Проверка роскомнадзора 2018. план. что проверяют

Роскомнадзор план проверок на 2018 год | что проверяет, персональные данные

Ежегодные проверки Роскомнадзора — это такая же данность, как визиты пожарного или санинспектора. Важно знать, как соблюсти все требования законодательства. Для этого нужно собрать необходимые документы и тщательно подготовиться к проверке, чтобы в дальнейшем не платить штрафы.

План проверок Роскомнадзора на 2018 год

Контрольные мероприятия Роскомнадзора на 2018 год проводятся в соответствии с ежегодным планом. Такой формат деятельности практикуется с 2009 года. В середине декабря на сайте организации размещают план на следующий год.

По предварительной информации, в этом году РКН планирует провести контрольные мероприятия в отношении 900 организаций, которые имеют отношение к обработке персональных данных.

Наибольший интерес у надзорного органа традиционно вызывают следующие отрасли: образование, медицина, туризм, финансовые услуги и управляющие компании.

В подавляющем большинстве случаев речь будет идти о юридических лицах, а не об индивидуальных предпринимателях.

В план проверок Роскомнадзора на 2018 год включены как юрлица, подавшие уведомление об обработке персональных данных в реестр операторов, так и те, кто этого еще не сделал.

Как проходит проверка и что проверяет Роскомнадзор

Основные полномочия РКН определены в Федеральном законе от 27.07.2006 «О персональных данных» №152-ФЗ. Из этого документа следует, что у ведомства два главных направления деятельности:

• защита прав субъектов персональных данных;
• контроль и надзор за соответствием обработки персональных данных (ПДн) требованиям законодательства.

Иными словами, РКН следит за тем, чтобы ПДн граждан использовались строго по назначению, в соответствии с требованиями закона.

Проверка Роскомнадзора по защите персональных данных проходит каждый год согласно плану. Также нередки внеплановые проверки, которые проводятся после обращений (жалоб), либо после планового визита — чтобы убедиться в том, что все нарушения устранены. Надо помнить, что эксперты РКН дополнительно осуществляют систематический контроль, то есть мониторят сайт организации.

Готовиться к проверке следует тщательно. Особенно важно подать в Роскомнадзор уведомление об обработке персональных данных. Если этого не сделать, то на организацию будет наложен штраф.

Это случится и в том случае, если реальные факты о деятельности компании противоречат указанным в документе.

Также необходимо разработать внутрикорпоративный документ, посвященный политике по обработке персданных, и ознакомить с ним всех сотрудников.

Скачать образец уведомления в РКН об обработке персданных>>> 
скачать в .doc

Приходя в организацию с проверкой, инспектор РКН в первую очередь интересуется тем, как проводится работа с персональными данными. Скорее всего, он будет изучать:

• документы, содержащие ПДн граждан, и условия их хранения;
• компьютеры и приложения, с помощью которых ведется обработка данных;
• внутренние документы, регулирующие обработку персональных данных, а также их исполнение;
• сайт организации.

При этом наличие и работоспособность средств технической защиты информационных систем, в которых хранятся персданные, проверке Роскомнадзора не подлежит. Экспертов этой организации в основном интересует контроль правовых оснований для обработки персональных данных.

Далее мы более подробно расскажем о двух основных видах проверок.

Плановая

Как мы писали выше, этот вид инспекций проводится строго в соответствии с годовым планом. Согласно действующему Административному регламенту, о предстоящем визите проверяющих организация уведомляется за три рабочих дня.

Как правило, длительность плановой проверки не превышает 20 дней, но в редких случаях РКН может потребовать еще 20 дней, например, для дополнительной экспертизы документов.

Всего в ходе плановой проверки эксперт может запросить у организации 31 документ, самыми значимыми из которых являются:

• Уведомление об обработке ПДн.
• Документ, определяющий ответственного за организацию этой обработки.
• Перечень сотрудников, допущенных к этому процессу.
• Документ, определяющие места хранения ПДн.
• Справка об обработке специальных и биометрических категорий персданных.
• Справка об осуществлении трансграничной передачи ПДн.
• Типовые формы документов с персональными данными.
• Порядок уничтожения ПДн.
• Порядок их передачи третьим лицам.
• Типовая форма согласия на обработку.
• Порядок учета обращений субъектов ПДн.
• Перечень информационных систем персональных данных (ИСПДн).
• Документы, регламентирующие резервирование данных в ИСПДн.
• Перечень используемых средств защиты информации.
• Матрица доступа.
• Модель угроз.
• Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных».
• Журнал учета машинных носителей ПДн.

Внеплановая

Внеплановые проверки Роскомнадзора проводятся на особых основаниях и случаются не так уж редко. По форме они бывают документарными (организацию обязывают предоставить определенные документы) и выездными (личный визит эксперта в организацию). О предстоящей проверке Роскомнадзор уведомляет за 24 часа до ее начала – как правило, по телефону или факсу.

