Едином реестре проверок роскомнадзора

Найдено записей: 1 335 284

Окуловский районный суд – Новгородская область

Коптевский районный суд САО г. Москвы

Октябрьский районный суд г. Ижевска – Удмуртская Республика

Новгородский районный суд – Новгородская область

Елецкий городской суд – Липецкая область

Угличский районный суд – Ярославская область

Первомайский районный суд г. Краснодара – Краснодарский край

Юридическая помощь по разблокировке сайтов

Если вы считаете, что доступ к какому-либо ресурсу был ограничен неправомерно, либо вы хотите
исключить свой сайт из реестра, напишите в юридическую фирму DRC, и опытные юристы помогут вам разблокировать
сайт.

VPN, которые мы рекомендуем

Главное за неделю в области права.

Контакты

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных
объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.

Оповестим о блокировке

Пришлём письмо, если ваш сайт или страница попадут в Единый реестр запрещенной информации Роскомнадзора.

Готово! Дадим знать, если такая запись появится в реестре.

Ошибка! Не удалось создать подписку.

Email, на который оформлена подписка

Отправить ссылку для входа

Готово! Ссылка для управления подписками отправлена на указанный адрес электронной почты.

Насколько реально попасть под проверку Роскомнадзора?

Едином реестре проверок роскомнадзора

Из всех часто задаваемых вопросов на тему хранения, обработки и защиты персональных данных по частоте возникновения уверенно лидирует следующий: «Может кто-нибудь адекватно пояснить, как распространяется сей ФЗ на обычную фирму, которая имеет локальную инсталляцию 1С и считает зарплату?». А распространяется он одинаково на все организации, обрабатывающие персональные данные, независимо от их размера (даже ИП, который ведет в 1С расчеты с наемными работниками). Естественно, небольшая (и даже средняя) компания в здравом уме и трезвой памяти задастся вопросом: «А стоит ли овчинка выделки?»

Ведь согласно ежегодно публикуемому регулятором списку, процент проверяемых Роскомнадзором (РКН) организаций — капля в море по сравнению с тем их количеством, которое можно наблюдать в той же самой Москве, не говоря о России в целом. В связи с открытостью вопроса и спорностью ответов предлагаем разобраться, какова в действительности вероятность попадания под проверку РКН? Для ответа на поставленный вопрос вооружимся калькулятором и выполним элементарные расчеты на основании данных официальной статистики.

Согласно последнему отчету Роскомнадзора, который датируется 2013 годом, на территории России было проведено 2418 проверок, из которых 617 — внеплановых. Прибегая к нехитрым вычислениям, получаем, что 75 %проверок были плановыми и 25 % — внеплановыми. При этом наблюдались следующие цифры:

Едином реестре проверок роскомнадзора

По какому количеству из этих 125 случаев (5 % от общего числа проверок по России) судом были приняты решения о привлечении к административной ответственности — в отчете Роскомнадзора не сказано. Однако приводится общая сумма штрафов, взысканная с нарушителей в бюджет РФ. В 2013 году она составила 147 тысяч 300 рублей. Таким образом, к административной ответственности были привлечены единицы, и это при том, что количество операторов ПДн в реестре Роскомнадзора — более 300 тысяч, а общее число операторов ПДн в России в разы, если не на порядок больше, чем количество операторов в реестре РКН.

Но даже если отталкиваться от примерных цифр реестра Роскомнадзора и количества проверок РКН, получаем следующее:

Получаем приблизительный процент попадания оператора ПДн под проверку Роскомнадзора, который составляет 0,83 %.

