Category: Экспертный материал

«5 действий, которые нужно предпринять, чтобы соответствовать правилам GDPR

На днях CMS Magazine опубликовал статью основателя Б-152 «5 действий, которые нужно предпринять, чтобы соответствовать правилам GDPR«. Максим Лагутин рассказал о том, какие 5 действий необходимо предпринять, чтобы соответствовать правилам GDPR и проводит анализ европейского регламента.
В простой и понятной форме разъясняет:
▪️Какие российские компании подпадают под требования европейского регламента.
▪️Какие штрафы и санкции ожидают владельцев бизнеса и юридических лиц в случае невыполнения GDPR.
▪️Какие шаги необходимо оперативно предпринять, чтобы соответствовать закону.
▪️ Кто такой «Представитель» и для чего он необходим.

 

Команда Б-152 имеет возможность предложить Вам услугу «Представитель на территории ЕС» в таких странах как Нидерланды, Болгария, Великобритания и Германия.

Оставить заявку на консультацию: https://b-152.ru/gdpr_consulting

Понравился материал?
Поделитесь им с коллегами и друзьями

Онлайн курс «Персональные данные – обработка и хранение без нарушений»

Деловая среда от Сбербанка запустила онлайн-курс: «Персональные данные – обработка и хранение без нарушений», где в роли эксперта выступил Максим Лагутин, основатель http://b-152.ru. Данный курс будет интересен, как и новичку, так и опытному специалисту в области защиты информации. Видео-уроки позволят разобраться в основных тонкостях закона 152-ФЗ «о Персональных данных», а также узнать о лайфхаках в области применения закона. 111

Курс состоит из четырех блоков:
▪️Основные положения закона «о Персональных данных».
В этом блоке раскрывается информация о том какие данные, попадают под понятие «персональные данные», кто такой оператор персональных данных (ПД), в каких случаях не требуется запрашивать согласие на обработку ПД, какие документы входят в необходимый перечень и должны быть у каждой компании, кто может проверить компанию на соответствие 152-ФЗ.
▪️Какие штрафы и санкции предусматривает закон?
Максим Лагутин расскажет не только о штрафах в «цифрах», но и о том, за какие действия эти штрафы можно получить, затрагивает понятие «избыточные персональные данные», а также рассказывает о других возможных последствиях за несоблюдение 152-ФЗ.
▪️Приведение деятельности организации в соответствии с законом «о Персональных данных».
На этом уроке будет освещен перечень требований к оператору персональных данных, какие процедуры и документацию необходимо разработать внутри компаний, чтобы соответствовать 152-ФЗ.
▪️Лайфхаки.
В завершающей части курса Максим Лагутин поделится своим опытом в области технических средств защиты информации, расскажет, как лучше подать уведомление в Роскомнадзор, составить согласие на передачу данных третьим лицам и о многих других лайфхаках.

Курс бесплатный, но доступен только после регистрации.

Понравился материал?
Поделитесь им с коллегами и друзьями

Новости для операторов персональных данных с дня открытых дверей в ЦА Роскомнадзора

Специалисты Б-152 о том, что обсуждалось на дне открытых дверей в ЦА Роскомнадзора, и что ждет операторов персональных данных в 2018 году.
70495df2e92f499cbedf

На прошлой неделе, 30го января, в центральном аппарате Роскомнадзора прошел День открытых дверей, посвященный вопросам деятельности регулятора и правоприменительной практике в области персональных данных.

Мы записывали основные высказывания и задавали некоторые вопросы представителям регулятора. Самое важное с нашими комментариями представлено ниже.

Пощадить нельзя помиловать

Юрий Контемиров из Центрального аппарата Роскомнадзора подтвердил, что трактовка ст.13.11 КоАП, связанная с нарушениями в области персональных данных) позволяет выдавать штраф за каждое выявленное нарушение, например, за каждое неверное согласие, подписанное с сотрудниками, но пока регуляторы выписывают административное нарушение только за факт нарушения в целом на организацию.

Такой позиции Роскомнадзор придерживается уже более полугода, но при этом количество выявленных нарушений на одну проверяемую организацию возросло по нашим данным и по данным, представленным регулятором.

«Масло в огонь» по теме наложения штрафов подливает еще тот факт, что количество правонарушений, за которые возможны штрафные санкции, будет увеличиваться. Это подтверждает внесенный 29 декабря 2017 г. на обсуждение проект нормативного правового акта, который будет устанавливать нормы ответственности на оператора персональных данных, на действия лица, которому поручена обработка персональных данных, и на лиц, обрабатывающих персональные данные по поручению.

Мы регулярно участвуем в проверках Роскомнадзора по всей России на стороне проверяемых организаций и отслеживаем позицию регулятора по вопросу наложения штрафов. При изменении позиции, мы сообщим об этом всем нашим клиентам первыми.

