Подготовка к проверке Роскомнадзора

Порядок проведения проверки

Государственный контроль защиты персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, РКН). Под надзорными мероприятиями Роскомнадзора находятся организации, осуществляющие обработку персональных данных, а также третьи стороны, действующие на основании поручения операторов ПДн.

Порядок проверки Роскомнадзора по персональным данным, критерии отбора подконтрольных субъектов регламентирует Постановление Правительства РФ от 29.06.2021 № 1046 (Постановление 1046).

Согласно Постановлению 1046 каждый подконтрольный субъект относится к категории риска. Эта категория зависит от специфики обрабатываемых данных, уровня потенциальной угрозы и может быть:

• высокая;
• значительная;
• средняя;
• умеренная;
• низкая.

Периодичность плановых инспекций Роскомнадзора устанавливается в зависимости от категории риска оператора персональных данных. Однако, согласно Постановлению Правительства РФ от 10.03.2022 №336, введен временный запрет на плановые проверки организаций с невысоким уровнем риска до 2030 года.

Классификация проверок

Мораторий установлен только на плановые проверки. Внеплановых проверок никто не отменял, но они проводятся в особых ситуациях и по согласованию с Прокуратурой.

Представители Роскомнадзора могут провести внеплановую инспекцию, если:

• На организацию поступило более десяти жалоб за один календарный год. Источник жалоб значения не имеет – компания всё равно попадёт под мониторинг.
• Оператор предоставил Роскомнадзору недостоверные сведения в ответ на запрос.
• Была утечка информации из информационной системы персональных данных (ИСПДн).
• Не полностью исправлены нарушения, выявленные ранее Роскомнадзором.
• Компания обрабатывает ПДн, но не зарегистрирована в Реестре операторов персональных данных.

Внеплановые проверки могу осуществляться в нескольких форматах, и качественная подготовка важна для каждого из них:

Инспекционный визит

Это выездное мероприятие, ориентированное на компании с высоким риском или новичков в реестре операторов ПДн.

Проверка документации

Предполагает анализ документов, предоставленных организацией по запросу Роскомнадзора.

Выезд на объект

Инспекторы посещают организацию для проведения оценки соответствия требованиям законодательства.

Дистанционный формат.

Включает аудит веб-ресурса, который оператор персональных данных может даже не заметить. При проверке анализируют: размещение информационных хранилищ с данными, собранными через сайт, получение согласий и размещение документа, регламентирующего работу с персональными данными, адекватность объема собираемых сведений заявленным целям.

Что и как проверяет РКН

При проведении проверки оператора персональных данных Роскомнадзор руководствуется контрольным перечнем вопросов, утвержденных приказом ведомства от 24.12.2021 №253 .

Эти вопросы можно условно разделить на четыре основных направления:

• Для всех организаций - соблюдение Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (152-ФЗ) и других нормативных актов, принятых в соответствии с этим законом.
• Для государственных и муниципальных органов – выполнение комплекса мер, установленных Постановлением Правительства РФ от 21.03.2012 №21.
• Для операторов, обрабатывающих ПДн вручную - соблюдение положений о ручной обработке данных согласно Постановлению №687, регулирующему обработку персональной информации без применения автоматических систем.
• Для операторов, имеющих в штате сотрудников - соблюдение норм Трудового кодекса Российской Федерации при обработке ПДн работников.

Главным критерием оценки выступает подача уведомления о регистрации компании в реестре операторов персональных данных. При его наличии регуляторы сверяют достоверность информации, предоставленной в уведомлении с фактическими способами обработки персональных данных.

Основные сложности при подготовке к проверке

При проведении контрольных процедур сотрудники Роскомнадзора в первую очередь анализируют документацию. Основной проблемой, выявляемой при подготовке к проверке, является нехватка необходимых внутренних документов, определяющих порядок работы с персональными данными и их защиты.

Чтобы полностью соблюсти положения 152-ФЗ и сопутствующих нормативных актов, организации должны подготовить значительный объем документации со сложной структурой.

Типичные категории нарушений, которые выявляет Роскомнадзор:

• отсутствует значительная часть требуемой документации;
• не производится обновление документов при внесении изменений в процедуры обработки персональных данных;
• не заполнены стандартные формуляры (списки, регистрационные журналы и прочие документы) несмотря на то, что их заполнение регламентировано внутренними документами компании.

Успешность прохождения проверки зависит от наличия и квалификационной подготовки ответственного по защите персональных данных. При отсутствии такого специалиста в штате лучше передать работу на аутсорс в специализированную компанию.

Для успешного прохождения проверки Роскомнадзора необходимо разработать полный комплект документов, своевременно их обновлять, а также заранее организовать независимый аудит по 152-ФЗ.

Отличия подготовки к проверке от аудита по 152-ФЗ

Проверка соответствия требованиям 152-ФЗ - это эффективный метод подготовки к инспекции Роскомнадзора. Она состоит из двух компонентов:

• юридической оценки документации согласно положениям статей 18.1 и 19;
• проверки эффективности технических средств защиты информации в соответствии со статьей 19 .

Подготовка к проверке поможет выявить существующие уязвимости, привести документацию в соответствие с актуальными требованиями законодательства. Это особенно важно в условиях постоянно меняющихся нормативных актов в сфере защиты персональных данных. Затраты на проведение такой подготовки будут значительно меньше возможных штрафных санкций от регулятора.

Итоги проверки

После завершения проверки РКН составляет итоговый акт. В него включаются как положительные, так и отрицательные сведения о результатах проверки. Если были выявлены нарушения – они фиксируются в акте с указанием норм законодательства, которые были нарушены, и лиц, допустивших нарушения.

На основании нарушений контролируемому лицу выносится предписание. Установленный срок для устранения обнаруженных нарушений должен составляет не менее десяти рабочих дней и не более тридцати рабочих дней с момента получения предписания.

В случае нарушений в сфере персональных данных предусмотрены штрафные санкции по статье 13.11. КоАП. При невыполнении предписаний и допущения повторных нарушений штрафы увеличатся в 1,5-2 раза.

Избежать значительных штрафных санкций Роскомнадзора поможет подготовка к проверке с помощью профессиональных аудиторов. Финансовые затраты на профилактические меры всегда существенно ниже, чем расходы на уплату административных штрафов и возмещения репутационного ущерба.

Преимущества обращения в УЦ ПРОФИ

Наша компания оказывает комплексную поддержку в сфере обработки ПДн. Мы предлагаем профессиональное сопровождение при подготовке вашей организации к предстоящей проверке Роскомнадзора и аутсорсинг услуги защиты персональных данных.

Команда специалистов УЦ ПРОФИ проведет детальный аудит текущего состояния защищенности информационных систем персональных данных, проанализирует внутренние регламенты, предложит решения для устранения потенциальных рисков.

Мы не просто помогаем пройти проверку, а создаем надежный фундамент для управления процессами обработки персональных данных в будущем. Защитите свой бизнес от санкций регулятора – доверьтесь профессионалам в области безопасности.