Готовимся к проверке Роскомнадзора

Существует три ключевых контрольно-надзорных органа, уполномоченных на проведение проверок в области соблюдения законодательства о персональных данных (ПДн), известных как «регуляторы».

Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ответственная за контроль соблюдения требований Федерального закона «О персональных данных». Её задачей является проверка организационных мер по защите персональных данных.

ФСТЭК — Федеральная служба по техническому и экспортному контролю, а также ФСБ — Федеральная служба безопасности. Они обеспечивают контроль за соблюдением организационных и технических мер по защите персональных данных, включая использование криптографических средств защиты информации.

Рассмотрим подготовку к проверке Роскомнадзора, поскольку такие проверки касаются большинства компаний, так как практически все организации являются операторами персональных данных.

Виды проверок РКН

Проверки Роскомнадзора осуществляются тремя основными способами. Это может быть:

• инспекционный визит (проводится в отношении организаций, отнесённых к категориям высокого или значительного риска, а также в отношении компаний, приступающих к осуществлению деятельности в сфере обработки ПДн);
• документарная проверка (проводится без посещения организации: РКН запрашивает перечень документов, копии которых нужно направить в соответствующее подразделение ведомства);
• выездная проверка (проводится непосредственно в организации: инспекторы приезжают на предприятие и на месте оценивают, выполняет ли компания требования законодательства).

В рамках контроля за обработкой персональных данных проверяются:

• фактическая деятельность операторов в области обработки персональных данных, включая поручение на обработку, использование или отсутствие автоматизированных средств и т. д.;
• разработанные документы и локальные нормативные акты контролируемых лиц, касающиеся обработки персональных данных, а также принятые оператором меры, указанные в ч. 1 ст. 18. 1 Федерального закона «О персональных данных».

В области обработки персональных данных Роскомнадзор уполномочен на проверку соблюдения требований:

• Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, — если проверяемое лицо является государственным или муниципальным органом. Перечень был утверждён Постановлением Правительства Российской Федерации от 21.03.2012 № 211;
• Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого Постановлением Правительства Российской Федерации от 15.09.2008 № 687;
• Трудового кодекса Российской Федерации (в части, касающейся обработки персональных данных работников);
• Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» (в части, касающейся обработки персональных данных госслужащих).

На проверку требований Постановления Правительства РФ № 1119 Роскомнадзор не уполномочен, но запросить информацию о принятии организационных и технических мер по защите ПДн Роскомнадзор может.

На что РКН обращает внимание при проверке

Роскомнадзор при осуществлении контроля за обработкой персональных данных использует проверочный лист, на основании которого можно выделить основные моменты, на которые следует обратить внимание при подготовке к проверке:

1. Регистрация в Реестре операторов.
2. Назначение ответственного за организацию обработки персональных данных.
3. Разработка и обеспечение неограниченного доступа к Политике по обработке персональных данных.
4. Локальные нормативные акты.
5. Организация хранения и своевременное уничтожение персональных данных.
6. Наличие согласий на обработку персональных данных (в случае отсутствия иных правовых оснований), соответствие письменных согласий требованиям ч. 4 ст. 9 Федерального закона «О персональных данных».
7. Обеспечение надлежащей защиты персональных данных, обрабатываемых в информационных системах.
8. Ознакомление сотрудников, работающих с персональными данными, с требованиями законодательства, а также с локальными актами по вопросам обработки персональных данных.
9. Своевременное реагирование на жалобы, требования и запросы со стороны субъектов персональных данных (в случае их поступления).
10. Прекращение обработки персональных данных в случаях, предусмотренных законом.

Что такое контрольные мероприятия без взаимодействия с проверяемым лицом

Для предупреждения, выявления, прогнозирования и пресечения нарушений требований законодательства проводятся мероприятия по контролю без взаимодействия с контролируемым лицом:

• мероприятия в сети «Интернет» (проверки сайтов компаний);
• мероприятия, проводимые посредством анализа информации о деятельности оператора, которая представляется им непосредственно в силу закона (например, уведомление об обработке ПДн) или может быть получена, например, в ходе межведомственного информационного взаимодействия.

С учётом продления моратория на проведение проверок можно предположить, что основное внимание Роскомнадзора в 2024 году будет уделено проверкам сайтов и проведению профилактических визитов.

Как Роскомнадзор проверяет сайты

Прежде всего проводится оценка на предмет осуществления сбора персональных данных посредством различных форм (обратная связь, регистрация, обращения и иные формы сбора) или метрических программ.

Наличие факта сбора персональных данных на сайте автоматически влечёт проверку на предмет:

• наличия cookie-баннера при входе на сайт;
• наличия согласия на обработку персональных данных в формах сбора данных;
• опубликования Политики обработки персональных данных (в том числе во всех формах сбора данных), содержания такой Политики;
• соблюдения требований о локализации баз данных сайта на территории России.

Кроме того, инспектор обязательно изучит содержание сайта на предмет размещения на нём персональных данных и в случае их опубликования с большой долей вероятности запросит от оператора предоставления правовых оснований на их публикацию.

В ходе проверки сайта также могут возникнуть вопросы о соблюдении требований по трансграничной передаче персональных данных (например, если будет установлено использование на сайте Google Analytics), избыточной обработке персональных данных (например, если в формах сбора собирается больше данных, чем предусмотрено согласием и Политикой), а также иные вопросы, связанные с обработкой ПДн.

Также в ходе проверки сайта Роскомнадзор проверит, подано ли организацией уведомление об обработке персональных данных и насколько оно актуально.

