия, скорее всего, понадобится предоставить много дополнительной информации, и заниматься сбором основных сведений просто не будет времени.

Как и в какие сроки проводится проверка

Проверки длятся 30 календарных  дней в зависимости от размера бизнеса. У Роскомнадзора есть возможность продлить проверку еще на 30 календарных дней. Но общая длительность не должна превышать 60 рабочих дней.

Перед проверкой регулятор посылает в компанию уведомление в виде копии приказа почтой или иным доступным способом, например, на официальный e-mail, курьером.

Если проверка плановая или внеплановая документарная, уведомление придет не менее чем за трое суток перед проверкой. Если проверка внеплановая выездная, компанию обязаны предупредить не менее чем за сутки.

В уведомлении будет указаны ФИО проверяющих, даты и тип проверки, к нему прилагается перечень необходимых документов и протокол запрашиваемой информации. Перечень вопросов, запрашиваемых документов и сведений может отличаться, и не всегда понятно, какая информация требуется.

Роскомнадзор имеет право переносить начало выездной проверки. Например, приехать не в первый день проверки, а на седьмой, или даже ближе к концу.

В офисе

Первый визит обычно не очень длительный: инспекторы просто придут и заберут всю подготовленную информацию для анализа. Именно поэтому лучше готовить ее заранее и как можно детальнее.

В офисе компании представители общаются с сотрудниками, осматривают территорию, помещения, особое внимание уделяют хранению персональных данных на бумажных носителях. Им важно понять, как в компании хранятся и обрабатываются данные, кто к ним имеет доступ, в каком виде они хранятся и где.

Компания предоставляет регулятору данные в виде заверенных копий документов, шаблонов, форм договоров и информационных писем.

После визита

После визита в офис и запроса документов представители регулятора анализируют полученную информацию. В том случае, если представленных фактов недостаточно, специалисты будут запрашивать дополнительные документы и задавать уточняющие вопросы. Так будет до тех пор, пока инспекторы полностью не составят полную картину по процессам обработки персональных данных в компании.

Роскомнадзор может сообщать о каких-то нарушениях еще в ходе проверки. Например, сказать, каких документов не хватает, какие не соответствуют требованиям, что они требуют сделать. После проверки представители Роскомнадзора составляют и вручают акт о проведенной проверке и ее итогах. Если были выявлены нарушения, они выдают предписания их устранить, составляют протоколы об административных правонарушениях и пересылают в органы прокуратуры.

Таким образом, возможны три исхода проверки:

  1. Нарушений не выявлено.
  2. Проверка продлена для выяснения дополнительных деталей.
  3. Обнаружены нарушения. На их устранение дается от 1 до 6 месяцев. Общение с Прокуратурой, суд, уплата штрафа.

Основные нарушения за последний год:

  1. Отсутствие разрешения на передачу данных третьим лицам.
  2. Не удаление персональных данных по окончанию срока их обработки.
  3. Неактуальные сведения в Реестре операторов персональных данных.
  4. Отсутствие разрешения на передачу персональных данных за рубеж.
  5. Отсутствие локальных актов на обработку персональных данных.
  6. Расположение баз данных за пределами РФ.

Подводим итог

Проверка Роскомнадзора — сложное и долгое мероприятие, требующее большой подготовки. Важно помнить несколько моментов, чтобы значительно облегчить процесс ее прохождения. Начните следовать нашим рекомендациям прямо сейчас:

  1. Решите вопрос локализации данных в России. Нерешенный вопрос парализует ваш бизнес не менее чем на 1 месяц. Если данные все же уходят за рубеж, берите разрешение с пользователей прямо сейчас.
  2. Проведите аудит взаимоотношений с подрядчиками, с которыми вы обмениваетесь данными. Нужен пункт в договоре или разрешение от каждого пользователя.
  3. Почистите информационные системы от устаревших персональных данных.
  4. Проверьте актуальность подготовленных вами документов по ФЗ-152 с учетом нововведений.
  5. Актуализируйте информацию в Реестре операторов персональных данных.
  6. Готовьте все необходимые документы заранее в момент завершения каких-либо внутренних работ, связанных с персональными данными (например, создания веб-сайта). Тогда не придется эти же сведения собирать в срочном порядке за пару дней до приезда инспекции.
  7. Соберите документы для проверки заранее. Как только было получено уведомление о предстоящем мероприятии, нужно тут же начинать сбор документации. Позже времени уже не будет, так как специалисты потребуют еще больше дополнительных сведений.
  8. Сотрудничайте с Роскомнадзором. Не стоит забывать, что инспекторы просто делают свою работу. Чем более детальную информацию вы им дадите, тем быстрее закончится проверка. Соблюдайте сроки и будьте открытыми.

Если вы не еще не подготовили документы или хотите их актуализировать, обратитесь за консультацией к нашей службе Экспертной поддержки  support@b-152.ru

Понравился материал?
Поделитесь им с коллегами и друзьями

Linkedin: казнить нельзя помиловать!

Деловая социальная сеть Linkedin будет внесена Роскомнадзором в Реестр нарушителей прав субъектов персональных данных и заблокирована на территории России.

Гражданский иск был подан Роскомнадзором на социальную сеть еще летом, и в августе суд признал, что Linkedin нарушает права субъектов персональных данных (физических лиц). Нарушение связано с тем, что социальная сеть без согласия на обработку персональных данных собирает и иными способами обрабатывает персональные данные физических лиц, которые не зарегистрированы в социальной сети (пользователи Интернета, зашедшие на сайт), а именно данные из cookie.
Также социальная сеть нарушила требования по локализации баз персональных данных на территории России, как это сделали Samsung, Apple, Google, Booking.com и другие международные ИТ-компании.

Ссылка на решение суда

Апелляция Linkedin, рассматриваемая Таганским районным судом г. Москвы 10 ноября этого года, была отклонена, и социальную сеть ждет блокировка.
Ранее рассматривались 2 варианта развития событий:

1) Linkedin будет общаться с представителями регулятора, намереваясь договориться о локализации и выполнении требований закона №152-ФЗ «О персональных данных». О таком намерении социальной сети упоминали СМИ на прошлой неделе.

2) Роскомнадзор все же заблокирует социальную сеть и только после этого будет разбираться. Представители Роскомнадзора в конце прошлого года и начале этого заявляли, что будут общаться со всеми международными компаниями и сервисами, с целью помочь выполнить требования закона о локализации персональных данны. Но, видимо, такая тактика не принесла должных результатов.

Однако сегодня стало известно, что что социальная сеть Linkedin все же начала блокироваться в России.
«На основании вступившего в законную силу решения суда социальная сеть LinkedIn внесена в реестр нарушителей прав субъектов персональных данных и направлена для блокировки операторам связи», — говорится на сайте Роскомнадзора.
Первым ограничил доступ к Linkedin оператор связи Ростелеком.

Понравился материал?
Поделитесь им с коллегами и друзьями

Зачем необходимо обновлять документы по персональным данным?

Всегда стоит помнить, что обновлять документы по персональным данным необходимо не время от времени, а на ежегодной основе.

Почему? Расскажем вам о наиболее важных причинах.

1. Участились внеплановые проверки Роскомнадзора в ответ на жалобы физических лиц.

С 2009 года доля обращений граждан, касающихся вопросов защиты персональных данных, ежегодно увеличивается. В 2015 году в Роскомнадзор и территориальные органы поступило 33 000 обращений граждан по поводу нарушений в обработке персональных данных. Таким образом, по сравнению с 2014 годом число обращений возросло в 60,4% c 20 389 до 33 000. Аналогичная тенденция наблюдается в 2016 году.