Данные посетителей сайта тоже персональные данные

Позиция, которую регулятор озвучивал несколько раз в прошлом году, была еще раз дополнена.

Данные пользователей сайта (cookie, сведения о поведении на сайте, об устройстве, с которого осуществляется взаимодействие сайта, сведения о местонахождении и другие) будут являться персональными данными, по мнению представителей Роскомнадзора.

Сотрудники регулятора мотивируют свое решение тем, что пользовательские данные нужно регулировать, и пока закон о больших пользовательских данных не принят, регулироваться такие данные будут законодательством в области персональных данных.

Чтобы не попасть на штраф за обработку персональных данных пользователей сайтов при установленных на сайтах системy аналитики (Google Analytics, Яндекс Метрика и других), необходимо установить на сайте текст-предупреждение о том, что данные посетителя сайта будут обрабатываться и передаваться в системы аналитики. Пример такого предупреждения можно посмотреть на нашем сайте. Такое предупреждение является формой согласия на обработку персональных данных и защитит от наложения штрафов в размере до 50 000 рублей по ч.1 ст.13.11 КоАП.

Для всех клиентов, которым мы еще не готовили такие предупреждения, мы готовы их подготовить. Для этого напишите нам в службу экспертной поддержки по адресу support@b-152.ru

Общедоступные персональные данные, которые нельзя использовать

Представители Роскомнадзора заявили, что общедоступные персональные данные из социальных сетей просто так обрабатывать не получится.

Организации могут использовать общедоступные данные пользователей социальных сетей, которые они сделали публичными, только в двух случаях:

1) есть согласие на обработку персональных данных от субъекта персональных данных;

2) есть законное основание. Могут быть 2 типа законных оснований: нормативный акт, который дает третьему лицу право обрабатывать общедоступные персональные данные, или договорные отношения третьего лица с социальной сетью, которое не противоречит договорным отношениям социальной сети с субъектом персональных данных.

Поэтому обрабатывать общедоступные данные пользователей из социальных сетей может быть нарушением, как это было признано Высшим Судом Российской Федерации по делу НБКИ совсем недавно.

Позитивные изменений, которые нас ждут

В рамках реализации мероприятий по Цифровой Экономике Роскомнадзор будет исполнителем части из них.

Так представителя регулятора озвучили, что в этом году ожидаются поправки в законодательство по персональным данным в части дачи одного согласия на обработку персональных данных сразу группе операторов персональных данных и письменного мульти-согласия сразу на несколько целей обработки персональных данных (напоминаем, что сейчас за такие согласия накладываются штрафы).
Это позитивные новости, которых давно ждали от регулятора.

Политика, которая должна быть размещена на сайте

В параллельно идущем Дне открытых дверей в территориальном органе Роскомнадзора по Центральному Федеральному Округу заявили, что с этого года представители регулятора будут проверять политики не только на то, что они были размещены на сайте, но и на соответствие своим рекомендациям. Правовой статус этих рекомендаций не совсем понятен и при проверках прошлого года проверяющих устраивало просто наличие политики оператора в отношении оператора персональных данных.

Если применять рекомендации по политике, то документ может стать объемным и требовать постоянной актуализации, т.к. в нем будет содержаться информация о всех целях обрабатываемых персональных данных, составе обрабатываемых персональных данных, действиях с ними, условиях прекращения обработки и о третьих лицах, которым передаются или поручаются персональные данные на обработку.

Мы анализируем ситуацию на предмет доработки политики и скоро внесем изменения в нашу систему для формирования документов. Об изменениях шаблонов документов в сервисе мы сообщим дополнительно.

Понравился материал?
Поделитесь им с коллегами и друзьями

Новости для операторов персональных данных и матричные согласия

Специалисты Б-152 о том, что обсуждалось на конференции «Защита персональных данных», проведенной Роскомнадзором и как матричные согласия облегчат документооборот операторов персональных данных.

c3b0e715d53941b893ec

Ведущий специалист по персональным данным Максим Лагутин принял участие в международной конференции «Защита персональных данных», которая ежегодно проводится при поддержке Роскомнадзора. На площадках мероприятия было озвучено несколько новостей, которые важны для всех операторов персональных данных.

Во-первых, окончательно утверждена схема, по которой для одной цели передачи или обработки персональных данных нужно отдельное согласие (то есть отдельный документ с соответствующей информацией и подписью). За единое согласие на обработку персональных данных для всех целей налагаются штрафы.

Рассмотрим кейс: у нас есть работник, мы должны передать его персональные данные в банк для зарплатного проекта, в страховую компанию для оформления ДМС, а также в охранное предприятие для оформления пропуска. Если будет только одно согласие, как будет налагаться штраф? А если 10 согласий на работника и всего в компании 10 тысяч сотрудников, как будет налагаться штраф в случае отсутствия согласия? Один штраф за все нарушения, за каждое отдельное согласие, которое было неправильно оформлено, или за 10 тысяч сотрудников, согласия которых обрабатывались с нарушением?