Для этого мероприятия может быть несколько оснований:

• Контроль исполнения решений Роскомнадзора по итогам плановой проверки. Обычно это происходит путем запроса определенных документов.
• Обращения или жалобы граждан, либо юридических лиц. РКН обязан рассматривать такие обращения и реагировать на них в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
• Индивидуальное решение главы Роскомнадзора, либо руководителя его территориального подразделения.
• Выявление систематических нарушений при работе с персональными данными.

Следует готовиться к тому, что внеплановые проверки будут частыми. По статистике, количество обращений и жалоб на условия работы с ПДн или размещение определенного контента растет из года в год, а требования к работе с персональными данными ужесточаются.

Источник: https://www.trudohrana.ru/article/103576-18-m5-roskomnadzor-plan-proverok

Роскомнадзор: проверки 2018

Эксперты расскажут, как проводит Роскомнадзор проверки, каким способом кадровику к ним подготовиться, какие документы потребуется привести в порядок.

Что проверяет Роскомнадзор: план проверок на 2018 год

С учетом Федерального закона под № 294-Ф3 плановые проверки могут осуществляться не чаще одного раза в три года.

Если контроль в компании уже проведен, а в течение указанного периода не были допущены какие-то нарушения, повторно в план проверок Роскомнадзора организация будет внесена только через три года.

Если же трехлетний срок уже истекает, рационально начать подготовку к повторному плановому контролю.

Проверка Роскомнадзора 2018 может быть:

1. Плановой. Плановая проверка проводится после предварительного предупреждения. За три дня до осуществления контроля работодатель получает сообщение о дате проверки. Роскомнадзор план проверок на 2018 год публикует на своем официальном сайте. Также о плановой проверке можно узнать на сайте прокуратуры.
2. Внеплановой. Внеплановый контроль проводится на основании полученной жалобы. О проверке сообщают организации за 24 часа до приезда инспекторов.
3. Выездной. Выездная проверка предназначена для обеспечения контроля за выполнением требований Федерального закона под № 152-Ф3 «О персональных данных».

Практическая ситуация

Отвечает Алексей Сутягин,юрист, эксперт по трудовому праву (Москва).

Инспекторы Роскомнадзора могут прийти в компанию не только с плановой проверкой, но и внезапно, например, по жалобе работника. Мы составили образцы документов, которые заинтересуют проверяющих. Проверьте, есть ли они в вашей компании. Заодно проинструктируйте сотрудников отдела кадров, как отвечать на вопросы контролеров, чтобы пройти проверку без последствий. Ответы смотрите в статье…

Из ответа «Как кадровику подготовиться к проверке Роскомнадзора»

Роскомнадзор проверки: на что обращают внимание инспекторы

График проверок Роскомнадзора на 2018 год представлен на официальном сайте. Инспекторы ознакомятся с необходимыми документами, которые ведут в организации.

В первую очередь обратят внимание на то, было ли подано уведомление в Роскомнадзор.

Если предприятие не попадает под законодательное исключение, но при этом не отправило уведомление, должностные лица будут привлечены к административной ответственности.

При наличии уведомления инспекторы будут на него ориентироваться, сравнивать с использованием реальных процессов обработки персданных в организации. При выявленных ошибках компанию могут оштрафовать за неинформирование или несвоевременное информирование Роскомнадзора.

Инспекторы Роскомнадзора осуществляют проверку сайта в реестре регистрации и проводят полный контроль имеющейся информации. На официальном сайте компании следует опубликовать политику обработки персональных данных.

Инспекторы проверят и формы документов на получение согласия и обработку персданных, порядок хранения конфиденциальной информации, порядок доступа к такой информации ответственных лиц.

Из видео «Проверяем персональные данные работника при трудоустройстве»

Как проходит проверка Роскомнадзора 2018, какие документы кадровику привести в порядок

Проверки Роскомнадзора на 2018 год включают контроль:

1. Документов, содержащих персональные данные. При выездных проверках инспекторы смотрят методы хранение персданных.
2. Обрабатывающих систем: компьютеров, программ.
3. Внутренних нормативных актов компании, которые непосредственно касаются персданных сотрудников.
4. Сайты компании, политику дальнейшей работы и использования персданных.

Не существует единого перечня тех документов, которые проверят инспекторы.

Но необходимо подготовить учредительные свидетельства компании, копии уведомления об осуществлении работы с персданными или выписку из реестра операторов, Положение оработе с персональными данными, Политику обработки персданных, письменное согласие работников на обработку персданных. Потребуется и список сотрудников, назначенных приказом руководителя и допущенных к работе с персданными.

Уведомление об обработке персональных данных

Статьи, подготовленные экспертами «Системы Кадры» помогут разобраться в вопросах ведения кадровых документов, организации обработки и хранения персональных данных. Это позволит своевременно подготовиться к проверке.