Как подготовиться к проверке сайта

Дадим несколько рекомендаций:

1. Проверить размещение сайта на территории РФ.
2. Проверить наличие файлов cookie, наличие метрических программ, отразить в документах Политика и Согласие. Это можно сделать с помощью интернет-ресурсов. Если у вас уже есть доступ к сервису 152DOC, зайдите в раздел «Сервис» и проведите проверку, следуя инструкции.
3. Сделать предупреждающий баннер.
4. Проверить все формы сбора персональных данных, чтобы под ними были ссылки на нужные документы. Ссылки должны быть активными и вести на соответствующий документ.
5. Проверить опубликованный на сайте документ Политика. Документ должен быть актуальным и содержать необходимые разделы.
6. Проверить наличие поданного в РКН уведомления и его актуальность.
7. Проверить соответствие Уведомления документу Политика в области обработки ПДн.
8. Проверить отсутствие предустановленных галок в формах Согласия.
9. Проверить правовые основания распространения ПДн на сайте (обеспечить получение соответствующего согласия при необходимости).

Что такое профилактический визит и как он проводится

Основная цель профилактического визита — предупреждение нарушений обязательных требований и профилактика рисков причинения вреда (ущерба) охраняемым законом ценностям.

Профилактический визит проводится в форме профилактической беседы. Специалисты Роскомнадзора могут пообщаться с представителями оператора непосредственно по месту осуществления деятельности либо путём использования видео-конференц-связи.

Инициатором профилактического визита может быть как контролирующий орган, так и сам оператор. Но в любом случае профилактический визит проводится только с согласия контролируемого лица.

Роскомнадзор проводит профилактические визиты в отношении тех операторов, которые только начали свою деятельность по обработке персональных данных. О дате начала обработки персональных данных Роскомнадзор узнаёт из уведомления об обработке персональных данных (в 2024 году под профилактические визиты могут попасть компании, которые начали обрабатывать персональные данные в 2023 году).

Однако дата начала обработки данных — не единственный критерий выбора операторов. Например, профилактический визит может быть запланирован, если компанию отнесли к категории чрезвычайно высокого, высокого или значительного риска, но такой подход встречается реже.

В ходе профилактического визита инспектор отвечает на вопросы операторов, консультирует по выявленным недочётам, но предписание не выдаёт. Также оператора не оштрафуют за выявленные нарушения (п. 8 ст. 52 Закона № 248-ФЗ). Разъяснения, полученные контролируемым лицом в ходе профилактического визита, носят рекомендательный характер. Поэтому бояться профилактического визита и отказываться от него не нужно. Это прекрасная возможность выявить нарушения, если они есть, и устранить их без негативных последствий.

Однако рекомендуем подготовиться к профилактической беседе с сотрудниками Роскомнадзора, чтобы получить максимальную пользу от данного мероприятия.

Как подготовиться к профилактическому визиту

Шаг 1. Соберите полный комплект локальных актов по вопросам обработки персональных данных, которые есть в компании на день уведомления о проведении профилактического визита, и передайте их инспектору, проводящему профилактический визит.

Лучше направить комплект документов заранее, чтобы у инспектора было достаточно времени более подробно изучить его и подготовить рекомендации по полноте комплекта и по содержанию имеющихся в нём документов.

Если локальных актов по вопросам обработки персональных данных нет или пакет документов неполный, не стоит переживать: в ходе профилактического визита никого не накажут, а только дадут рекомендации по исправлению ситуации без срока и контроля принятия мер по устранению. Отчитываться об исполнении рекомендаций не придётся.

Шаг 2. Подготовьте список проблемных вопросов в области обработки персональных данных, чтобы задать их в ходе профилактического визита. Профилактический визит предполагает возможность бесплатного консультирования контролируемого лица по всем установленным обязательным требованиям и вопросам, связанным с порядком осуществления государственного контроля (надзора).

Шаг 3. Обязательно пригласите принять участие в профилактическом визите (или подключиться к нему, если он проводится онлайн) ответственного за организацию обработки персональных данных.

Также можно привлечь к участию сотрудников, допущенных до обработки персональных данных, ведь в ходе профилактического визита будут рассмотрены основные требования 152-ФЗ, а также может быть обращено внимание на типовые нарушения, допускаемые в ходе обработки ПДн.

Как подготовиться к визиту РКН: чек-лист

1. Определить, какие нормативно-правовые акты распространяются на вашу организацию. Перечень требований может отличаться для разных организаций в зависимости от того, чьи персональные данные вы обрабатываете, и от типа самой информации.
2. Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
3. Убедиться, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях.
4. Проверить соблюдение законодательства о ПДн при ведении сайта, использовании мобильных приложений и иных информационных ресурсов.
5. Провести анализ на предмет необходимости проведения уничтожения материальных носителей ПДн и информации, содержащейся в информационных системах. При необходимости провести удаление и уничтожение ненужных, излишних или неактуальных сведений.
6. Установить и зафиксировать документально места хранения ПДн, разграничить доступ сотрудников к ПДн.
7. Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными.

Результаты проверки также зависят от взаимодействия оператора с контролирующим органом (своевременное предоставление запрашиваемой информации и документов, обеспечение доступа в помещения, где ведётся обработка персональных данных и т. д.). Воспрепятствование законной деятельности должностного лица Роскомнадзора может привести к привлечению к административной ответственности по ст. 19.4.1 КоАП РФ. Поэтому не стоит относиться к проверкам негативно и пытаться их «сорвать». Лучший способ успешно пройти проверку — предварительно подготовиться к ней.