В 2006 году был издан закон №152-ФЗ «О персональных данных». Он определил ответственность компаний за деятельность по работе с персональными данными людей.

Несмотря на то, что закон был принят более 10 лет назад, для многих компаний проверки Роскомнадзора, представляются сложной и непонятной процедурой с неизвестным итогом.

Почему компании так боятся проверок?

  • В 2015 году вступил в силу закон ФЗ-242, который расширил полномочия Роскомнадзора по проведению проверок. Проверки теперь регулируются только административным регламентом Роскомнадзора, так как ФЗ-242 вывел проверки на соблюдение закона о персональных данных из-под действия ФЗ- 294 о защите прав юрлиц и ИП при проверках.
  • Вступили в силу требования о локализации баз данных на территории Российской Федерации, который добавил сложностей компаниям.
  • К плановым проверкам сложно подготовиться. Обычно в России в год проходят тысячи таких проверок. Несмотря на то, что сроки известны, но порой найти даты проверки, а также узнать, как проходит подготовка и что нужно сделать, затруднительно. Информации для подготовки в интернете мало или она устарела.
  • Роскомнадзор проводит внеплановые проверки. Например, по заявлению гражданина о нарушении его прав в данной компании. В этом случае сотрудники Роскомнадзора приходят неожиданно и просят предоставить документацию согласно закону в кратчайшие сроки. Что именно нужно предоставить, а главное, как это подготовить за 1 сутки, сотрудники компании не знают.
  • Законодательство в сфере защиты персональных данных постоянно меняется. Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу. В 2017 году вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и обработкой персональных данных должников.
  • Роскомнадзор в равной степени проверяет как крупные компании, так и микропредприятия, индивидуальных предпринимателей или представителей малого и среднего бизнеса. А значит, что от проверки не застрахован никто.
  • Штрафы за нарушение закона высоки. И в 2017 году планируется принять новый кодекс об административных правонарушениях (КоАП), который ужесточит наказания за нарушения в части роста количества штрафов и их размера — вплоть до 300 000 рублей.
  • С 2016 года Роскомнадзор стал запрашивать больше информации (около 30 документов), а проверки стали объемнее и тщательнее. Так, например, стали проверять информационные системы непосредственно, а не по скриншотам форм, страниц и полей, как было ранее.
  • Метаданные (IP, местонахождение, cookies и др.) являются тоже персональными данными, поэтому теперь нужно брать разрешение на их обработку с пользователей.
  • Уровень проверок стало более детальным. Эксперты с учетом прошлых проверок теперь хорошо разбираются в особенностях IT-систем, бизнес-процессов, интернет-сервисов.

Для того чтобы избавиться от страхов, необходимо обратиться за помощью к экспертам и вовремя подготовить документы.

При проверках Роскомнадзор руководствуется своим регламентом, размещенном на сайте, а также сложившейся практикой. В конце 2016 — начале 2017 года будет принят законопроект, который позволит Роскомнадзору самому определять порядок проверок. Минусы этого закона для компаний в том, что данный орган по сути никто не будет контролировать.

В данной статье мы расскажем вам об особенностях проверок и о том, к чему вам готовиться.

Итак разберем виды проверок:

  1. Плановая проверка проводится в конце года, предшествующего году проверки по истечении трех лет с момента регистрации компании или индивидуального предпринимателя, либо с момента последней проверки. План проверок выкладывается на сайтах территориальных органов Роскомнадзора. При этом с 2016 года РКН перестал предоставлять планы проверок в Прокуратуру, поэтому найти из через порталы прокуратуры не получится.

Плановые проверки бывают двух типов:

  • Выездные проверки проводят не менее двух представителей Роскомнадзора, которые выезжают в офис проверяемой компании, изучают обстановку, общаются с ответственным лицом и другими сотрудниками компании, забирают запрошенные ранее документы и уезжают. Если проверяемая компания крупная — представители Роскомнадзора выезжают на ее объекты чаще одного раза за проверку.
  • Документарные проверки проводятся удаленно через запрос необходимых документов. Их оператор персональных данных направляет в Роскомнадзор по электронной почте для анализа.
  1. Внеплановая проверка проводится только на выезде с обязательным уведомлением компании о посещении не менее чем за сутки.