Едином реестре проверок роскомнадзора

Какое точное количество всех проверок по России будет выполнено в 2015 году, можно вычислить описанным выше способом. Согласно планам регулятора, Роскомнадзор в этом году планирует проверить 1267 организаций, что на 534 меньше, чем в 2013-м. Ориентируясь на количество внеплановых проверок за 2013 год, сделаем грубую накидку в виде 100 дополнительных проверок, которые, скажем, произойдут по определенной случайности, в результате чего получаем 717 внеплановых выездов. Суммируем все вместе и получаем 1984 проверки. В итоге процент попадания отдельно взятой российской организации под проверку РКН в нынешнем году составляет мизерные 0,66 %, и это очень приблизительное, грубо округленное в большую сторону значение. Фактический процент попадания будет однозначно меньше.

А если верить слухам о сокращении штата Роскомнадзора на 20 %, где общее количество всех сотрудников теперь составляет не более 3000 человек на всю Россию, можно сделать вывод: количество проверяющих единиц тоже уменьшилось. А значит, проверить больше организаций, чем мы рассматриваем в расчетах, вряд ли получится. И пусть нас пугают сентябрем 2015-го и тем, что количество проверок в связи с ФЗ-152 «Законом о персональных данных» станет только больше, мы все прекрасно понимаем, что человеческие ресурсы не безграничны, да и количество рабочих человеко-часов тоже конечно. Так что делаем выводы, господа.

Закулисье проверок, или Как работает Роскомнадзор

Начнем с того, что проверки Роскомнадзора бывают нескольких видов: плановые, внеплановые, документарные и выездные. При этом каждая из них имеет свои особенности.

  • Плановые проверки. О плановых проверках Роскомнадзор предупреждает заранее. Как правило, не менее чем за три рабочих дня по почте или факсом отправляется уведомление с копией приказа о грядущем мероприятии. Узнать о запланированных проверках юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей можно на официальном сайте Роскомнадзора.
  • Внеплановые проверки. Чаще всего проводятся по жалобам, полученным от физических лиц. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
  • Документарные проверки. Вид проверок, при которых Роскомнадзор запрашивает список документов, копии которых необходимо предоставить в территориальный орган Роскомнадзора.

А теперь немного подробнее. Несмотря на то, что публикуемый перечень проверяемых организаций известен заранее и такой тип проверки носит название «плановая», бывают проверки «внеплановые», то есть когда в списке РКН организация себя не нашла, но к ней все равно пришли. Причиной этому может быть недавно уволившийся сотрудник, желающий «сдать компанию с потрохами» и накатавший от всей русской, доброй души злостную кляузу, или же клиент, пользующийся услугами организации, сообщивший о серьезных нарушениях с персональными данными. Эти и другие случаи на практике встречаются довольно часто, а поскольку жалоба является основанием для проведения внеплановой проверки, Роскомнадзор не оставит ее без ответа. Тем более что статистика жалоб увеличивается ежегодно в два, а то и три раза.

Стать «жертвой» внеплановой проверки можно и другим образом, для этого организации достаточно никак не отреагировать на письменный запрос РКН. Подобных случаев Роскомнадзор не прощает: «А вы ответили на наш официальный запрос? Нет? Тогда мы идем к вам!».

Согласно Федеральному закону №294-ФЗ, плановая проверка Роскомнадзора не может проводиться чаще, чем один раз в три года. Если в течение трех последних лет вас не радовали визитами проверяющие органы, есть некая доля вероятности быть в числе следующих.

Как проводится проверка

Едином реестре проверок роскомнадзора

Если Роскомнадзор располагает всеми необходимыми документами и данными о проверяемой организации, проверка может носить документарный характер и осуществляться без обращения в саму компанию. Если в ходе проверки возникают дополнительные вопросы, регулятор формирует письменный мотивированный запрос и направляет его в организацию. Ответ на такой запрос необходимо предоставить в письменном виде в течение десяти рабочих дней. Он должен содержать максимально убедительные мотивированные обоснования, охватывающие все интересующие аспекты со стороны проверяющего органа. Если хотя бы один вопрос остается открытым, регулятор едет в организацию и проводит проверку на месте.