Роскомнадзор: плановые проверки

Плановая проверка персональных данных проводится на основании соответствующих документов, Роскомнадзор уведомляет организацию за три дня до приезда инспекторов. Что можно успеть сделать за это время? Привести в порядок все документы, информационные системы.

Крупные компании содержат в штате специального специалиста, который контролирует весь процесс заполнения и хранения информации конфиденциального характера.

Небольшие предприятия могут нанять сторонних экспертов, которые в течение трех дней систематизируют все данные и подготовят к проверке.

В первую очередь работодатель должен убедиться в том, что в Роскомнадзор своевременно подано уведомление об обработке персданных (при необходимости).

На сайте Роскомнадзор есть график проверок 2018. Если уведомление в организацию не отправлено, но с момента посещения инспекторов прошло более двух лет, можно посмотреть дату следующей проверки и провести всю соответствующую подготовку заранее.

Каков график проверок Роскомнадзора на 2018 год

График проверок Роскомнадзора на 2018 год опубликован на официальном сайте указанного ведомства.

В ежегодных планах указывают:

1. Наименование юрлиц, представительств, филиалов, обособленных подразделений.
2. Цель, основание для проверки.
3. Дату, сроки проведения.
4. Наименование органа государственного надзора или контроля, который будет проводить работу.
5. План проведения контроля. Документ утверждает руководитель, информацию размещают на сайте.

В статьях экспертов журнала «Кадровое дело» описано, как утвердить политику обработки персданных, какие сведения важно проверить, чтобы не получить штраф.

Вывод

Плановые проверки Роскомнадзор проводит не чаще одного раза в три года. Внеплановый контроль проводится на основании полученной жалобы. Выездная проверка предназначена для обеспечения контроля за выполнением требований Федерального закона под № 152-Ф3 «О персональных данных». К контролю следует тщательно подготовиться, привести в порядок документацию и информационные системы.

Источник: https://www.kdelo.ru/art/382214-roskomnadzor-proverki-2018-18-m9

Особенности проверок Роскомнадзора в 2018 году

Дед Роскомнадзор весь год ищет операторов персональных данных, которые с точки зрения закона «плохо себя ведут», и выписывает им предписания. В этой статье расскажем о том, как это происходит в 2018 году.

• В 2017 году внесли изменения в ст. 13.11 КоАП РФ расширив ее до семи составов правонарушенийи увеличив штрафы в несколько раз.
• В 2017 году вступили в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и обработкой персональных данных должников.
• В 2017 году Роскомнадзор стал запрашивать больше информации (более 30 документов), а проверки стали объемнее и тщательнее: 

Стали проверять информационные системы, а не запрашивать скриншоты форм, страниц и полей, как раньше.

Появилось понятие метаданные (IP, местонахождение, cookies и др.), и они тоже являются персональными данными, теперь нужно брать разрешение на их обработку с пользователей сайта.

Уровень проверок стал более детальным, сотрудники накопили опыт и стали разбираться в особенностях IT –процессах в организации и интернет-сервисах на сайтах.

Что проверяет Роскомнадзор в 2018 году

1. Общие вопросы

Сюда входят регистрационные данные организации, категории обрабатываемых персональных данных, цели этих действий, системы, где происходит хранение и передача сведений, документация, касающаяся работы с персональными данными.

2. Кадровый блок

К нему относятся методы подбора персонала, формы согласия на обработку персональных данных, получаемых от клиентов и сотрудников, все справки и договоры о порядке получения и хранения сведений от субъектов персональных данных.

3. Информационные системы персональных данных

Здесь Роскомнадзору понадобится информация обо всем программном обеспечении, используемом для обработки персональных данных, его подробное описание и назначение, операции совершаемые ими, а также сведения о создании, хранении и уничтожении резервных копий.

4. Интернет-сервисы

Сюда относят информацию о веб-ресурсе предприятия, его базах данных, используемых на нем системах сбора и обработки персональных данных, статистике посещений,  как через браузер, так и с помощью мобильных приложений.

Подведем итоги

После вступления с 1 июля 2017 года в силу поправок в статью 13.11 КоАП РФи  увеличения штрафов,изменился  подход организаций к выполнению требований закона и к подготовке к проверкам.

Если раньше организации считали, что проще ничего не делать и можно ждать вероятную проверку и по ее итогам заплатить небольшой штраф (до 10 000 рублей), то теперь компании понимают, что проверкаРоскомнадзора- это сложное мероприятие, требующее большой подготовки.

https://www.youtube.com/watch?v=lgOKJGxUZYA

Следуйте этим рекомендациям, и процесс подготовки займет меньше времени, а вы будете готовы к любой проверке (плановой или внеплановой).

Источник: http://vkk-journal.ru/osobennosti-proverok-roskomnadzora-v-2018-godu/

Роскомнадзор сократит количество плановых проверок в сфере связи в 2018 г. на 17,7% — до 311

Количество плановых проверок, проводимых специалистами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), сократится в 2018 г. на 17,7% по сравнению с показателем 2017 г., сообщили в пресс-службе ведомства со ссылкой на его руководителя Александра Жарова.