Выезд сотрудников с внеплановой проверкой происходит по следующим основаниям:

  • физические или юридические лица (пользователи, клиенты, конкуренты и т.д.) подали жалобу на компанию в Роскомнадзор, где рассказали о нарушениях прав субъектов персональных данных;
  • по требованию прокурора (в органы прокуратуры поступили материалы и обращения о нарушении законодательства по персональным данным);
  • представители Роскомнадзора увидели информацию о нарушениях в СМИ, либо получили ее от государственных органов (например, Трудовой инспекцией);
  • компания не устранила обнаруженные нарушения в установленный в предписании срок, либо компания не уведомила об этом надзорный орган;
  • Президент или Правительство поручили провести проверку;
  • компания-оператор персональных данных предоставила неполные/недостоверные ответы на запросы Роскомнадзора, либо не ответила в течение 30 дней;
  • в ходе мероприятий систематического наблюдения были обнаружены нарушения законодательства;
  • сведения в уведомлении об обработке персональных данных компанией не соответствуют действительности (например, адрес местонахождения баз данных).
  1. Мероприятия систематического наблюдения также проводятся представителями Роскомнадзора в режиме онлайн в рамках целой отрасли. В ходе наблюдения анализируют изменения в ЕГРЮЛ, актуальность сведений о базах данных в уведомлениях, изучают сайт компании, отзывы в интернете, в СМИ. На основании этих факторов делают вывод, может ли компания потенциально нарушать закон. В случае подозрений сотрудники Роскомнадзора письменно просят дать разъяснения. Если ответ был несвоевременный или неполный, то представители Роскомнадзора могут инициировать внеплановую проверку и наложить штрафы. Это способ контроля Роскомнадзором выполнения требований законодательства, который начал активно применяться с 2015 года.

Что проверяет Роскомнадзор

С 2015 года Роскомнадзор запрашивает информацию блоками, изучая их в офисе компании последовательно в разные дни:

  1. Общие вопросы. Сюда входят регистрационные данные организации, категории обрабатываемых персональных данных, цели этих действий, системы, где происходит хранение и передача сведений, документация, касающаяся работы с персональными данными.
  2. Кадровый блок. К нему относятся методы подбора персонала, формы согласия на обработку персональных данных, получаемых от клиентов и сотрудников, все справки и договоры о порядке получения и хранения сведений от субъектов персональных данных.
  3. Информационные системы персональных данных. Здесь Роскомнадзору понадобится информация обо всем программном обеспечении, используемом для обработки персональных данных, его подробное описание и назначение, операции, совершаемые им, а также сведения о создании, хранении и уничтожении резервных копий.
  4. Интернет-сервисы. Сюда относят информацию о веб-ресурсе предприятия, его базах данных, используемых на нем системах сбора и обработки персональных данных, статистике посещений как через браузер, так и с помощью мобильных приложений.

Ссылка на список запрашиваемых документов.

Давайте рассмотрим некоторые блоки более подробно.

Информационные системы

В этом блоке проверяют все IT-системы, где происходят действия с персональными данными. Практически всегда специалисты запрашивают не просто устное описание программы и ее функций, а блок-схему работы ПО, хранения персональных данных. Выглядеть она может, например, таким образом: подробный разбор того, как персональные данные попадают в систему, путь, по которому проходит информация во время обработки, передача личных сведений конечному пользователю.

Также запрашивается документальная информация обо всех участниках процесса. Особо внимательно эксперты изучают роль трансагентов: необходимо как можно подробнее объяснить, каким образом они получают информацию и для каких целей. Часто требуются договоры с этими партнерами.

Еще один важный момент — необходимо документально подтвердить место, где находится система обработки персональных данных. Также надо быть готовым к тому, что Роскомнадзор может напрямую запросить сведения о локализации IT-службы или базы данных у поставщика этих услуг.