По завершении проверки Роскомнадзор составляет акт, а в случае обнаружения каких-либо нарушений выдает предписание, которое должно быть выполнено точно в срок. В противном случае организацию ждет повторная проверка или возбуждение дела об административном правонарушении. Для наглядности предлагаем рассмотреть сценарий, описывающий типовую плановой проверку РКН.

Типовой сценарий плановой проверки РКН

Едином реестре проверок роскомнадзора

Итак, вы нашли свою организацию в «Плане проведения проверок». Оттуда же узнали дату наступления часа «Икс» и сроки проведения проверки. До начала запланированного «мероприятия» вы получаете уведомление от Роскомнадзора вместе с перечнем документов, которые необходимо подготовить и в дальнейшем продемонстрировать сотруднику РКН. Какие именно бумаги нужно подготовить, зависит от ситуации. Это могут быть как организационно-распорядительные документы, регламенты, справки, выписки, копии, так и что-то другое. Поскольку обычно список получается достаточно внушительным, подготавливается специальный реестр, в котором напротив каждого документа проверяющее лицо РКН оставляет свой автограф. С помощью этого реестра происходит отслеживание документов, переданных на проверку.

Если на проверку отведен календарный месяц, это не означает, что сотрудники Роскомнадзора все выделенное время будут находиться в проверяемой организации. Скорее всего, будет запланировано несколько встреч: две, три, а может, несколько больше, но в пределах здравого смысла. На первую встречу, как правило, сотрудники РКН привозят бумажную версию Уведомления о проведении плановой выездной проверки компании, выполняют оценку и определяют масштаб мероприятий, назначают дату следующего встречи. Обычно с этого момента процесс считается официально запущенным.

Согласно отзывам некоторых организаций, попавших под плановую проверку Роскомнадзора, регулятор запрашивал у них перечень ИСПДн, модель угроз, проект по созданию защиты персональных данных, сертификаты на средства защиты информации и задавал вопросы, касающиеся в том числе трансграничной передачи информации по каналам связи.

Как показывает практика, в ходе проверки может быть запрошено гораздо большее количество документов по сравнению с тем, что требовалось изначально. По результатам проверки Роскомнадзор выдает акт с указанием выявленных нарушений, если таковые были обнаружены, справку о результатах плановой выездной проверки, а также предписание об устранении в установленный срок выявленных несоответствий.

Что необходимо сделать, чтобы проверка прошла успешно

Едином реестре проверок роскомнадзора

Даже если ваша организация не попала в заветный список плановых проверок и вас нисколько не пугают внеплановые мероприятия РКН, быть во всеоружии все-таки стоит. Как известно, знание — сила, а знание своих прав — тем более. В первую очередь рекомендуем ознакомиться с полезным перечнем документов: административный регламент проверок РКН, Федеральный закон о защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственной проверки, разъяснения РКН по обработке биометрических ПДн.

А для того, чтобы проверка прошла успешно, в случае, если на пороге появились проверяющие инспекторы РКН, будут не лишними следующие рекомендации:

Больше проверок:  Путин поручил продлить на 2024 год мораторий на проверки бизнеса

Рекомендация 1. Необходимо изначально разобраться, попадает ли ваша компания под статью ФЗ-152, где описаны случаи, когда организация вправе обрабатывать ПДн без отправки уведомления в Роскомнадзор. Если это именно ваш случай, достаточно подготовить справку, обосновывающую имеющиеся причины не уведомлять РКН. В остальных случаях необходимо подготовить и отправить «Уведомление об обработке персональных данных», поскольку это первое, на что обращают внимание инспекторы.

Компания, которая не отправила уведомление в РКН, привлекается к ответственности. Если уведомление было подано, РКН в ходе проверки ориентируется на него, сравнивая с имеющимися процессами обработки ПДн организации. В случае несоответствия действительности и наличия ошибок, организацию ждут штрафные санкции. Не допускайте подобных ситуаций. Помните, что подаваемое в Роскомнадзор уведомление не является статическим документом, оно постоянно дополняется. Причем уведомлений об изменениях должно быть ровно столько, сколько непосредственно самих изменений. Учтите: если уведомление было подано после того, как организация начала деятельность по обработке ПДн — это уже повод оштрафовать организацию.

