Оператор персональных данных – что делать, когда придут. Руководство к действию.

Оператор персональных данных – один в поле воин

Оператор обязан обеспечить защиту персональных данных в соответствии с N 152- ФЗ «О защите персональных данных» от 26.01.2007г.

Оператор персональных данных обязан предпринять ряд организационных и технических мер для выполнения требований законодательства РФ, связанных с обработкой и обеспечением защиты ПДн.

Контроль за выполнением требований законодательства РФ в области защиты ПДн обеспечивают:

1. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных, осуществляет надзор по защите персональных данных согласно требованиям законодательства РФ.
2. Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
3. Федеральная служба безопасности (ФСБ) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.
4. Прокуратура осуществляет контроль за организационными и техническими мерами защиты ПДн, выполнением оператором условий по защите ПДн.

Частый гость по персональным данным

В связи с тем, что наиболее частыми являются проверки со стороны Роскомнадзора, рассмотрим более детально именно это направление.

Проверка проводится в отношении документов и локальных актов оператора персональных данных, указанных в ст. 18.1. Федерального закона «О персональных данных» от 27.07.2006 N 152- ФЗ., а также в отношении деятельности оператора и информационных систем персональных данных оператора, касающихся обработки.

Проверка Роскомнадзора может быть как плановая, так и внеплановая. Проверить, есть ли Организация в плане Роскомнадзора на проверку в текущем году, можно на
сайте ведомства. Срок проведения плановой проверки не может превышать 20 рабочих дней, но может быть продлена еще на 20 дней.

Как показывает практика, процент проведения внеплановых проверок растет, о проверке нельзя узнать с достаточным запасом времени, как следствие, нельзя должным образом подготовиться. Срок проведения внеплановой проверки не может превышать 10 рабочих дней, однако может быть продлена еще на 10 дней. Решение о проведение внеплановой проверки может быть принято, если, например, на Организацию поступали жалобы со стороны субъектов ПДн.

Как проверяет Роскомнадзор

По виду, проверка Роскомнадзора по персональным данным как регулятора, может быть документарной или выездной.

Документарная проверка

Документарная проверка (запрос документов) может быть только плановой. В Организацию приходит письмо от местного управления Роскомнадзора с какими-либо требованиями. Это может быть запрос на предоставление по почте копии организационно-распорядительной документации (ОРД) по обработке персональных данных, модели угроз и т.п. Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя оператора или уполномоченного представителя. В случае подачи документов в электронном формате, они должны быть подписаны усиленной квалифицированной электронной подписью.

Ответ Роскомнадзору следует дать в сроки, указанные в письме, обычно это 5 рабочих дней со дня получения запроса. Несвоевременный ответ влечет за собой предупреждение или наложение административного штрафа (для юридических лиц от 3000 – 5000 руб.) по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган (должностному лицу)».

В том случае, если в ходе документарной проверки выявлены ошибки, противоречия в представленных оператором документах, об этом направляется оператору ПДн соответствующий запрос с требованием представить в течение 3 рабочих дней необходимые пояснения в письменной форме или в форме электронного документа.

В случае непредставления оператором документов и пояснений в установленные сроки, орган по контролю и надзору издает приказ о проведении выездной проверки. 

Выездная проверка

Сотрудники Роскомнадзора проводят проверку непосредственно в Организации. Первым делом проверяющие предъявляют должностные удостоверения, приказ о назначении выездной проверки с полномочиями должностных лиц, проводящих проверку, а также с целями, основаниями, задачами.

До начала проверки представители регулирующего органа предъявляют письменный запрос о предоставлении необходимых документов (приказы, инструкции, политики, положения, модель угроз) для проведения проверочных мероприятий. Все документы должны быть заверены.

После ознакомления с составом документов, проверяющие могут просить направить им копии для изучения или предоставить помещение, где будут детально изучать документы.

Очень важно оказывать содействие проверяющим: предоставлять доступ к помещениям, не препятствовать проведению проверки.

По итогам проверки устанавливается факт отсутствия нарушений или их наличие с указанием нормативных актов, которые были нарушены. Составляется акт в двух экземплярах, прикладываются протоколы, справки, пояснения оператора и иные документы, подтверждающие результаты проверки. Спорный акт можно обжаловать.  

План успешной проверки

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления документов, связанных с информационным направлением, или воспользоваться услугами стороннего эксперта.

В качестве плана подготовки к проверке Роскомнадзора предлагается взять за основу следующую последовательность действий: 

Обеспечить защиту персональных данных субъектов ПДн.

1. Определить категории ПДн, которые обрабатываются оператором, их количество и тип субъекта ПДн (сотрудник/сторонний человек).
2. Определить уровень защищенности персональных данных.
3. Сформировать акты определения УЗ. Согласовать с назначенной приказом комиссией по определению УЗ.
4. Определить перечень ИС, в которых ведется обработка персональных данных, утвердить перечень приказом.
5. Определить перечень лиц, которые имеют доступ к ПДн и работают в информационной системе персональных данных (ИСПДн). Назначить их приказом назначить ответственных за работу с ПДн.
6. Определить актуальные угрозы ИБ ПДн, выявить актуальные категории нарушителей. Разработать модель угроз.
7. Определить меры по защите ПДн, учитывающие требования к УЗ и позволяющие нейтрализовать актуальные угрозы ИБ. Адаптировать базовый набор мер по защите ПДн.
8. Подобрать средства защиты. Разработать проект системы защиты информации.
9. Установить и настроить средства защиты информации. Разработать эксплуатационную документацию.
10. Разработать пакет ОРД по обработке ПДн. Документы должны быть персонализированы под конкретную организацию и ИСПДн. Должна быть учтена как автоматизированная, так и неавтоматизированная обработка ПДн. Подробнее о составе пакета ОРД мы расскажем в одном из следующих материалов.
11. Провести оценку эффективности средств защиты информации (СЗИ).
12. Проводить пересмотр модели угроз раз в 3 года.

Дорожная карта Оператора по обеспечению защиты ПДн

Обеспечить соблюдение организационных мероприятий при взаимодействии с Роскомнадзором:

1. Проверить наличие и актуальность уведомления об обработке персональных данных в Роскомнадзор. Возможно, внести корректировки. Уведомление должно быть направлено перед началом работы с данными.
2. Проверить наличие и доступность для субъектов ПДн политики в области обработки персональных данных (разместить на сайте Организации)
3. Подготовить сотрудников Организации к проверке. Сотрудники должны быть ознакомлены с нормативной документацией по обработке ПДн и установленными правилами поведения.
4. Проверить правильность хранения, обеспечения конфиденциальности документов, содержащих ПДн.
5. Вести себя корректно с проверяющими.