Как подготовиться к проверке Роскомнадзора?

Анастасия Успенская 1 декабря 2015
Как подготовиться к проверке Роскомнадзора?

Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей. 

Есть восемь моментов, на которые обращает внимание Роскомнадзор.

1. Ознакомление работников

Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:

  • Политика в отношении обработки персональных данных;
  • Положение об обработке персональных данных;
  • Положение об обработке персональных данных без использования средств автоматизации.

2. Обучение работников в области защиты персональных данных

Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:

  • приказом о допуске к обработке ПДн;
  • Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
  • планом проведения внутреннего контроля;
  • приказом об утверждении перечня помещений, в которых ведется обработка;
  • инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.

3. Актуализация уведомления в Роскомнадзор об обработке ПДн

При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор.

В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ.

С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.

4. Согласие субъектов на обработку ПДн

В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:

  • обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
  • обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
  • составление общедоступных справочников внутри организации, адресных книг и т п.

При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:

  • ФИО, адрес, паспортные данные субъекта ПДн;
  • ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
  • наименование (ФИО) и адрес оператора;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых дается согласие;
  • наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
  • перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
  • срок, в течение которого действует согласие субъекта ПДн;
  • подпись субъекта ПДн.

5. Поручение обработки третьему лицу

В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.

Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.

Поручение оператора содержит:

  • перечень действий с ПДн;
  • цели обработки ПДн;
  • обязанность соблюдения конфиденциальности ПДн;
  • обязанность обеспечения безопасности ПДн;
  • требования к защите ПДн.

При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.

6. Обработка ПДн на бумажных носителях

Бумажные носители ПДн также должны отвечать ряду требований законодательства:

  • в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
  • в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
  • для всех документов должны быть указаны сроки их хранения;
  • в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;
  • если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
  • материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.

Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.

Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.

7. Избыточность обрабатываемых персональных данных

Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.

8. Публикация Политики

Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.

Убедитесь в том, что персональные данные в вашей компании защищены

Узнать больше

Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур

Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
1155 просмотров
В избранное
Безопасность
Безопасность

Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: ФИС ГИА, АИСТ ГБД, ЕГИСМ, ФИС ФРДО и др.

Узнать больше

Комментарии

Комментарии Написать свой
Спасибо за ваше мнение!
← К списку публикаций

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.