Обращения граждан касаются не только крупных и государственных учреждений, но и микропредприятий и компаний малого и среднего бизнеса:

Статистика обращений с разбиением по типу организаций, к которым обращаются

Таким образом, от внеплановой проверки не застрахована ни одна компания. На каждую жалобу Роскомнадзор должен отреагировать незамедлительно и обратиться за разъяснениями в компанию, на которую написана жалоба. Она, в свою очередь, должна в кратчайшие сроки предоставить актуальный пакет документов по защите персональных данных. Формально о внеплановой проверке Роскомнадзор уведомляет не менее чем за сутки. За это время обновить документы, составленные год и более назад, просто невозможно, поэтому необходимо позаботиться о том, чтобы документы всегда соответствовали требованиям закона.

2. С 2016 года Роскомнадзор стал запрашивать больше информации, а проверки стали объемнее и тщательнее.

Список запрашиваемых документов и сведений в 2016 году при проверках Роскомнадзора в области персональных данных существенно вырос.

Это обусловленно тремя факторами:

  • Роскомнадзор стал осуществлять проверки по-своему, т.к. с 01.09.2015 года он вышел из под действия Федерального закона N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
  • вступили в силу требования о локализации баз данных с персональными данными на территории Российской Федерации
  • Роскомнадзор начал проверять информационные системы и обработку в них персональных данных

Такие изменения в проверках Роскомнадзора существенно влияют на сами документы по персональным данным, так и на реализацию требованйи закона.

Именно поэтому требуется обновлять пакет документов по персональным данным в связи с возросшим числом запрашиваемой информации и документов.

3. Постоянные изменения в законодательстве.

Каждая вторая проверка оператора Роскомнадзором выявляет нарушения. Количество выявленных нарушений при проведении плановых проверок в 2015 году на 37% больше, чем в 2014 году. Чаще всего это происходит потому, что компания не следит за изменением законодательства и не обновляет документы.

Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу.

Одни из изменения:

  • с 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 No 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно- телекоммуникационных сетях», который обязывает локализовать базы с персональными данными на территории России. Если этого не будет сделано, то возможна блокировка сайта, веб-сервиса или веб-системы, как это сейчас происходит с крупной деловой социальной сетью Linkedin, которая будет заблокирована с подачи Роскомнадзора.
  • Постановлением Правительства Российской Федерации от 19.08.2015 No 857 были утверждены Правила создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», который внес существенные изменения в возможность собирать данные на иностранных серверах, и исключил проверки из под действия закона  «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26.12.2008 N 294-ФЗ.
  • Приказами Роскомнадзора утверждены Порядок взаимодействия оператора реестра с провайдером хостинга, Порядок получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи, а также форма заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

В 2017 году также вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и взыскании долга.

Меняется законодательство — меняется позиция по тем или иным вопросам. Поэтому необходимо пересматривать процессы обработки персональных данных и обновлять документы.

4. С 1 января 2017 года могут возрасти штрафы за нарушение закона о персональных данных.

Это произойдет в случае вступления в силу нового Кодекса об Административных Правонарушениях. Он уже был одобрен в первом чтении и ожидается его финальное одобрение ГосДумой до конца 2016 года.

На данный момент ст. 13.11 КоАП РФ устанавливает штраф за нарушение законодательства о персональных данных от 300 до 500 руб. для физлиц, от 500 до 1000 руб. для должностных лиц и от 5 до 10 тыс. руб. для юрлиц.

Новый законопроект устанавливает самый большой штраф за обработку персональных данных, касающихся расовой и национальной принадлежностей, политических и религиозных взглядов, а также состояния здоровья, интимной жизни и сведений о судимостях. Для граждан такой штраф составит от 3 до 5 тыс. руб., для должностных лиц — от 10 до 25 тыс., для ИП — от 50 тыс. до 100 тыс. руб. и для юрлиц — от 50 тыс. до 300 тыс. руб.

Также, выявляя нарушения в ходе контрольно-надзорной деятельности, чиновники Роскомнадзора смогут оперативнее привлекать правонарушителей к ответственности.