Рекомендация 2. Роскомнадзор не проверяет информационные системы персональных данных (ИСПДн), этими вопросами занимается ФСТЭК и ФСБ России. В задачи РКН в основном входит проверка документов, поэтому необходимо сосредоточиться на подготовке соответствующей документации. Уделите особое внимание качеству — оно должно быть на достаточно высоком уровне. Рекомендуем руководствоваться действующим законодательством и вести всю отчетность надлежащим образом.

Рекомендация 3. Если грядущая проверка вызывает у вас опасения и вы чувствуете, что нуждаетесь в дополнительной помощи, обратитесь к услугам опытных консультантов. Они поддержат вас в трудную минуту, тем более что делать это никто не запрещает.

Рекомендация 4. Подготовьте персонал к предстоящей проверке. Это могут быть тренинги, собрания — все что угодно. Ваши сотрудники должны знать, что говорить, как говорить, а о чем лучше не рассказывать. Помните, что каждому технологическому процессу должен соответствовать разработанный регламент, ознакомьте с ним своих коллег.

Шпаргалки не только в школе

Едином реестре проверок роскомнадзора

При подготовке к встрече с проверяющими достаточно сложно удержать в голове все нюансы. Предлагаем воспользоваться специально подготовленной шпаргалкой, где описаны основные правила, установленные Роскомнадзором.

Подводя итоги, подчеркнем: бояться проверок Роскомнадзора точно не стоит, к ним просто нужно быть готовым. Судя по тому, что процент попадания организаций под проверку РКН по сравнению с общим количеством компаний по всей России просто ничтожен, завтра вряд ли придут именно к вам, особенно если вы индивидуальный предприниматель или маленькая компания. Но если даже вы станете обладателем письма счастья от РКН, попав в золотую десятку любимчиков Фортуны, поддаваться панике точно не стоит. Знание своих прав, соблюдение обязанностей, соответствие требованиям действующего законодательства и заблаговременная подготовка к возможной проверке станут лучшим лекарством от всех бед.

Как подготовиться к проверке РКН по персональным данным

Едином реестре проверок роскомнадзора

О нас

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Чего там нового в законодательстве?

По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше 2015 года. Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве.

242-ФЗ

Сначала давайте вспомним небезызвестный 242-ФЗ. В 2015 году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.

Но была в 242-ФЗ и другая сторона, не растиражированная так активно в СМИ.

В 242-ФЗ были очень важные в контексте проводимых РКН проверок по персональным данным изменения: на деятельность Роскомнадзора в сфере защиты прав субъектов персональных данных с 1 сентября 2015 года не распространяется федеральный закон №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Что это значит? Для операторов персональных данных, как можно догадаться, – ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце 2015 года (и в последующих годах) на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.

11 КоАП РФ

Другое важное законодательное изменение это изменение статьи 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Эти изменения полностью преобразовали наказание за нарушение законодательства в сфере защиты персональных данных. Ранее статья 13.11 не разбивалась на части, и максимальный штраф был предусмотрен в размере 10 тысяч рублей для юридических лиц. Сейчас же здесь имеется 7 частей (да еще и планируется расширение), по одной из которых (нарушение правил обработки специальных категорий персональных данных) предусмотрен максимальный штраф для юридических лиц – 75 000 рублей. К тому же, при выявлении проверяющими разных нарушений – наказания по разным частям статьи КоАП теоретически могут складываться. Почему «теоретически»? Раньше на сайтах региональных управлений РКН в разделе «Новости» постоянно публиковались новости о том, что регулятор проверил условно 3 организации на выполнение законодательства о персональных данных, у организации №1 все хорошо, организацию №2 оштрафовали на 3 тысячи рублей, организацию №3 оштрафовали на 5 тысяч рублей. Можно было собрать такие новости в кучу за год и подбить некоторую статистику по штрафам. Сейчас же таких новостей нет. Если у кого-то имеются данные по штрафам за нарушение 152-ФЗ после изменений в 13.11 КоАП РФ, то можете поделиться такой информацией в комментариях.