«Роскомнадзор во исполнение поручений президента и правительства Российской Федерации продолжает переход на риск-ориентированный подход при проведении контрольно-надзорных мероприятий, одновременно сокращая количество проверок. В 2017 г. в сфере связи будет проведено 378 плановых проверок, что на 11,5% меньше уровня прошлого года. В 2018 г.

будет проведено 311 плановых проверок — уже на 17,7% меньше по отношению к 2017 г. С 2012 г. количество плановых проверок в сфере связи снижено более чем в семь раз», — приводятся в сообщении слова А. Жарова.

В пресс-службе уточнили, что во столько же раз с 2013 г. сокращено количество плановых проверок в сфере массовых коммуникаций. По итогам 2017 г. их будет проведено всего 59.

Приоритет отдается дистанционным методам контроля. При этом обеспечен 100% охват медиапространства страны.

«Главными целями реформы контрольно-надзорной деятельности провозглашены переход на риск-ориентированный подход при осуществлении контроля и надзора, снижение административной нагрузки на бизнес путем сокращения количества проверок и перехода на контрольную деятельность без взаимодействия с проверяемыми лицами», — пояснил А. Жаров.

В пресс-службе отметили, что новые подходы к контрольно-надзорной деятельности существенно повышают значимость профилактической работы. В общей сложности за три квартала этого года Роскомнадзором проведено около 4 тыс. профилактических мероприятий. Благодаря профилактике только в сфере массовых коммуникаций количество нарушений снизилось в 2017 г. на 10%.

«Сейчас мы говорим о больших пользовательских данных, когда личные идентификаторы используются для выявления политических взглядов, потребительских предпочтений, для построения профиля личности — работа по защите персональных данных становится особенно чувствительной и важной. Не ошибусь, если скажу, что обеспечение конфиденциальности персональной информации становится сегодня ключевым фактором обеспечения безопасности конкретного человека», — подчеркнул А. Жаров.

В связи с этим, по его словам, Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных просто обязан вести образовательную и просветительскую работу среди граждан, особенно среди молодежи.

Читать ещё •••

Источник: https://news.rambler.ru/other/38642515-roskomnadzor-sokratit-kolichestvo-planovyh-proverok-v-sfere-svyazi-v-2018-g-na-17-7-do-311/

Читаем планы проверок Роскомнадзора

Новый рабочий год в нашем агентстве, в силу специфики деятельности, традиционно начинается с тщательного изучения плана проверок Роскомнадзора. В этот раз он начался почти невероятно. Впервые за последнее время Роскомнадзор не вывесил до начала года план проверок на своем сайте.

И не только проверок в отношении персональных данных, не очень элегантно выведенных законодателями с 1 сентября 2015 года из-под регулирования Федеральным законом 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», и не требующих теперь согласования с прокуратурой (об этом я писал здесь), но и сводного плана плановых (извините за тавтологию) проверок ведомства на 2016 год.

Вместо сводного плана на первой странице официального сайта надзорного органа 31 декабря появилась короткая, но весьма интересная публикация под заголовком «О планировании контрольно-надзорной деятельности в области персональных данных на 2016 год», в которой сообщалось, что «Роскомнадзором завершено планирование контрольно-надзорной деятельности в области персональных данных. С учетом изменений, внесенных в действующее законодательство Российской Федерации, процесс планирования опирался на анализ деятельности операторов с учетом правоприменительной практики, сложившейся с 1 сентября 2015г. В общей сложности на 2016 год запланировано более 1000 плановых проверок и около 2000 мероприятий систематического наблюдения персональных данных… В ходе указанных проверок в том числе будет осуществляться контроль за исполнением операторами требований по локализации баз данных на территории Российской Федерации». Далее указывается, что «По состоянию на 31 декабря 2015 года планы территориальных органов Роскомнадзора размещены на официальных сайтах территориальных органов Роскомнадзора в соответствии с требованиями административного регламента ведомства», куда всем желающим, видимо, и надо заглянуть, чтобы узнать о перспективах увидеть представителей надзора в гостях.

Что ж, мы люди привычные к хождению не простыми путями, посмотрим сайты территориальных органов, в частности, управлений по ЦФО, СЗФО, УрФО и Вологодской области.

В ЦФО документ называется «План деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2016 году». Этот план дает, пожалуй, наиболее полное представление о стратегии контрольной деятельности ведомства в новых реалиях.

Первым из гигантов, попадающих под раздачу, стала корпорация Microsoft, заодно с ней будут проверены HP и Samsung.

