Чем интересна статья: автор рассказывает, какие шаги и действия помогут достойно пройти проверку Роскомнадзора, какие мелочи могут привести к серьезным последствиям и напоминает об ответственности за нарушения законодательства в области защиты персональных данны
Как пройти проверку?
Исходя из опыта проверок и сотрудничества с кредитными кооперативами, хотелось бы обратить внимание руководителей на ряд рекомендаций, которые помогут пройти проверку Роскомнадзора:
1. Наличие уведомления на обработку данных и актуальность данных, указанных в нем.
Всем кредитным кооперативам, в первую очередь, нужно убедиться, что они включены в реестр операторов персональных данных. Для этого достаточно зайти на сайт Роскомнадзора (ссылка) и ввести ИНН организации.
Если КПК отсутствует в этом списке, то необходимо подать соответствующее уведомление об обработке персональных данных. Его форма размещена здесь: ссылка. Иначе регулятор имеет право оштрафовать вашу организацию.
Если вы нашли ваше уведомление, важно уточнить его содержание. Бывает, что уведомление заполнялось в 2007 г. В этом случае содержание полей может не соответствовать действительности. Из практики - большинство предписаний выносятся Роскомнадзором в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и другие сведения. Для внесения изменений в уведомление также существует специальная форма - ссылка. Важно помнить, что изменения не будут учтены, если вы не отправите письмо на бумажном носителе в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.
2. Проверка информационных систем.
Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), сосредоточьтесь на документальном обеспечении и обучению Ваших сотрудников. Строгого перечня документов, которые должны отражать все стороны вопроса обработки персональных данных, нет, есть лишь рекомендуемый. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, или можете разбить на множество мелких документов. Важно: - утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно документ называется «Положение об обработке и защите персональных данных». Описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн. В должностные инструкции всех лиц, допущенных к обработке персональных данных, вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». - определить категории персональных данных, которые у Вас подлежат защите отдельным приказом. Многие забывают, что персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден перечень сведений конфиденциального характера, определенный указом президента РФ № 188 от 6 марта 1997 г. переписываем пункты, относящиеся к вашей организации в свой приказ и готово. - разработать журналы, чтобы показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. Для этого вам понадобится «Журнал проведения инструктажа по информационной безопасности», «Журнал учета мероприятий по контролю обеспечения защиты персональных данных» и т.д. Роскомнадзор обязательно спросит журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Не забудьте перед проверкой завести журнал учета проверок кредитного кооператива контролирующими органами. - ко всем изданным документам должен быть приложен лист ознакомления и все лица (будь то инструкция или приказ) должны расписаться в том, что они ознакомлены с его содержание; - разработать один публичный документ, например, «Политика в отношении обработки персональных данных клиентов». Такой документ должен быть размещен на веб-сайте кредитного кооператива, либо на информационной доске в офисе или находиться в другом общедоступном месте. - Важно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек (должен быть наделен соответствующими полномочиями, например заместитель директора) будет отвечать в основном за «бумажные» вопросы и общение с контролирующими органами. Также необходимо определить администратора безопасности персональных данных. Он будет отвечать за техническую сторону вопроса. Назначение этих лиц можно назначить одним приказом. Все формулировки рекомендуется согласовывать с текстом законодательства. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99,9% регулятор в процессе проверки попросит внести изменения в документ. - Нужно назначить комиссию по определению (уровня защищенности) и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и минимум два члена комиссии. Обе комиссии по своему составу могут быть идентичными. - Составить список сотрудников, допущеных к обработке персональных данных. Сотрудники, которые работают с ПДн работников организации, клиентов и других категорий субъектов. В документе должно быть указано, к каким данным имеет доступ сотрудник и как обрабатывает эти данные. Например, с помощью средств автоматизации или «нет», а в случае автоматизированной обработкой роль в системе (пользователь, администратор и т.д.). Каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.
3. С субъектов надо собирать согласие на обработку данных
В законе есть исключения, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. Обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. Согласие на обработку ПДн снимет с вас множество неприятных вопросов. Ели есть возможность взять согласие с субьекта ПДн, сделайте это. Сведения, указанные в согласии должны совпадать с тем, что Вы обрабатываете на самом деле.
4. Соблюдайте осторожность при работе с документами.
Если к вам пришли сотрудники с проверкой из Роскомнадзора, а в отделе кадров лежать без присмотра пачки ксерокопий паспортов пайщиков, это повод получить серьезное замечание.
5. Требования к помещениям, где хранятся данные
Роскомнадзор требует, чтобы во всех кабинетах, в которых обрабатываются ПДн в бумажном виде (на бумаге), должны быть определены места хранения (сейфы, бухгалтерские шкафы, закрытые стеллажи) и назначены ответственные за сохранность, конфиденциальность ПДн в этих кабинетах. Поэтому необходимо подготовить приказ, в котором определены помещения, места хранения и ответственные сотрудники. Например: «В кабинете № 1 утвердить местом хранения сейф Инв. № 1, ответственным назначить Иванова В.В.».
6. Исправляйте недостатки в ходе проверки
При проверке, проявите готовность сотрудничать с регуляторами, исправлять недостатки в ходе проверки. Подготовиться идеально невозможно, будут какие-либо незначительные замечания. Не бойтесь, их можно устранить в процессе проверки, которая длится 20 дней. Если замечания будут устранены во время проверки, они не войдут в итоговый протокол. Если у Вас остались вопросы, позвоните в Роскомнадзор, не стесняйтесь, задавайте вопросы.
Ответственность
За несоблюдение законодательства в области защиты персональных данных руководителям КПК стоит обратить внимание на ответственность: П. 2 ст. 17 № 152-ФЗ «О персональных данных» Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. (Судебные риски)
-
Статья 137 УК РФ Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
-
Статья 138 УК РФ Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от двух до четырех месяцев. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы на, срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
-
Статья 274 УК РФ Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
-
Статья 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (их персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
-
Статья 13.12. КоАП РФ Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от двух тысяч пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
-
Статья 13.13 КоАП РФ Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.
-
Статья 13.14. КоАП РФ Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, - (в ред. Федерального закона от 09.04.2007 N 45-ФЗ).
Автор: Владислав Халяпин, руководитель консалтингово центра Школа Развития Бизнеса GRAND SCHOOL (grandschool.net), аккредитованный преподаватель в области Информационной и Экономической безопасности, а также, Защиты персональных данных.
С 2005 года работал на позициях от главного специалиста до начальника отдела по Информационной и Экономической безопасности в бюджетных, коммерческих и государственных организациях.
Имеет опыт построения систем защиты информации и персональных данных на различных уровнях. Преподавал систематику построения систем защиты для крупнейших компаний. Провел процедуры лицензирования ФСБ и ФСТЭК во многих компаниях.