Отвечая на этот вопрос, представитель Роскомнадзора Юрий Кантемиров акцентировал внимание на том, что трактовка в Кодексе об административных правонарушениях позволяет налагать как 1, 10, так и 10 тысяч штрафов. В современной практике по данной статье пока применяется 1 штраф за все нарушения, но есть немало предпосылок к тому, что позиция Роскомнадзора изменится.

Что такое матричные согласия? 

За последние шесть месяцев мы участвовали более чем в десяти проверках Роскомнадзора по всей России и применяли матричные согласия. Это специальный документ, содержащий:

· Ф. И. О. субъекта персональных данных или его представителя;
· реквизиты;
· адрес субъекта персональных данных или его законного представителя;
· информацию об операторе персональных данных;
· информацию о том, как субъект персональных данных может реализовать свое право на отзыв согласия;
· информацию о том, в каких случаях оператор может продолжить обрабатывать персональные данные даже после отзыва.

В теле документа должна быть таблица с указанием:

· цели обработки персональных данных;
· состава данных, которые обрабатываются для этой цели;
· перечня действий с ними (передача, поручение);
· условий и срока, в течение которого прекращается их обработка;
· перечня третьих лиц, персональные данные которых будут обрабатываться в этих же целях по поручению оператора.

Напротив каждого из согласий должны быть дата и подпись человека.

Проверки, в которых мы участвовали, показали, что Роскомнадзор, как правило, дает возможность выполнить свои требования и не налагает штрафы, что позволяет уменьшить объем предоставляемых согласий и количество потраченной бумаги.

Понравился материал?
Поделитесь им с коллегами и друзьями

Согласие, куки и запросы — что такое персональные данные для сайта

Усилиями рынка и действиями Роскомнадзора владельцы сайтов больше уделяют внимание вопросам защиты персональных данных, и аббревиатура ПДн (или ПД, как многие неправильно называют) все чаще встречается в поисковых запросах, связанных с документацией для сайта. Во многих случаях защита персональных данных заканчивается загрузкой шаблона политики конфиденциальности, взятой из интернета и подготовкой пользовательского соглашения или дисклеймера об обработке cookie. Что нужно учитывать при разработке сайта и о чем предупреждать клиента?

Во-первых, для соответствия закону №152-ФЗ “О персональных данных” требуется политика компании в отношении персональных данных, и по факту это совершенно другой документ. 82% нарушений, выявленных Роскомнадзором при проведении мероприятий систематического наблюдения во 2м квартале 2017 года, относятся к непринятию оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных.

Во-вторых, согласно позиции Роскомнадзора и судов к персональным данным относят как привычные и понятные – ФИО, телефоны, почта и прочее, так и аналитические – идентификатор устройства, ip-адрес, файлы cookie. Об этом если не знают, то забывают при разработке документов.

В-третьих, зачастую внимание уделяется исключительно политике и размещению ее на сайте, но документ, который только определяет порядок обработки персональных данных и меры по обеспечению их безопасности. Упускается из виду, что ключевым элементом соответствия закону является получения согласие физического лица на обработка персональных данных.

Если сбор персональных данных на сайте, например в форме обратного звонка, или форме подписки на рассылки, не попадает под обработку ПДн для исполнения договора или для исполнения требований закона, то требуется получать согласие на обработку персональных данных.

Ну, и в-четвертых – пользователи сайта согласно ст.14 ФЗ-152 имеют право запрашивать сведения о том, как обрабатываются их персональные данные. Часто на свои запросы пользователи сайта не получают ответов, а это нарушение сразу по 2м статьям Кодекса об Административных Правонарушениях. Согласно отчету Роскомнадзора за 1 полугодие 2017 года интернет-сайты входят в список наиболее отмечаемых вниманием недовольных клиентов наряду с организациями ЖКХ и кредитными организациями.

Почему важно не использовать шаблоны, правильно собирать согласия, учитывать аналитические персональные данные и отвечать на запросы пользователей?

Потому что Роскомнадзор штрафует за неправильно полученное согласие (считайте, что оно получено не было), за негласный сбор пользовательских данных и Cookie, за отсутствие ответов или банальные отписки. В таблице приведены вилки штрафов, которые выросли с 1 июля 2017 года.