Почему именно эти две компании, знает только автор задумки, но в отношении Microsoft, которая активно и давно сотрудничает с правительствами и спецслужбами по всему миру, в том числе и в России, раскрывая свои исходные коды и предоставляя их для сертификации по требованиям безопасности, такое решение заставляет задуматься. Корейским вендорам, похоже, спонсорство на международной конференции Роскомнадзора и громкие публичные заявления о переносе всего в Россию тоже не очень помогло.

Следующая и самая большая по численности группа – российские дочки зарубежных банков. Здесь команда подобралась более, чем достойная: Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК», а заодно с ними – и «Московский кредитный банк», «Национальное бюро кредитных историй» и форекс-брокер «Альпари».

В отношении дочек зарубежных банков просматривается интересная тема – будет ли Роскомнадзор считать сведения о движении средств по счету персональными данными, или согласится с тем, что эти сведения составляют иную охраняемую законом категорию – банковскую тайну.

Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона.

Вот она, могучая сила трактовки, о которой столько уже понаписали блогеры! Постараюсь этот вопрос обсудить на круглом столе с регуляторами в Магнитогорске – тема увлекательнейшая.

Третья группа – зарубежные производители косметики, физически представленные в России и так любящие программы лояльности и рекламные рассылки потребителям.

Набор почти полный: «Амвэй», «Эйвон Бьюти», «Ив Роше Восток», «Мэри Кэй», «Орифлэйм» и попавшая в достойную компанию отечественная «ФАБЕРЛИК» (к вопросу о целесообразности иноязычных названий).

Здесь, я так понимаю, центральным вопросом будет местонахождение вожделенных CRM-систем и наличие доказываемого согласия на продвижение товаров путем прямых контактов по каналам связи (тема, хорошо знакомая получателям ежедневных смс-рассылок о 50-процентных скидках сами-знаете-от-кого).

Следующая группа – продавцы автомобилей и ретейл. В первой подгруппе – тоже цвет мировой промышленности и российских дилеров: «Крайслер», «Фольксваген», и, для полного комплекта, «Рольф». Попадают ли персональные данные счастливых обладателей новых авто за рубеж, и если да – то как? Хороший вопрос.

Ретейл: «Перекресток», «ИКС 5 Ритейл Групп», близко к ним находится с точки зрения возможных проблем с законом «Макдоналдс».

Столпы туризма: «Пегас Туристик» (главное направление до недавнего времени – Турция), «ФорСи» (российское подразделение Four Seasons TravelNotes), «Островок.

Ру» (отечественная система бронирования отелей), «Сирена-Трэвел» (отечественная система бронирования авиабилетов и не только), «Азимут Хотелс Компани» (международная сеть отелей), «Гелиопарк» (российская сеть отелей). Здесь тоже все понятно.

Трансграничка, неадекватные страны, Турция и Египет. Согласия субъектов, в том числе не являющихся стороной договора, но получающих услуги (члены семьи, большие компании по интересам, «корпоративный туризм»).

Программы лояльности, скидки, поручения многочисленным контрагентам со всего мира (бронирование, трансферы, гиды и прочее), часть 3 статьи 6 152-ФЗ в полном объеме. Сказка для знающего проверяющего.

Дошли, наконец, руки, и до порталов по поиску работы и подбору персонала «СуперДжоб» и «Хэдхантер». Здесь проверяющих тоже ждет масса интересного, если углубятся. Одни лицензионные соглашения чего стоят. Ну, и где хостятся базы, если поискать?

Негосударственные пенсионные фонды: «Согласие», «Лукойл-Гарант». Наряду с коллекторами это область бизнеса, вызывающая постоянные претензии как субъектов, так и разного рода органов надзора – от ПФР до Роскомнадзора и Роспотребнадзора.

Из российских интернет-компаний в план попал «Суп Медиа» группы «Рамблер». Не все однозначно, будем смотреть.

Очень большие интернет-магазины «Озон» («Интернет Решения»), «Купишуз» (она же – Lamoda), «Приват Трэйд» (она же – KupiVip.ru c сайтами для Казахстана и Беларуси), «Вайлдберриз» (брендовая одежда).

Регистрация пользователей, доставка товара, партнеры, контрагенты, опять же – программы лояльности, сроки хранения данных (а что здесь персональные данные?), неизбыточность хранимых данных, процедура уничтожения.

Тоже темы глубокие.

ООО «Телеконтакт» – крупнейший колл-центр с подразделениями в Беларуси и на Украине. Тоже очень интересно, особенно учитывая отношение Роскомнадзора к обработчикам.

Поручения на обработку и адекватность принятых мер защиты напрашиваются сами собой, но вот неподведомственность ст.19 152-ФЗ Роскомнадзору несколько смущает.

Кстати, это не единственный колл-центр, который будет подвержен проверке по персональным данным. Есть они и в планах других территориальных органов.

В целом план ЦФО находится в русле заявлений руководителей надзорного ведомства о критериях выбора объектов плановых проверок и направленности контрольной деятельности. Результаты будет очень интересно посмотреть.

