Как проходят проверки?
Подготовка к проверке Роскомнадзора: легко, просто, без ошибок
Визит Роскомнадзора зачастую не взывает у организаций положительных эмоций: штрафные санкции за нарушения пугают тех, кто уверен в своей законопослушности. Несмотря на то, что 152-ФЗ «О персональных» данных» уже 13 лет присутствует в российском правовом поле и компании-операторы ежедневно взаимодействуют с персональными данными, перед каждой проверкой они задаются вопросом, что проверяет Роскомнадзор.
Объект интереса РКН – организация защиты персональных данных. Поэтому, если на сайте Роскомнадзора региона компания числится в плане проверок, стоит привести основные документы в порядок. На подготовку отводится не менее трех дней. Плановые проверки проводятся раз в три года.
Если же проверка внеплановая, ситуация осложняется. Ее проводят:
- на основании выявленных нарушений в действиях оператора;
- в случае личной жалобы от пострадавших;
- по результатам мероприятий систематического наблюдения.
О внеплановой проверке сообщают за 24 часа до начала. Но если нарушения со стороны организации нанесли ущерб жизни и здоровью человека, то предупреждений не будет, и проверка осуществляется без предупреждения.
Чтобы проверка не застала врасплох, необходимо:
- назначить сотрудников, которые будут нести ответственность за организацию обработки и обеспечение безопасности персональных данных;
- провести аудит среди коллег с целью анализа процессов обработки ПДн;
- разработать и согласовать нужную документацию;
- проверить уровень подготовки сотрудников, занимающихся обработкой ПДн;
- подать уведомление о намерении заниматься обработкой ПДн;
- определить место нахождения базы данных ПДн граждан РФ;
- завести и поддерживать в актуальном состоянии журналы;
- проводить внутренние проверки режима обработки и защиты ПДн;
- фиксировать особенности разработки согласий для категорий субъектов, чьи ПДн подлежат обработке.
Бывают случаи, когда сотрудники РКН могут потребовать от оператора письменное согласие субъекта на обработку ПДн. Документ нужно предоставить, если:
- компания занимается обработкой специальных категорий ПДн (расовая и национальная принадлежность, политические предпочтения, религиозные убеждения, состояние здоровья или интимной жизни);
- обрабатывает биометрические данные;
- передает обработку ПДн третьим лицам;
- готовит общедоступные справочники внутри организации и публикует их в интернете.
Какие комментарии Роскомнадзор оставляет чаще всего
Одним из самых распространенных замечаний РСН является отсутствие публикации документа, который бы определял Политику обработки ПДн. Избежать этого можно, выложив документ на сайт так, чтобы его было видно сразу.
Роскомнадзор может отметить, что у него нет уведомлений об обработке ПДн и сведений об изменении информации. Чтобы таких ситуаций не было, необходимо своевременно актуализировать уведомление об обработке ПДн, и своевременно отправлять информационное письмо в РКН.
Чтобы не получить замечание об отсутствии мест хранения ПДн и списка лиц, имеющих к ним доступ и работающих с ними, необходимо позаботиться о раздельном хранении документов, о контроле над помещениями, в которых обрабатываются персональные данные.
РКН может обратить внимание на несоблюдение конфиденциальность ПДн в договорах с третьими лицами и игнорировании требований к защите персональных данных. В этом случае необходимо обозначать цель передачи персональных данных другой компании и указывать все действия, которые она будет совершать, не забывая прописать обязанность обеспечения конфиденциальности и безопасности данных.
Если же Роскомнадзор посчитает, что требования по обучению и ознакомлению сотрудников с правилами обработки и хранения ПДн не выполняются, необходимо будет собрать подписи сотрудников, ознакомившихся с Политикой, инструкцией, положением, подписать обязательство о соблюдении конфиденциальности, согласие на обработку персональных данных.