Здесь стоит сразу отметить, что в первоначальном тексте законопроекта по изменению статьи 13.11 КоАП РФ изначально фигурировали более значительные суммы штрафов, например, там где в итоге максимальный штраф был установлен в 75 000 рублей, изначально планировалось наказывать аж на 300 000 рублей. Солидно, но до сумм за нарушение GDPR все равно далеко. Но, несмотря на то, что суммы штрафов в итоге сильно уменьшились, к сожалению, некоторые продавцы услуг по защите персональных данных до сих пор пытаются запугать цифрой «300 000». Будьте бдительны.

Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение 152-ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать.

Виды проверок

Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.

В целом, проверки можно разделить на 2 вида: документарные и выездные.

Документарные проверки

Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. И да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД.

О заполнении уведомления

Практика показывает, что у многих операторов персональных данных возникают вопросы — как правильно заполнять те или иные поля уведомления. О самом уведомлении оператора персональных данных мы немного поговорим в этой статье, но вот туториал по заполнению уже тянет на отдельную.

Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.

Итак, вы получили такое письмо от Роскомнадзора, что делать?

На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.

Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у РКН. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Можно зайти на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». В 2016 году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до 10-15 организаций. Сейчас такие новости тоже есть, но меньше, связано это, скорее всего с тем, что сам РКН стал менее активно рассылать «письма счастья».

Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.

Больше проверок:  Новости сро

Скриншот сайта Управления Роскомнадзора по Приморскому краю, 2016 год

Едином реестре проверок роскомнадзора

Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.

Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.

Выездные проверки

Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

Здесь, пожалуй, стоит рассказать о том, что нужно помнить во время проведения выездной проверки.

Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки («терять» ключ от кабинета с документами и тому подобные уловки). Да, проверяющие тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае в 2015-2016 годах. Синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, попросите ссылку на законодательство, чем обусловлено сомнительное требование.

Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, а само определение ИСПДн из 152-ФЗ не запрещает объединять информационные системы и описывать их так, как мы этого сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, что вероятно кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но вот бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла совсем не правильно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные неправомерные замечания проверяющих.

В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.

Как проверить наличие уведомления в реестре и что делать дальше

Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.

Дальше ваши действия должны выглядеть примерно следующим образом.

Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.

Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.

Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.

Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:

  • уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
  • уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

Для таких случаев на портале персональных данных предусмотрена форма для внесения изменений в существующее уведомление.

После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.

Документация к проверке

Хотелось оставить этот торжественный момент на конец статьи. Но что уж там, раз уже перешли к разговору о комплекте необходимой документации, то вот ссылка на наш комплект шаблонов. В архиве 4 папки и шаблон «Модели угроз». Здесь мы будем говорить только о документах из папок «Общее» и «ПДн». «Общее» — это документы, которые могут применяться плюс-минус для любых информационных систем, а «ПДн» это чисто роскомнадзоровская часть. Полное описание состава документов в архиве можно посмотреть у нас на сайте.

Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.

Состав документов

Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.

В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».

О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.

Все остальное описано неоднозначно, примерно в таком духе:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.

Больше проверок:  Комиссии по общественным улучшениям проверки

Если есть ответственный, то ему полагается инструкция – за что он отвечает, и какие у него есть права и полномочия. Часто такую инструкцию называют «должностной», что на наш взгляд в большинстве случаев не совсем правильно. Ведь «ответственный за организацию обработки персональных данных» это, как правило, не отдельная должность, а лишь дополнительная обязанность, которая возлагается на того или иного сотрудника.