В СЗФО все гораздо сложнее и запутаннее. Планов несколько.

В «Плане проведения проверок органов местного самоуправления и должностных лиц местного самоуправления на 2016 год» 5 муниципальных органов, все проверяются по персональным данным.

Первая из проверок по плану должна была начаться позавчера, 11 января, в первый рабочий день после длинных каникул.

В «Плане проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2016 год» ни одной проверки по персональным данным нет.

Но зато в «Плане деятельности Управления Роскомнадзора по Северо-Западному федеральному округу в 2016 году» картина совсем иная. Там два интересных раздела: «3.4.

Осуществление контроля за соблюдением обязательных требований в сфере защиты прав субъектов персональных данных», в котором предусмотрено 20 мероприятий систематического наблюдения (об этом направлении деятельности надо писать отдельно, может быть, несколько позже удастся) и «Организация и проведение государственного контроля (надзора) за соответствием деятельности операторов, осуществляющих обработку персональных данных, являющихся государственными органами, юридическими и физическими лицами, требованиям законодательства Российской Федерации в области персональных данных». В этом разделе четкой линии и направленности, как в ЦФО, я не увидел. Несколько вузов и других образовательных учреждений, банк «Санкт-Петербург», «Несте» (сеть заправок с финским участием), «Госзнак», кабельная сеть, колл-центр, пара предприятий ЖКХ.

Из интересного и вписывающегося в концепцию – питерское подразделение «Бритиш Американ Тобакко», «В Контакте» (так в плане), «Ти-Джей Трэвел», «Кронвелл Отель Менеджмент», «Бентли» (ох, уж эти автолюбители!), «Единый визовый центр», «Две палочки» (привет «Макдоналдсу»!), «Негосударственный пенсионный фонд Оборонно-промышленного комплекса». В целом довольно скучно, учитывая резидентов Питера и окрестностей.

Зато про планирование в Вологодской области читал, как детектив. Изначально план был утвержден 29 октября прошлого года, и в нем 13 из 17 проверок затрагивали тему персональных данных.

Руководителем территориального органа было приказано отправить план на согласование в прокуратуру.

25 ноября его же приказом № 168 все проверки по персональным данным были… из плана исключены: 10 просто удалены, в оставшихся трех тема была изменена на выполнение лицензионных условий в области связи и использование радиочастотного спектра.

Итого в плане осталось 7 проверок, и все не про персональные данные. В обоснование этих действий в приказе указаны любимый 242-ФЗ, а также 294-ФЗ, положение о территориальном управлении и письмо Генеральной прокуратуры от 29.10.2015 № 76/2-547-2015. Тоже тема для анализа.

В УрФО две проверки муниципалов.

По теме «проверка соблюдения обязательных требований в сфере обработки персональных данных» территориальное управление будет проверять Администрацию городского округа Верхняя Пышма вместе с территориальными управлениями Федеральной службы государственной регистрации, кадастра и картографии и Федеральной службы по ветеринарному и фитосанитарному надзору, а Администрацию Артемовского городского округа – вместе с Минстроем, Минприродресурсов области, автодорожным надзором, тем же ветеринарным и фитонадзором, а также Роспотребнадзором. Без комментариев. Среди не-госов в план первоначально были включены потребительский кооператив «Народный капитал», негосударственные образовательные учреждения, «ЕВРАЗ Качканарский ГОК», ФГУП «Электрохимприбор», больница, местные филиалы «Райффайзенбанка» и «Активкапитал Банка». А 2 декабря приказом руководителя 10 субъектов проверок по теме персональных данных из плана были исключены без объяснения причин.

Если Алексей Лукацкий прав в своем предположении о том, что и порядок контроля и надзора в отношении персональных данных, а также свои полномочия Роскомнадзор будет регулировать самостоятельно, нас ждут веселые времена. В полном соответствии с точкой зрения представителей ведомства: «Практика правоприменения покажет. Если надо, подкорректируем».

И в заключение, в порядке пожеланий. Уважаемые господа чиновники. Нельзя же так мучить субъектов надзора. Планы в форматах pdf (не допускающем поиск), абсолютно нечитаемом кривом tiff (оба формата требуют поворота страниц в разные стороны), иногда – Word и Excel. Нормализуйте форматы, пожалуйста.

Источник >>>

Источник: http://d-russia.ru/chitaem-plany-proverok-roskomnadzora.html

Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит.

Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.    

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований.

Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.

Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который  занимается вопросами персональных данных.
3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию,  например, данные сотрудников в бухгалтерию.
4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном. 

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?  

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

1. данные, которые обрабатываются в соответствии с трудовым законодательством;
2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. данные, сделанные субъектом персональных данных общедоступными;
5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.

6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами.

Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны.

Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Елена Республиканская

Источник: https://kontur.ru/articles/1775

Опыт прохождения проверки Роскомнадзора по персональным данным

Как показывает практика, проверка Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в области обработки персональных данных (ПДн) является сравнительно редким событием.