 

Нарушение Статья КоАП РФ
Неправильное согласие Штраф
Не соответствуют цели обработки ч. 1 ст. 13.11 30-50 тыс. рублей
Не запрошены необходимые согласия[1] ч. 2 ст. 13.11 15-75 тыс. рублей
Сбор аналитических данных [2] ч. 1 ст. 13.11 30-50 тыс. рублей
Запросы пользователей
Отсутствуют ответы ч. 4 ст. 13.11 25-40 тыс. рублей
Не выполняются требования об уточнении, блокировании или уничтожении[3] ч. 5 ст. 13.11 25-45 тыс. рублей

 

Важно понимать, что если на сайт будет подана жалоба, или Роскомнадзор заинтересуется им по другой причине, то любое из нарушений приведет к десяткам тысяч рублей штрафов и необходимостии все переделывать – то, чего так хотелось избежать.  Практика судов показывает, что Роскомнадзор действует решительно и добивается от нарушителей исполнения закона №152-ФЗ “О персональных данных”

 

Практика судов по персональным данным

9 августа Арбитражный суд города Москвы оставил в силе решение Роскомнадзора о привлечении крупной компании за неправильный сбор и отсутствие согласий на обработку персональных данных, несоблюдение целей обработки персональных данных. Решение суда стало итогом проверки, проведенной Роскомнадзором, в ходе который Управление проверило то, как хранятся персональные данные, тексты договоров, согласия и прочие документы, относящиеся к персональным данным. Всегда было выявлено 7 нарушений закона.

По итогу проверки Роскомнадзор обязал компанию исправить нарушения закона – получить согласия и указать действительные цели обработки.

В нашумевшем деле блокировки Linked In представитель Роскомнадзора указал, что аналитические данные (идентификатор устройства – MAC адрес, ip-адрес, файлы cookie) относятся к персональными данным пользователя и ,соответственно, требуют получения соответствующего согласия[4].

Эта позиция была высказана в ходе прений и не попала в текст решения суда, однако такой же позиции Роскомнадзор придерживался в ходе проверки работы оператора связи, о чем сказано в решении Арбитражного суда города Москвы по делу А40-14900/2016. В материалах дела имелись доказательства сбора аналитических данных об абонентах – ID-1Рv4-адресов абонентов, адресов страниц, с которых уходил и на которые заходит абонент, идентификаторов версии веб-браузера пользователя (User Agent) и Cookie.

Суд указал, что информация об оборудовании и трафике пользователя позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных), а значит необходимо получение согласия от абонентов в письменной форме. Компанию привлекли к штрафу в размере 30 000 рублей за нарушение требований закона и обязали исправить нарушения.

В мае 2017 года Уральские авиалинии привлекли к ответственности[5] за отказ предоставить гражданину сведения об обработке его персональных данных – правовые основания, цели и прочие сведения, которые гражданин может потребовать на основании статьи 18 закона №152-ФЗ “О персональных данных”.

Решение

Как понять, что сайт в поле зрения Роскомнадзора, и какие действия нужно предпринять, чтобы соответствовать 152-ФЗ? Если вы можете поставить галочку в чек-листе ниже, то значит вам есть о чем задуматься:

На сайте собираются персональные данные, но:
Отсутствует текст согласия под каждой формой
Взяли текст согласия из интернета
Периодически передаете персональные данные подрядчикам
В согласии указали не все данные, которые собираете, илиу вас одно согласие на все случаи сбора
Бизнес-процессы меняются, лиды, полученные с сайта обрабатываются уже не так, как планировалось изначально
Игнорируете или с трудом отвечаете на запросы пользователей об их персональных данных

Что делать? Лучший и самый дорогой вариант – обратиться к профессионалам (и в большинстве случаев это не юристы), у которых уже есть готовые решения для работы с персональными данным. Однако, не все могут позволить себе оплатить услуги команды консультантов, и здесь приходится делать все самому.

В таком случае приведу мои рекомендации:

  1. Поправьте текущие документы, ответив на вопросы какую информацию о пользователях вы собираете? Каким образом эта информация используется, передаете или будет передаваться?
  2. Повесьте уведомление на сайт о сборе не только, cookies но и пользовательских данных. Пример можно посмотреть на сайте b-152.ru
  3. Убедитесь, что политика в отношении обработки персональных данных опубликована и всегда доступна на сайте. Название документа должно быть именно таким.
  4. Правильно собирайте согласия на обработку персональных данных – высылайте ссылку для подтверждения на почту, смс-код на мобильный телефон или сохраняйте IP-адрес пользователя. Проверьте, что каждый случай сбора персональных данных на сайте содержит ссылку на соответствующее этой цели согласие.

 

Это может быть просто текст, или и поле для галочки “Нажимая на кнопку “Отправить сообщение”, я даю свое согласие на обработку персональных данных”. При этом текст “я даю свое согласие” должен быть ссылкой на текст самого согласия, в котором должна быть следующая информация:

  1. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  2. цель обработки персональных данных;
  3. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  4. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  6. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  7. информация о том, какие данные и каким третьим лицам вы передаете для исполнения целей настоящего согласия.