Стоит иметь в виду, что инспекторы могут потребовать наглядно продемонстрировать работу информационной системы. Для этого необходимо, чтобы ваш сотрудник в присутствии специалиста Роскомнадзора показал все операции, совершаемые с персональными данными: получение, обработку, передачу, уничтожение и т.д. Кроме того, могут быть запрошены скриншоты, чтобы убедиться, что заявленный в документах объем личной информации соответствует фактическому.

Помните, что эксперты проверяют не только основную базу данных, но и все сопутствующие ей системы: мобильные приложения, сайты, сведения из Яндекс.Метрики и Google Analytics, Flurry, рекламных систем. Для них используются все вышеописанные методы анализа: составление блок-схем, изучение местонахождения, ручная проверка. Для веб-ресурса также могут запросить информацию о том, на чем он написан и кем поддерживается.

Отдельное внимание стоит обратить на почтовые сервисы. Они не являются системой обработки персональных данных до тех пор, пока электронная почта не используется для сбора личных сведений (например, для приема откликов на вакансии).  

С недавних пор все IP-адреса, сведения из cookie-файлов и мобильных приложений также относятся к персональным данным. При работе с ними необходимо следить за соблюдением требований закона.

Процессы обработки персональных данных

Здесь Роскомнадзор изучает действия, связанные с персональными данными.

Основная цель — понять все происходящие в организации процессы по обработке личных сведений. Для этого специалисты могут потребовать подробное описание всех работ, проводимых с персональными данными и детально рассказать о каждом его этапе – сборе, удалении, пересылке и т.д.

Если какое-либо действие выходит за рамки обязанностей оператора, то в этом случае  Роскомнадзор может потребовать предоставить блок-схему этого процесса. Также проверяется цель обработки персональных данных и ее соответствие заявленной в документации.

Документарная проверка

На этом этапе происходит изучение и анализ всех корпоративных актов, справок и договоров, относящихся к персональным данным. Кроме документов, указанных в первоначальном запросе, необходимо предоставлять подтверждающие бумаги на для подтверждения всех заявленных фактов в ходе дальнейшей инспекции.

В этом году особо часто Роскомнадзор запрашивал информацию о том, кто имеет доступ к персональным данным, а также детально изучал документы о текущей деятельности компании и требовал много дополнительных данных по этому вопросу.

Отдельное внимание уделяется передаче персональных данных третьим лицам и получению данных от третьих лиц. Например, подрядчикам (дилерские центры, банки, IT-системы, системы бронирования отелей, кадровые службы и пр.). Особенно в США. Это связано с тем, что Роскомнадзор считает, что Соединенные штаты не способны как следует защитить информацию, и поэтому такую пересылку можно делать только с согласия владельца персональных данных. Кроме того, инспекторы интересуются целью передачи личных сведений за рубеж.

Напомним, что эксперты имеют право смотреть сами персональные данные.

Рекомендуем подготовить как можно больше запрашиваемых документов до начала проверки. В ходе мероприятия, скорее всего, понадобится предоставить много дополнительной информации, и заниматься сбором основных сведений просто не будет времени.

Как и в какие сроки проводится проверка

Проверки длятся 30 календарных  дней в зависимости от размера бизнеса. У Роскомнадзора есть возможность продлить проверку еще на 30 календарных дней. Но общая длительность не должна превышать 60 рабочих дней.

Перед проверкой регулятор посылает в компанию уведомление в виде копии приказа почтой или иным доступным способом, например, на официальный e-mail, курьером.

Если проверка плановая или внеплановая документарная, уведомление придет не менее чем за трое суток перед проверкой. Если проверка внеплановая выездная, компанию обязаны предупредить не менее чем за сутки.

В уведомлении будет указаны ФИО проверяющих, даты и тип проверки, к нему прилагается перечень необходимых документов и протокол запрашиваемой информации. Перечень вопросов, запрашиваемых документов и сведений может отличаться, и не всегда понятно, какая информация требуется.

Роскомнадзор имеет право переносить начало выездной проверки. Например, приехать не в первый день проверки, а на седьмой, или даже ближе к концу.