Например, в 2013 году в Центральном федеральном округе проведено всего 26 (!) проверок, из которых 22 выездных и 4 документарных. В свете малочисленности подобных мероприятий они и сейчас интересны специалистам по информационной безопасности, так как практика выполнения требований ФЗ-152 от 27.06.

2006 «О персональных данных» и подзаконных актов еще до конца не сформировалась. Об этом факте свидетельствуют периодически появляющиеся разъяснения контролирующего органа (по персональным данным работников, биометрическим персональным данным).

Эти разъяснения выпускаются Роскомнадзором совместно с экспертами для того, чтобы помочь организациям (операторам) выполнить требования и привести все свои структурные подразделения к единому пониманию существующих нормативных правовых актов, касающихся обработки персональных данных.

В данной статье описывается опыт прохождения проверки Роскомнадзора, который может оказаться полезным другим организациям при выполнении работ по защите ПДн.

В конце прошлого года компания АйТи стала консультантом «Эльдорадо» при прохождении проверки Роскомнадзора по персональным данным.

«Нашим главным критерием при выборе компании являлось наличие опыта прохождения таких проверок. Нам необходимы были определенные гарантии, поскольку мы не могли рисковать своей репутацией», – комментирует Константин Коротнев, менеджер по информационной безопасности Компании «Эльдорадо».

Перед нами поставили задачу – пройти проверку с минимальными замечаниями. Забегая немного вперед, скажу, что нам это удалось. Теперь обо всем по порядку.

РАЗМИНКА

Днем «Х» было 5 ноября, согласно «Плану проведения проверок». Какая предполагается проверка, начало, а также сроки ее проведения, можно посмотреть на сайте Управления Роскомнадзора по соответствующему федеральному округу, в нашем случае это Центральный федеральный округ.

Проверка предполагалась плановая выездная, все в соответствии с ФЗ-294 от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

До начала проверки у нас было Уведомление о проведении плановой выездной проверки ООО «Эльдорадо» вместе с перечнем документов, который необходимо предоставить сотрудникам Роскомнадзора.

Всего запрашивался 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):

• Уведомление об обработке ПДн
• Документ, определяющий ответственного за организацию обработки ПДн
• Перечень сотрудников, допущенных к обработке ПДн
• Документ, определяющие места хранения ПДн
• Справка об обработке специальных и биометрических категорий ПДн
• Справка об осуществлении трансграничной передачи ПДн
• Типовые формы документов с ПДн
• Порядок уничтожения ПДн
• Порядок передачи ПДн третьим лицам
• Типовая форма согласия на обработку ПДн
• Порядок учета обращений субъектов ПДн
• Перечень информационных систем персональных данных (ИСПДн)
• Документы, регламентирующие резервирование данных в ИСПДн
• Перечень используемых средств защиты информации
• Матрица доступа
• Модель угроз
• Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
• Журнал учета машинных носителей ПДн

Совместно с коллегами из «Эльдорадо» мы подготовили все документы. Все организационно-распорядительные документы уже были сделаны, мы готовили только справки, выписки или копии документов.

Комплект получился настолько внушительный, что в итоге сотрудникам Роскомнадзора пришлось делить его на двоих. Кроме того был подготовлен реестр документов, в котором сотрудник РКН должен расписываться за каждый полученный документ.

Очень удобная вещь, позволяющая отследить все переданные документы и иметь подтверждение о передаче всех запрошенных документов в Роскомнадзор.

Помимо подготовки документов мы провели инструктаж для сотрудников центрального офиса, участвующих в проверке и взаимодействующих с представителями РКН.:

Сами сотрудники не первый раз сталкиваются с информационной безопасностью (в «Эльдорадо» внедрены процессы менеджмента ИБ и есть действующий сертификат ISO 27001). Они и до этого были подготовлены, освежили информацию в голове, вспомнили нужные определения, перечитали имеющиеся регламенты и инструкции по ПДн, навели порядок на столе. Сотрудники были готовы к предстоящей проверке.

ПОСТАНОВКА В ЧЕТЫРЕХ АКТАХ

Плановая выездная проверка должна была проводиться с 5 по 29 ноября. Надо понимать, что РКН не будет все это время находиться у Оператора, в этом нет особого смысла. Всего было 4 встречи с представителями РКН на территории «Эльдорадо».

Первая встреча состоялась 5 ноября, как и планировалось. Сотрудники Роскомнадзора привезли бумажную версию Уведомления о проведении плановой выездной проверки ООО «Эльдорадо», договорились о дате следующей встречи, очертили масштаб проверки (сразу сказали, что будут проверять центральный офис и несколько магазинов, в итоге остановились на двух) и уехали.