Согласно ст.5 ФЗ-152 данные должны обрабатываться в конкретных целях, не должны обрабатываться избыточные персональные данные и должна прекращаться их обработка после достижения заявленных целей. Т.е. эти данные 100% должны быть в согласии, перед тем как пользователь оставит свои персональные данные. За нарушение этой статьи предусмотрен штраф по ч.1 ст.13.11 КоАП до 50 000 рублей.

Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия, которое необходимо поставить на все формы сбора персональных данных на сайте и тем самым выполнить закон.

На самом деле на сайте персональные данные через разные формы собираются в разных целях — в одних для осуществления рассылок, в других для контакта с человеком, в третьих для скачивания промо-материалов или заказа прайс-листа.

Цели разные и согласия должны быть разные (ч.1 ст.5 ФЗ-152), в противном случае также возможно попасть на штраф по ч.1 ст.13.11 КоАП до 50 000 рублей.

  1. Отвечайте на запросы пользователей об их персональных данных, разместив на сайте специальный адрес email для обращений, касающихся персональных данных

В последнее время появилось много сервисов в интернете, которые предлагают автоматическое составление документов по персональным данным. Будьте внимательны, проверяйте соответствуют ли предлагаемые документы и услуги списку из этой статьи.

[1] Часть 3 статьи 9 закона №152-ФЗ “О персональных данных”;

[2] Идентификатор устройства, ip-адрес, файлы cookie;

[3] В случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

[4] http://yegelev.com/post/153219468144/что-не-так-в-деле-роскомнадзор-пр-linkedin

[5] Апелляционное определение Новосибирского областного суда  от 30 мая 2017 г. по делу N 33-5201/2017;

Понравился материал?
Поделитесь им с коллегами и друзьями

Особенности проверок Роскомнадзора в 2016 году

В 2006 году был издан закон №152-ФЗ «О персональных данных». Он определил ответственность компаний за деятельность по работе с персональными данными людей.

Несмотря на то, что закон был принят более 10 лет назад, для многих компаний проверки Роскомнадзора, представляются сложной и непонятной процедурой с неизвестным итогом.

Почему компании так боятся проверок?

  • В 2015 году вступил в силу закон ФЗ-242, который расширил полномочия Роскомнадзора по проведению проверок. Проверки теперь регулируются только административным регламентом Роскомнадзора, так как ФЗ-242 вывел проверки на соблюдение закона о персональных данных из-под действия ФЗ- 294 о защите прав юрлиц и ИП при проверках.
  • Вступили в силу требования о локализации баз данных на территории Российской Федерации, который добавил сложностей компаниям.
  • К плановым проверкам сложно подготовиться. Обычно в России в год проходят тысячи таких проверок. Несмотря на то, что сроки известны, но порой найти даты проверки, а также узнать, как проходит подготовка и что нужно сделать, затруднительно. Информации для подготовки в интернете мало или она устарела.
  • Роскомнадзор проводит внеплановые проверки. Например, по заявлению гражданина о нарушении его прав в данной компании. В этом случае сотрудники Роскомнадзора приходят неожиданно и просят предоставить документацию согласно закону в кратчайшие сроки. Что именно нужно предоставить, а главное, как это подготовить за 1 сутки, сотрудники компании не знают.
  • Законодательство в сфере защиты персональных данных постоянно меняется. Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу. В 2017 году вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и обработкой персональных данных должников.
  • Роскомнадзор в равной степени проверяет как крупные компании, так и микропредприятия, индивидуальных предпринимателей или представителей малого и среднего бизнеса. А значит, что от проверки не застрахован никто.
  • Штрафы за нарушение закона высоки. И в 2017 году планируется принять новый кодекс об административных правонарушениях (КоАП), который ужесточит наказания за нарушения в части роста количества штрафов и их размера — вплоть до 300 000 рублей.
  • С 2016 года Роскомнадзор стал запрашивать больше информации (около 30 документов), а проверки стали объемнее и тщательнее. Так, например, стали проверять информационные системы непосредственно, а не по скриншотам форм, страниц и полей, как было ранее.
  • Метаданные (IP, местонахождение, cookies и др.) являются тоже персональными данными, поэтому теперь нужно брать разрешение на их обработку с пользователей.
  • Уровень проверок стало более детальным. Эксперты с учетом прошлых проверок теперь хорошо разбираются в особенностях IT-систем, бизнес-процессов, интернет-сервисов.

Для того чтобы избавиться от страхов, необходимо обратиться за помощью к экспертам и вовремя подготовить документы.

При проверках Роскомнадзор руководствуется своим регламентом, размещенном на сайте, а также сложившейся практикой. В конце 2016 — начале 2017 года будет принят законопроект, который позволит Роскомнадзору самому определять порядок проверок. Минусы этого закона для компаний в том, что данный орган по сути никто не будет контролировать.

В данной статье мы расскажем вам об особенностях проверок и о том, к чему вам готовиться.