Хорошо, с составом документов понятно, а что там с содержанием? А с этим еще хуже. Есть редкие рекомендации регуляторов, как например здесь, но это скорее исключения. В целом здесь можно дать такие общие рекомендации:

  • Описания ИСПДн, систем защиты, технологических процессов обработки ПДн и прочих индивидуальных вещей должны быть конкретными, отражающими реальную картину происходящего. Если это все будет описано слишком общими и абстрактными фразами, можно получить претензию от проверяющего.
  • Различные перечни (субъектов ПДн, самих ПДн) должны соответствовать действительности.
  • Документы должны быть актуальными. Если ответственным за организацию обработки персональных данных назначен давно уволившийся сотрудник, то это гарантированное предписание.
  • Журналы должны быть хотя бы минимально заполнены. Хотя бы те журналы, по которым не получится обосновать их абсолютную чистоту. Например, есть журнал учета обращений субъектов ПДн. На самом деле не такая уж и редкая ситуация когда к оператору никто никогда не обращался с подобными запросами. А есть журнал учета инструктажей по информационной безопасности. И вот уже если этот журнал чистый – могут быть вопросы.
  • Письменное согласие субъекта на обработку его персональных данных должно соответствовать статье 9 закона «О персональных данных». Так, например, многие забывают указать в согласии юридический адрес оператора, которому дается согласие. Также нужно помнить, что согласие должны быть сознательным и конкретным. Раньше многие любили добавлять фразу «даю свое согласие на передачу моих персональных данных третьим лицам». Сейчас такая практика пресекается, необходимо указать какие именно ПДн будут передаваться, кому именно и с какой целью.
  • Все причастные сотрудники к тому или иному документу должны быть ознакомлены с этим документом. Например, все допущенные к обработке персональных данных должны быть под роспись ознакомлены с приказом, утверждающим соответствующий список.

В конце раздела хотелось бы еще попросить не вестись на рассылки различных мошенников, которые предлагают «сертифицированный комплект документов по защите персональных данных». Зачастую такие мошенники пытаются выдать себя за госорганизацию и иногда делают это очень правдоподобно. Заплатив им деньги, вы в лучшем случае получите набор болванок хуже качеством, чем у представленных здесь бесплатно.

Заключение

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

  • Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  • Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  • Назначить ответственных.
  • Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  • Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  • Ознакомить всех причастных сотрудников с разработанной документацией.
  • Заполнить журналы.
  • Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  • Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Вы могли заметить, что в статье практически ничего нет о средствах защиты информации, особенностях технической защиты персональных данных, криптографических средствах. Все верно, тк эти вопросы регулируются другими органами – ФСТЭК России и ФСБ России.

А еще у нас есть учебный центр! Ближайшие курсы состоятся 20 мая и 22 мая по продуктам FortiGate. С полным списком учебных курсов можно ознакомиться здесь. Да, мы находимся во Владивостоке, но у нас есть большой опыт организации выездных курсов.

Проверьте Ваш сайт на попадание в Единый реестр запрещённых сайтов России

Сервис мониторинга работы сайтов Host-tracker обзавелся новой опцией – проверкой на попадание в Единый реестр запрещенных сайтов.

Едином реестре проверок роскомнадзора

Что такое Единый реестр запрещенных сайтов

После подачи гражданином жалобы в Роскомнадзор любой сайт может быть заблокирован уже через 6 дней после ее получения. Причем угрозе блокировки подвергаются не только ресурсы, сознательно публикующие материалы на грани фола. Сайт может быть включен в реестр запрещенных и по ошибке. Однажды в этот реестр попала сеть ВКонтакте. Фотографии, выложенные некоторыми пользователями, были отнесены в категорию детской порнографии. Одновременно с этой жалобой, рассматривались и другие на более чем 100 разнообразных сайтов. При блокировке площадок оператор по ошибке поставил галочку и на сайт ВКонтакте. В результате многомиллионная аудитория сети в течение какого-то времени не могла попасть на этот ресурс.
Если вдруг у вас есть основания предполагать, что ваш сайт может быть занесен в реестр запрещенных, вы можете проверить это с помощью сервиса Host-tracker.
В верхнем правом углу главной страницы сервиса выберите RegBL, или в нижней ее части найдите колонку «Особенности» и перейдите по ссылке «Быстрая проверка». В специальное поле введите адрес своего сайта и нажмите на «Проверить».