Возрастает не только сумма штрафа, но и их количество. Среди новых составов правонарушения:

  • обработка персональных данных без письменного согласия субъекта;
  • обработка информация, касающейся личной жизни, здоровья, вероисповедания и т. д.;
  • невыполнение оператором требований к публикации в открытом доступе документа о его политике обработки персональных данных;
  • непредоставление оператором субъекту информации об обработке его персональных данных;
  • невыполнение оператором требований субъекта об уточнении, блокировке или уничтожении его персональных данных;
  • ненадлежащее хранение (в том числе при помощи электронных носителей) персональных данных;
  • несоблюдение правил по обезличиванию персональных данных.

 

Когда новый КоАП будет утвержден, то стоимость на разработку и обновление документов по 152-ФЗ, а также сопровождение деятельности по персональным данным серьезно возрастет.

5. С начала 2016 года количество арбитражных дел, касающихся персональных данных, превысило 10.000

Это легко подтверждается различными поисковыми системами по арбитражным делам.

В соответствии с п. 5 ч. 3 ст. 23 Закона No 152-ФЗ Роскомнадзором и его территориальными органами в 2015 году в реестр нарушителей прав субъектов персональных данных внесено 105 записей, заблокировано 29 интернет-ресурсов, остальные операторы удалили информацию без применения принудительных мер воздействия. При этом было заблокировано 12 справочников и прекращена неправомерная обработка персональных данных 45 млн человек.

Территориальными органами Роскомнадзора составлены и направлены на рассмотрение в суды 7 721 протокол об административных правонарушениях.

Также нарушители вносятся в автоматизированную информационную систему «Реестр нарушителей прав субъектов персональных данных».

Тем не менее законодательство и судебная практика в вопросах защиты персональных данных не совершенны и изменчивы. Нужно всегда следить за новыми решениями по конкретным вопросам самих судов и регуляторов, а затем менять некоторые формулировки в документах и описания.

6. Законодательное требование пересмотра уровней защищенности раз в 3 года.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» возлагает на оператора персональных данных не реже 1 раза в  3 года проводить пересмотр уровней защищенности информационных систем.

Контроль за выполнением требований организуется и проводится оператором самостоятельно и/ или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Из-за чего приходится изменять акты определения уровней защищенности, модели угроз, протоколы определения ущерба и ТЗ на системы защиты персональных данных. Также необходимо следить за тем, чтобы договор с подрядной организацией был действующим и актуальным.

7. 152-ФЗ требует подавать информационное письмо об изменениях при изменениях сведений, содержащихся в реестре операторов.

Чаще всего компании не актуализируют контакты и ФИО ответственного лица, информацию о своем новом адресе, наименовании. Соответственно необходимо следить за правильностью предоставленных данных и вовремя обновлять информацию в реестре операторов, иначе возможно наложение штрафов и санкционирование внеплановой проверки со стороны Роскомнадзора.

Тем более Роскомнадзор ожидает подачи уже обновленного уведомления или письма о внесении изменений, где необходимо указать все информационные системы и адреса их месторасположения.

_______

Сфера защиты персональных данных активно развивается, уточняются требования, появляются новые законы… И не всегда компании способны следить за этими изменениями. А несоблюдение требований законодательства становится причиной штрафов, проверок, жалоб со стороны клиентов и конкурентов, а также потери времени и ценной информации.

Поэтому рекомендуем вам обновлять документы каждый год и держать их актуальность под контролем вместе с “Б-152”.

Для уточнения вопросов по обновлению и актуализации документов по персональным данным вместе с «Б-152» обращайтесь по следующим контактам:

8 (800) 707-80-52

8 (499) 372-06-52

info@b-152.ru

Понравился материал?
Поделитесь им с коллегами и друзьями

© 2016 Все права защищены
+7 (499) 372-06-52 | info@b-152.ru