Итак разберем виды проверок:

  1. Плановая проверка проводится в конце года, предшествующего году проверки по истечении трех лет с момента регистрации компании или индивидуального предпринимателя, либо с момента последней проверки. План проверок выкладывается на сайтах территориальных органов Роскомнадзора. При этом с 2016 года РКН перестал предоставлять планы проверок в Прокуратуру, поэтому найти из через порталы прокуратуры не получится.

Плановые проверки бывают двух типов:

  • Выездные проверки проводят не менее двух представителей Роскомнадзора, которые выезжают в офис проверяемой компании, изучают обстановку, общаются с ответственным лицом и другими сотрудниками компании, забирают запрошенные ранее документы и уезжают. Если проверяемая компания крупная — представители Роскомнадзора выезжают на ее объекты чаще одного раза за проверку.
  • Документарные проверки проводятся удаленно через запрос необходимых документов. Их оператор персональных данных направляет в Роскомнадзор по электронной почте для анализа.
  1. Внеплановая проверка проводится только на выезде с обязательным уведомлением компании о посещении не менее чем за сутки.

Выезд сотрудников с внеплановой проверкой происходит по следующим основаниям:

  • физические или юридические лица (пользователи, клиенты, конкуренты и т.д.) подали жалобу на компанию в Роскомнадзор, где рассказали о нарушениях прав субъектов персональных данных;
  • по требованию прокурора (в органы прокуратуры поступили материалы и обращения о нарушении законодательства по персональным данным);
  • представители Роскомнадзора увидели информацию о нарушениях в СМИ, либо получили ее от государственных органов (например, Трудовой инспекцией);
  • компания не устранила обнаруженные нарушения в установленный в предписании срок, либо компания не уведомила об этом надзорный орган;
  • Президент или Правительство поручили провести проверку;
  • компания-оператор персональных данных предоставила неполные/недостоверные ответы на запросы Роскомнадзора, либо не ответила в течение 30 дней;
  • в ходе мероприятий систематического наблюдения были обнаружены нарушения законодательства;
  • сведения в уведомлении об обработке персональных данных компанией не соответствуют действительности (например, адрес местонахождения баз данных).
  1. Мероприятия систематического наблюдения также проводятся представителями Роскомнадзора в режиме онлайн в рамках целой отрасли. В ходе наблюдения анализируют изменения в ЕГРЮЛ, актуальность сведений о базах данных в уведомлениях, изучают сайт компании, отзывы в интернете, в СМИ. На основании этих факторов делают вывод, может ли компания потенциально нарушать закон. В случае подозрений сотрудники Роскомнадзора письменно просят дать разъяснения. Если ответ был несвоевременный или неполный, то представители Роскомнадзора могут инициировать внеплановую проверку и наложить штрафы. Это способ контроля Роскомнадзором выполнения требований законодательства, который начал активно применяться с 2015 года.

Что проверяет Роскомнадзор

С 2015 года Роскомнадзор запрашивает информацию блоками, изучая их в офисе компании последовательно в разные дни:

  1. Общие вопросы. Сюда входят регистрационные данные организации, категории обрабатываемых персональных данных, цели этих действий, системы, где происходит хранение и передача сведений, документация, касающаяся работы с персональными данными.
  2. Кадровый блок. К нему относятся методы подбора персонала, формы согласия на обработку персональных данных, получаемых от клиентов и сотрудников, все справки и договоры о порядке получения и хранения сведений от субъектов персональных данных.
  3. Информационные системы персональных данных. Здесь Роскомнадзору понадобится информация обо всем программном обеспечении, используемом для обработки персональных данных, его подробное описание и назначение, операции, совершаемые им, а также сведения о создании, хранении и уничтожении резервных копий.
  4. Интернет-сервисы. Сюда относят информацию о веб-ресурсе предприятия, его базах данных, используемых на нем системах сбора и обработки персональных данных, статистике посещений как через браузер, так и с помощью мобильных приложений.

Ссылка на список запрашиваемых документов.

Давайте рассмотрим некоторые блоки более подробно.

Информационные системы

В этом блоке проверяют все IT-системы, где происходят действия с персональными данными. Практически всегда специалисты запрашивают не просто устное описание программы и ее функций, а блок-схему работы ПО, хранения персональных данных. Выглядеть она может, например, таким образом: подробный разбор того, как персональные данные попадают в систему, путь, по которому проходит информация во время обработки, передача личных сведений конечному пользователю.

Также запрашивается документальная информация обо всех участниках процесса. Особо внимательно эксперты изучают роль трансагентов: необходимо как можно подробнее объяснить, каким образом они получают информацию и для каких целей. Часто требуются договоры с этими партнерами.

Еще один важный момент — необходимо документально подтвердить место, где находится система обработки персональных данных. Также надо быть готовым к тому, что Роскомнадзор может напрямую запросить сведения о локализации IT-службы или базы данных у поставщика этих услуг.

