В первой части мы разобрались, почему нужно озаботиться подготовкой к проверке РКН по выполнению законодательства о защите персональных данных прямо сейчас. Теперь, прежде чем мы перейдем к непосредственным шагам по подготовке, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.
В целом, проверки можно разделить на 2 вида: документарные и выездные. Сначала расскажу о документарных. Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления Роскомнадзора с каким-либо требованием. Если вы, например, не подавали уведомление о внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и является ли он арендуемым или собственным — да-да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД ? . Ну и, наконец, вас могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все. О документах, их составе и содержании я расскажу в следующих статьях.
Итак, вы получили такое письмо от Роскомнадзора, что делать?
На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не спустится и не забудут! Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у Роскомнадзора. Поэтому отвечать нужно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Просто зайдите на сайт своего регионального управления Роскомнадзора ( %номер _региона%.rkn.gov.ru ) в раздел «Новости». Скорее всего, добрая половина новостей будет о привлечении юридических лиц к ответственности по той самой статье 19.7 КоАП РФ. Причем в каждой новости может фигурировать до 10-15 организаций. Вот это и есть все те бедолаги, которые думали, что «проканает» не реагировать на письма. В принципе штраф небольшой — 3-5 тысяч рублей. Но если вы и готовы раскошелиться, то нужно помнить во-первых о репутационных рисках (про вашу организацию обязательно напишут в новостях сайта Роскомнадзора), во-вторых, о том, что после того как вы заплатите штраф, затребованные сведения все равно придется предоставить. Ниже привожу скриншот сайта Управления Роскомнадзора по Приморскому краю на момент написания этой статьи.
Если по содержанию присланного вам письма что-то непонятно, то в конце всегда указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.
Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.
Из самого названия уже становится ясно, что проверяющие при таких проверках как минимум два-три раза окажутся на вашей территории. По личному опыту могу сказать, что процесс проверки выглядит примерно так:
- проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами;
- затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
- бегло ознакомившись с составом документов проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации (можно заранее подготовить) и удаляются с копиями в свои кабинеты изучать предоставленную вами информацию;
- в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
- в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнуть на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
- в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.
Здесь, пожалуй, стоит рассказать о том, что нужно помнить во время проведения выездной проверки.
Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки. Да, проверяющие тоже люди и тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае совсем недавно. Да, синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, а лучше будет вовсе проигнорировать. Почему? Читаем дальше.
Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, поскольку ничто нам не запрещает объединять информационные системы и описывать их так, как мы это сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла не совсем разумно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные замечания проверяющих.
В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.
Как я уже писал в одной из своих статей на Хабре, в некоторых регионах налицо введение палочной системы, то есть если к вам пришла проверка, то вас скорее всего накажут, найдут причину. Поэтому, возможно, в организации стоит заранее заготовить энную сумму на оплату штрафа или готовиться оспаривать правомерность предписания в суде. И, может быть, стоит намеренно оставить нарушение на самом видном месте, чтобы проверяющие не стали копать слишком глубоко ? Но справедливости ради, нужно заметить, что такая ситуация далеко не во всех регионах.