Едином реестре проверок роскомнадзора

Если ваш ресурс запрещен к просмотру в России, сервис выдаст вам следующий результат.

Едином реестре проверок роскомнадзора

Пока данная функция работает только в режиме мгновенной проверки. Мы рассматриваем возможность добавления в функционал сервиса регулярную проверку на занесение сайта в реестр запрещенных. Для нас очень важно ваше мнение о целесообразности создания этой функции и востребованности услуги. Все пожелания вы можете направлять нам, будем рады слышать.

Единый Реестр Проверок Генеральной Прокуратуры РФ

Сводный план проверок юридических лиц и индивидуальных предпринимателей.

Единый реестр проверок (ЕРП) – созданная на основании Федерального закона № 294-ФЗ федеральная государственная информационная система, оператором которой является Генеральная прокуратура Российской Федерации. Нормативное обеспечение работы Единого реестра проверок осуществляет Минэкономразвития России.

На портале ЗАЧЕСТНЫЙБИЗНЕС, Вы можете бесплатно получить в карточке Контрагента сведения, относительно проводимых проверок.

Для получения сведений, числится ли Контрагент в “Едином Реестре Проверок Генеральной Прокуратуры РФ” и поиска контрагента (ЮЛ или ИП) по ИНН/ОГРН(ИП)/ОКПО или другим реквизитам, воспользуйтесь поисковой строкой:

В соответствии со ст.13.3 Федерального закона от 26.12.2008 N 294-ФЗ “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля” оператор единого реестра проверок обеспечивает размещение на специализированном сайте в сети “Интернет” следующей общедоступной информации из единого реестра проверок:

  • – учетный номер проверки;
  • – информация, указываемая в распоряжении или приказе руководителя, заместителя руководителя органа государственного контроля (надзора), муниципального контроля и предусмотренная пунктами 1 – 6 и 9 части 2 статьи 14 настоящего Федерального закона;
  • – информация, указываемая в акте проверки и предусмотренная пунктами 1 – 6 части 2 статьи 16 настоящего Федерального закона;
  • – указание результатов проверки (были ли выявлены в ходе проверки нарушения обязательных требований и требований, установленных муниципальными правовыми актами);
  • – указание на принятые меры в отношении нарушений, выявленных при проведении проверки, об обжаловании соответствующих решений и действий (бездействия) органа государственного контроля (надзора), органа муниципального контроля, их должностных лиц и о результатах такого обжалования.

Полная информация об Организациях доступна в Премиум доступе.

Желаем Вам плодотворной, комфортной работы на портале, используя поиск организаций и получения сведений из Единого Реестра Проверок!
Ваш ЗАЧЕСТНЫЙБИЗНЕС.РФ.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Согласно закону № 152-ФЗ (О персональных данных), любая организация (или физическое лицо), имеющая дело с персональными данными, обязана соблюдать правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое: самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД; определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней. Реестр операторов, осуществляющих обработку персональных данных ведет ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ (Роскомнадзор).

В реестре указывается дата и основание включение в реестр, наименование оператора и его данные, цель обработки персональных данных, правовые основания, ответственное лицо оператора и другие данные.

На портале ЗАЧЕСТНЫЙБИЗНЕС, Вы можете бесплатно получить информацию, является ли организация оператором, осуществляющим обработку персональных данных, дату включения в реестр и цель обработки.

В карточке компании, полученной при поиске по ИНН/ОГРН, содержится вся открытая официальная информация о компаниях и предпринимателях РФ, в том числе является ли Юридическое лицо или Индивидуальный предприниматель Оператором, осуществляющим обработку персональных данных.