Стоит иметь в виду, что инспекторы могут потребовать наглядно продемонстрировать работу информационной системы. Для этого необходимо, чтобы ваш сотрудник в присутствии специалиста Роскомнадзора показал все операции, совершаемые с персональными данными: получение, обработку, передачу, уничтожение и т.д. Кроме того, могут быть запрошены скриншоты, чтобы убедиться, что заявленный в документах объем личной информации соответствует фактическому.

Помните, что эксперты проверяют не только основную базу данных, но и все сопутствующие ей системы: мобильные приложения, сайты, сведения из Яндекс.Метрики и Google Analytics, Flurry, рекламных систем. Для них используются все вышеописанные методы анализа: составление блок-схем, изучение местонахождения, ручная проверка. Для веб-ресурса также могут запросить информацию о том, на чем он написан и кем поддерживается.

Отдельное внимание стоит обратить на почтовые сервисы. Они не являются системой обработки персональных данных до тех пор, пока электронная почта не используется для сбора личных сведений (например, для приема откликов на вакансии).  

С недавних пор все IP-адреса, сведения из cookie-файлов и мобильных приложений также относятся к персональным данным. При работе с ними необходимо следить за соблюдением требований закона.

Процессы обработки персональных данных

Здесь Роскомнадзор изучает действия, связанные с персональными данными.

Основная цель — понять все происходящие в организации процессы по обработке личных сведений. Для этого специалисты могут потребовать подробное описание всех работ, проводимых с персональными данными и детально рассказать о каждом его этапе – сборе, удалении, пересылке и т.д.

Если какое-либо действие выходит за рамки обязанностей оператора, то в этом случае  Роскомнадзор может потребовать предоставить блок-схему этого процесса. Также проверяется цель обработки персональных данных и ее соответствие заявленной в документации.

Документарная проверка

На этом этапе происходит изучение и анализ всех корпоративных актов, справок и договоров, относящихся к персональным данным. Кроме документов, указанных в первоначальном запросе, необходимо предоставлять подтверждающие бумаги на для подтверждения всех заявленных фактов в ходе дальнейшей инспекции.

В этом году особо часто Роскомнадзор запрашивал информацию о том, кто имеет доступ к персональным данным, а также детально изучал документы о текущей деятельности компании и требовал много дополнительных данных по этому вопросу.

Отдельное внимание уделяется передаче персональных данных третьим лицам и получению данных от третьих лиц. Например, подрядчикам (дилерские центры, банки, IT-системы, системы бронирования отелей, кадровые службы и пр.). Особенно в США. Это связано с тем, что Роскомнадзор считает, что Соединенные штаты не способны как следует защитить информацию, и поэтому такую пересылку можно делать только с согласия владельца персональных данных. Кроме того, инспекторы интересуются целью передачи личных сведений за рубеж.

Напомним, что эксперты имеют право смотреть сами персональные данные.

Рекомендуем подготовить как можно больше запрашиваемых документов до начала проверки. В ходе мероприятия, скорее всего, понадобится предоставить много дополнительной информации, и заниматься сбором основных сведений просто не будет времени.

Как и в какие сроки проводится проверка

Проверки длятся 30 календарных  дней в зависимости от размера бизнеса. У Роскомнадзора есть возможность продлить проверку еще на 30 календарных дней. Но общая длительность не должна превышать 60 рабочих дней.

Перед проверкой регулятор посылает в компанию уведомление в виде копии приказа почтой или иным доступным способом, например, на официальный e-mail, курьером.

Если проверка плановая или внеплановая документарная, уведомление придет не менее чем за трое суток перед проверкой. Если проверка внеплановая выездная, компанию обязаны предупредить не менее чем за сутки.

В уведомлении будет указаны ФИО проверяющих, даты и тип проверки, к нему прилагается перечень необходимых документов и протокол запрашиваемой информации. Перечень вопросов, запрашиваемых документов и сведений может отличаться, и не всегда понятно, какая информация требуется.

Роскомнадзор имеет право переносить начало выездной проверки. Например, приехать не в первый день проверки, а на седьмой, или даже ближе к концу.

В офисе

Первый визит обычно не очень длительный: инспекторы просто придут и заберут всю подготовленную информацию для анализа. Именно поэтому лучше готовить ее заранее и как можно детальнее.

В офисе компании представители общаются с сотрудниками, осматривают территорию, помещения, особое внимание уделяют хранению персональных данных на бумажных носителях. Им важно понять, как в компании хранятся и обрабатываются данные, кто к ним имеет доступ, в каком виде они хранятся и где.

Компания предоставляет регулятору данные в виде заверенных копий документов, шаблонов, форм договоров и информационных писем.

После визита

После визита в офис и запроса документов представители регулятора анализируют полученную информацию. В том случае, если представленных фактов недостаточно, специалисты будут запрашивать дополнительные документы и задавать уточняющие вопросы. Так будет до тех пор, пока инспекторы полностью не составят полную картину по процессам обработки персональных данных в компании.

