Что такое проверка персональных данных и как её проводят Роскомнадзор, ФСБ и другие органы?
1 июля 2017 года вступили в силу поправки в КоАП РФ, которые изменили ситуацию относительно ответственности за нарушение законодательных требований о персональных данных. Чтобы избежать штрафов и подготовится к такому мероприятию, руководители различных организаций должны знать, как происходит проверка.
Скрыть содержание
- Что это такое?
- Какие органы ее проводят?
- Виды аудита
- Какие документы проверяют?
- Как избежать штрафов и подготовиться?
Что это такое?
Проверка персональных данных – это действия уполномоченных органов, направленные на выявление нарушений, связанных с обработкой и хранением личной информации.Паспортные данные, уровень образования, квалификация и другие автобиографические сведения относятся к персональным.
Распространение такой информации со стороны работодателя недопустимо. В противном случае работник вправе обратиться в суд.
Для выполнения определенного вида работы в некоторых фирмах требуются более личные сведения о кандидате на должность. Например, перечень перенесенных человеком заболеваний.
Проверка персональных сведений призвана выявлять нарушения в системе защиты личной информации о сотрудниках предприятия. Если они выявлены, то начисляется общая сумма штрафов по всем пунктам.
Какие органы ее проводят?
Уполномоченные органы вправе осуществлять контроль и надзор за правильным хранением баз данных, к ним относятся:
- Роскомнадзор. Данный орган защищает права субъектов персональной информации, а также осуществляет контроль и надзор за ее надлежащей обработкой в соответствии с законом.
- Государственная инспекция труда. Этот орган проводит контрольно-надзорные мероприятия по соблюдению всех требований Трудового кодекса.
- ФСТЭК. Действует приказ ФСТЭК РФ от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- ФСБ. Приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите».
Проводимые проверки могут быть как плановыми, так и внеплановыми.Виды аудита
Процедура инспекции зависит от ее типа, основными являются следующие:
- Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
- Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
- Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
- Выездные. Территория организации осматривается сотрудниками уполномоченного органа.
Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.
Какие документы проверяют?
Одним из главных контролирующих органов по защите персональной информации является РоскомнадзорРоскомнадзор
Плановые проверки предусматривают предоставление следующих документов:
- копия документа о назначении уполномоченного представителя, который сможет представлять интересы юридического лица во время проверки;
- все документы, которые могут включать в себя личные сведения (анкеты, заявления, журналы);
- документы, которые подтверждают уничтожение личной информации после ее обработки;
- письменное согласие владельцев личной информации на ее обработку;
- документы, которые подтверждают соблюдение всех требований законодательства при обработке персональных сведений;
- документы, которые подтверждают место размещения баз данных;
- документы, подтверждающие ознакомление работников, осуществляющих обработку личной информации, с действующим законодательством.
Роскомнадзор осуществляет проверку по следующим пунктам:
- деятельность по обработке персональных сведений;
- документы, в которых могут отображаться информация личного характера;
- информационные базы.
Роскомнадзор может проводить как плановые, так и внеплановые проверки, например, документальные или выездные. Его цель – проверить правовые аспекты обработки данных.Выездная проверка может длиться 20 дней, и еще на 20 суток она может быть продлена. Итог проверки – акт, который, при наличии нарушений, включает в себя предписания по их устранению. Также устанавливаются сроки для исправления ошибок. Результат проверки всегда можно обжаловать.
ФСБ
В ходе проверки ФСБ обращает внимание на следующие аспекты:
- Наличие нарушителя и угрозы, которую он представляет.
- Организационные меры, которые установлены приказом ФСБ №378. В нем сказано о назначении ответственных лиц, порядке допуска работников к ИСПДн, защита объектов и другое.
- Наличие средств криптографической защиты информации.
- Документы на средства криптографической защиты баз данных. Это могут быть лицензии и сертификаты.
Плановые инспекции начинаются с уведомления проверяемого. К нему прилагается копия приказа и план проводимых мероприятий. ФСБ проверяет информационные системы баз данных. В организации должен быть утвержденный документ регламентирующий защиту личных сведений.
Как избежать штрафов и подготовиться?
Как подготовиться к проверке:
- В первую очередь нужно следить за бумагами, особенно копиями паспортов. Хранение такой информации в доступном месте может породить у инспектора много вопросов.
- Убедиться, что на предприятии есть заполненные бланки «согласия сотрудников на обработку их личной информации».
- Провести инструктаж с работниками по охране личных сведений.
- В кабинетах, в которых обрабатывается личная информация в бумажном, виде должны находиться сейфы, закрытые шкафы, бухгалтерские стеллажи, в которых они будут храниться.
Как действовать во время инспекции:
- тщательно ознакомиться со всеми документами, которые относятся к проверке;
- помощь профессионалов, например, юристов, которые имеют право присутствовать во время проведения мероприятия;
- прежде чем передать документы инспектору следует лично ознакомиться с их содержанием;
- не обязательно представлять требуемые документы незамедлительно, всегда есть время на обработку запроса.
Важно помнить, что за несоблюдение законодательства в области защиты персональной информации руководители организаций несут ответственность, согласно ФЗ №152 «О персональных данных».