Вторая встреча была основной. В первую очередь сотрудники РКН посмотрели Уведомление оператора и внесенные изменения, среди значимых комментариев были следующие:

• Обработка персональных данных начинается с момента создания организации (то есть регистрации в ФНС), а не с момента подачи Уведомления в Роскомнадзор
• В Уведомлении необходимо указывать все физические адреса Оператора (если они относят к данному юридическому лицу), где ведется обработка ПДн, даже если они находятся в других федеральных округах РФ
• В случае изменения сведений, указанных в Уведомлении, необходимо в течение десяти рабочих дней донести эту информацию до РКН (ФЗ-152, ст. 22, п. 7)

Специалисты Роскомнадзора задавали вопросы по основным отделам, в которых ведется обработка ПДн, для понимания целей обработки в целом. Затем прошлись по всем компаниям, с которыми возникает обмен персональными данными – ЧОП, кадровые агентства, банки, операторы связи, архивное хранение документов.

Остановились на камерах видеонаблюдения, мы упомянули новые разъяснения Роскомнадзора, сослались на то, что идентификация человека не производится (соответственно, это не биометрические персональные данные), коллеги из Роскомнадзора согласились, правда, попросили повесить табличку «Ведется видеонаблюдение».

Через 10 минут на входе висела табличка с соответствующей надписью.

По информационным системам персональных данных (ИСПДн) запросили перечень, модели угроз на ИСПДн, проект по созданию системы защиты персональных данных и сертификаты на средства защиты информации. Также был вопрос по трансграничной передаче информации по каналам связи.

Сотрудники Роскомнадзора понимают, что осуществить обмен зашифрованными данными по каналам, используя ГОСТ 28147-89, с зарубежным государством практически невозможно, поэтому им было достаточно понять, что осуществляется шифрование, и информация не передается в открытом виде.

После ознакомления с документами сотрудники РКН перешли к обследованию на местах. Вся наша большая команда пошла в отдел кадров. Проверяющие посмотрели, где хранятся личные дела и трудовые книжки, убедились, что личные дела действующих работников хранятся отдельно от личных дел уволенных.

Руководитель отдела кадров рассказал, как набирают сотрудников, как хранят дела, как происходит удаление персональных данных и при каких обстоятельствах. После этого работникам Роскомнадзора показали, как работает сотрудник отдела кадров: вход/выход из операционной системы, вход/выход из ИСПДн.

Также проверяющие попросили сделать скриншоты программ, используемых для обработки ПДн, для подтверждения информации об ИСПДн.

Когда закончили проверять отдел кадров, решено было поехать в ближайший магазин «Эльдорадо» и проверить, как там производится обработка ПДн. В магазине ведется очень ограниченная обработка персональных данных, в основном это анкеты клиентов, которые хранятся в бумажном виде и заносятся в базу клиентов, которая не хранится локально. Анкеты хранятся в коробках, в защищаемых помещениях.

Хранить каждую анкету в отдельном файле не нужно в соответствии с ПП-687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Затем работники Роскомнадзора посмотрели, как работает сотрудник магазина за компьютером: вход/выход из системы, вход/выход из ИСПДн, скриншоты используемых программ.

В рамках третьей встречи проверяли еще один магазин, который находился недалеко от Управления Роскомнадзора. Проверка проходила также как и в первом магазине, принципы организации магазинов «Эльдорадо» одинаковые, вне зависимости от размеров, поэтому подходы и способы обработки ПДн точно такие же. Проверяющие убедились в этом достаточно быстро, на этом проверка в магазине закончилась.

В ходе проверки было запрошено еще большее количество документов (чем изначальный перечень из 31 документа), это различные регламенты, справки, выписки, договоры, в итоге общее количество перевалило за сотню. Роскомнадзор был доволен, что под каждым словом был документ.

На этом проверка оператора заканчивается.

РЕЗУЛЬТАТЫ

По результатам проверки Роскомнадзора передал компании «Эльдорадо» следующие документы:

• Акт проверки (с выявленными нарушениями)
• Справка о результатах плановой выездной проверки
• Предписание об устранении двух незначительных несоответствий, которое было исполнено в течение месяца после получения

«Результаты проверки оказались положительными. Роскомнадзор подтвердил, что мы выполняем требования ФЗ-152.

Со своей стороны могу добавить, что мы понимаем, насколько важно обеспечить защиту персональных данных наших клиентов и работников компании, и прикладываем все усилия для создания современной и надежной системы управления информационной безопасностью, соответствующей как лучшим мировым практикам, так и нормативным актам РФ», — подытоживает Константин Коротнев, менеджер по информационной безопасности компании «Эльдорадо».

ВЫВОДЫ

Представители Роскомнадзора не ставят перед собой задачу закрыть компанию. Происходит конструктивный диалог, в рамках которого можно и нужно отстаивать свою позицию, для этого есть все необходимые инструменты в виде нормативных документов по персональным данным. Все в ваших руках.

Источник: https://bis-expert.ru/blog/5387/43953