Роскомнадзор может сообщать о каких-то нарушениях еще в ходе проверки. Например, сказать, каких документов не хватает, какие не соответствуют требованиям, что они требуют сделать. После проверки представители Роскомнадзора составляют и вручают акт о проведенной проверке и ее итогах. Если были выявлены нарушения, они выдают предписания их устранить, составляют протоколы об административных правонарушениях и пересылают в органы прокуратуры.

Таким образом, возможны три исхода проверки:

  1. Нарушений не выявлено.
  2. Проверка продлена для выяснения дополнительных деталей.
  3. Обнаружены нарушения. На их устранение дается от 1 до 6 месяцев. Общение с Прокуратурой, суд, уплата штрафа.

Основные нарушения за последний год:

  1. Отсутствие разрешения на передачу данных третьим лицам.
  2. Не удаление персональных данных по окончанию срока их обработки.
  3. Неактуальные сведения в Реестре операторов персональных данных.
  4. Отсутствие разрешения на передачу персональных данных за рубеж.
  5. Отсутствие локальных актов на обработку персональных данных.
  6. Расположение баз данных за пределами РФ.

Подводим итог

Проверка Роскомнадзора — сложное и долгое мероприятие, требующее большой подготовки. Важно помнить несколько моментов, чтобы значительно облегчить процесс ее прохождения. Начните следовать нашим рекомендациям прямо сейчас:

  1. Решите вопрос локализации данных в России. Нерешенный вопрос парализует ваш бизнес не менее чем на 1 месяц. Если данные все же уходят за рубеж, берите разрешение с пользователей прямо сейчас.
  2. Проведите аудит взаимоотношений с подрядчиками, с которыми вы обмениваетесь данными. Нужен пункт в договоре или разрешение от каждого пользователя.
  3. Почистите информационные системы от устаревших персональных данных.
  4. Проверьте актуальность подготовленных вами документов по ФЗ-152 с учетом нововведений.
  5. Актуализируйте информацию в Реестре операторов персональных данных.
  6. Готовьте все необходимые документы заранее в момент завершения каких-либо внутренних работ, связанных с персональными данными (например, создания веб-сайта). Тогда не придется эти же сведения собирать в срочном порядке за пару дней до приезда инспекции.
  7. Соберите документы для проверки заранее. Как только было получено уведомление о предстоящем мероприятии, нужно тут же начинать сбор документации. Позже времени уже не будет, так как специалисты потребуют еще больше дополнительных сведений.
  8. Сотрудничайте с Роскомнадзором. Не стоит забывать, что инспекторы просто делают свою работу. Чем более детальную информацию вы им дадите, тем быстрее закончится проверка. Соблюдайте сроки и будьте открытыми.

Если вы не еще не подготовили документы или хотите их актуализировать, обратитесь за консультацией к нашей службе Экспертной поддержки  support@b-152.ru

Понравился материал?
Поделитесь им с коллегами и друзьями

Как хранить персональные данные с 1 сентября 2015: основные способы

Летом 2014 года в России был принят закон №242-ФЗ, который обязывает операторов персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года. Суть закона: отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом — они обязаны локализовать базы данных на территории России.

Трактовка закона порождает множество вопросов и мы постараемся ответить на них и рассеять недопонимание.

подробнее

Понравился материал?
Поделитесь им с коллегами и друзьями

Обзор изменений 152 ФЗ 2015

За 4 года законодательство по защите персональных данных (152-фз) претерпело не мало изменений, касающихся как вопросов обработки персональных данных, так и вопросов защиты персональных данных:

  • произведена замена классов информационных систем персональных данных на уровни защищенности персональных данных (Постановление правительства №1119 от 01.11.2012 г.)
  • определен новый состав мер по обеспечению безопасности персональных данных (Приказ ФСТЭК России №21 от 18.02.2013 г.)
  • введен запрет с 1 сентября 2015 года на хранение персональных данных россиян за рубежом (Федеральный закон №242-ФЗ от 21.07.2014 г.)
  • Роскомнадзор вышел из под действия закона о защите прав бизнеса при государственных проверках (Федеральный закон №242-ФЗ от 21.07.2014 г.)
  • начал действовать публичный реестр нарушителей прав субъектов персональных данных (Постановление Правительства №857 от 19.08.2015 г.)
  • изменена форма уведомления об обработке персональных данных и информационного письма об изменениях в Роскомнадзор с 18 декабря 2015 года (приказ Минкомсвязи №315 от 28.08.2015 г.)

Давайте поподробнее пройдемся по каждому из изменений.

подробнее

Понравился материал?
Поделитесь им с коллегами и друзьями

© 2016 Все права защищены
+7 (499) 372-06-52 | info@b-152.ru