В офисе

Первый визит обычно не очень длительный: инспекторы просто придут и заберут всю подготовленную информацию для анализа. Именно поэтому лучше готовить ее заранее и как можно детальнее.

В офисе компании представители общаются с сотрудниками, осматривают территорию, помещения, особое внимание уделяют хранению персональных данных на бумажных носителях. Им важно понять, как в компании хранятся и обрабатываются данные, кто к ним имеет доступ, в каком виде они хранятся и где.

Компания предоставляет регулятору данные в виде заверенных копий документов, шаблонов, форм договоров и информационных писем.

После визита

После визита в офис и запроса документов представители регулятора анализируют полученную информацию. В том случае, если представленных фактов недостаточно, специалисты будут запрашивать дополнительные документы и задавать уточняющие вопросы. Так будет до тех пор, пока инспекторы полностью не составят полную картину по процессам обработки персональных данных в компании.

Роскомнадзор может сообщать о каких-то нарушениях еще в ходе проверки. Например, сказать, каких документов не хватает, какие не соответствуют требованиям, что они требуют сделать. После проверки представители Роскомнадзора составляют и вручают акт о проведенной проверке и ее итогах. Если были выявлены нарушения, они выдают предписания их устранить, составляют протоколы об административных правонарушениях и пересылают в органы прокуратуры.

Таким образом, возможны три исхода проверки:

  1. Нарушений не выявлено.
  2. Проверка продлена для выяснения дополнительных деталей.
  3. Обнаружены нарушения. На их устранение дается от 1 до 6 месяцев. Общение с Прокуратурой, суд, уплата штрафа.

Основные нарушения за последний год:

  1. Отсутствие разрешения на передачу данных третьим лицам.
  2. Не удаление персональных данных по окончанию срока их обработки.
  3. Неактуальные сведения в Реестре операторов персональных данных.
  4. Отсутствие разрешения на передачу персональных данных за рубеж.
  5. Отсутствие локальных актов на обработку персональных данных.
  6. Расположение баз данных за пределами РФ.

Подводим итог

Проверка Роскомнадзора — сложное и долгое мероприятие, требующее большой подготовки. Важно помнить несколько моментов, чтобы значительно облегчить процесс ее прохождения. Начните следовать нашим рекомендациям прямо сейчас:

  1. Решите вопрос локализации данных в России. Нерешенный вопрос парализует ваш бизнес не менее чем на 1 месяц. Если данные все же уходят за рубеж, берите разрешение с пользователей прямо сейчас.
  2. Проведите аудит взаимоотношений с подрядчиками, с которыми вы обмениваетесь данными. Нужен пункт в договоре или разрешение от каждого пользователя.
  3. Почистите информационные системы от устаревших персональных данных.
  4. Проверьте актуальность подготовленных вами документов по ФЗ-152 с учетом нововведений.
  5. Актуализируйте информацию в Реестре операторов персональных данных.
  6. Готовьте все необходимые документы заранее в момент завершения каких-либо внутренних работ, связанных с персональными данными (например, создания веб-сайта). Тогда не придется эти же сведения собирать в срочном порядке за пару дней до приезда инспекции.
  7. Соберите документы для проверки заранее. Как только было получено уведомление о предстоящем мероприятии, нужно тут же начинать сбор документации. Позже времени уже не будет, так как специалисты потребуют еще больше дополнительных сведений.
  8. Сотрудничайте с Роскомнадзором. Не стоит забывать, что инспекторы просто делают свою работу. Чем более детальную информацию вы им дадите, тем быстрее закончится проверка. Соблюдайте сроки и будьте открытыми.

Если вы не еще не подготовили документы или хотите их актуализировать, обратитесь за консультацией к нашей службе Экспертной поддержки  support@b-152.ru

Понравился материал?
Поделитесь им с коллегами и друзьями

Подпишитесь на нас

Получайте первым рассылку с экспертными материалами, информацией по изменениям законодательства по персональным данным и свежей аналитикой проверок Роскомнадзора.