Как подготовиться к проверкам Роскомнадзора

Роскомнадзор регулярно проверяет операторов персональных данных. Это помогает выявить проблемы и нарушения в их работе и оценить защищенность информации, которую они обрабатывают. Чтобы проверка прошла успешно, к ней нужно подготовиться.

Зачем нужны требования

Проверки Роскомнадзора: что нужно знать

В первую очередь нужно изучить, какими документами регламентируются проверки. Список таких документов представлен ниже.

• Постановление Правительства РФ от 16.03.2009 № 228. Здесь указана структура Роскомнадзора и его законные полномочия.
• Постановление Правительства РФ от 29.06.2021 № 1046. Описывает порядок и правила поведения инспекционных проверок Роскомнадзором. Здесь же расписаны права и обязанности инспекторов контролирующего органа, а также операторов персональных данных. Указаны типы проверок, группы риска.
• Приказ Минкомсвязи РФ от 14.11.2011 № 312. Это документ пригодится, если появилось желание оспорить результаты состоявшейся проверки Роскомнадзора.

Федеральный закон от 27.07.2006 № 152-ФЗ – основной документ, в котором прописаны главные требования к работе с персональными данными. Однако ориентироваться нужно не только на закон, но и на категорию данных, которые обрабатывает оператор.

Документов очень много и разобраться в них непросто. Прежде всего достаточно выполнить несколько важных шагов.

• Заранее определите перечень актов, которые относятся непосредственно к вашей организации. Ориентируйтесь на категорию персональных данных, которую обрабатываете.
• Изучите выбранные нормативные акты и определите операции и требования, обязательные к исполнению.
• Оцените свою подготовку к проверке, ориентируясь на требования выбранного документа – успех проверки зависит от их выполнения.

Как подготовиться к проверке Роскомнадзора

Самый простой вариант – пригласить специалиста по защите персональных данных, который оценит вашу подготовку к проверке и поможет исправить недочеты. Но если вы планируете готовиться самостоятельно, нужно выполнить ряд обязательных действий.

1. Определите ответственного за выполнение требований закона. Помните, что от этого сотрудника зависит, будете ли вы работать с персональными данными после проверки или нет.
2. Определите ответственного за обработку персональных данных. Это должен быть сотрудник, которых хорошо знает процесс обработки.
3. Изучите процесс обработки данных. Знаете ли вы, зачем организация собирает персональные данные? Как их использует? Сотрудники организации должны знать, что ответить на эти вопросы в случае необходимости.
4. Разработайте на основе полученных знаний свой пакет документов с политикой в отношении обработки персональных данных, обязательными приказами и положениями, связанные с этим процессом. Не забудьте их утвердить.
5. Ознакомьте с новыми документами сотрудников, имеющих отношение к обработке данных. Важно, чтобы информация их этих документов не была доступна других сотрудникам, которые не работают с персональными данными.
6. Разместите в общем доступе политику по обработке персональных данных вашей организации. Это нужно, чтобы каждый желающий мог ее прочесть и убедиться в правильности действий вашей организации. Разместить можно на сайте, на информационном стенде, в мобильном приложении и так далее.
7. Подайте в Роскомнадзор уведомление об обработке персональных данных. Это можно делать через сайт Госуслуг, сайт Роскомнадзора или в бумажном виде в отделении. После этого компанию внесут в реестр операторов персональных данных, что также является требованием 152-ФЗ.

На что обратит внимание инспектор Роскомнадзора

Помимо ознакомления с документами оператора, инспектора интересует и факт подачи организацией–оператором уведомление в Роскомнадзор в случае, если нет никаких исключений.

Это связано с тем фактом, что далеко не все категории данных можно использовать операторам без уведомления в Роскомнадзор. Они прописаны в ч. 2 ст. 22 152-ФЗ.

Если организация передавала уведомление, в ходе проверки инспектор ориентируется именно на него. Сравнивает указанные пункты с реальным процессом обработки персональных данных в организации.

Также инспектора Роскомнадзора интересует сайт компании, который он будет тщательно изучать. Здесь обязательно должна находиться политика компании по обработке персональных данных.

Инспектор может поспросить ответственного сотрудника показать формы документов, используемые для сбора персональных данных. К примеру, анкеты для респондентов.

При проверке особое внимание уделяют обработке специальных категорий персональных данных. Это информация о расовой принадлежности, политических взглядах, состоянии здоровья, интимной жизни и так далее. Из собирают лишь с письменного согласия владельца данных и только на законных основаниях.

Если организация передает персональные данные другим юридическим лицам, инспектор обязательно проверит договоры на осуществление этой операции. Информация в договоре должна соответствовать требованиям ч. 3 ст. 6 152-ФЗ.

Обратите внимание

1 сентября 2021 года вступил в силу Приказ Роскомнадзора от 24.02.2021 № 18. В нем описаны и утверждены требования к содержанию согласия на обработку персональных данных, на распространение которых есть разрешение.

Не стоит упускать из виду и помещения в организации из нужно обеспечить контролируемым доступом. Это гарантирует недоступность персональных данных тем лицам, которые не имеют к ним отношения.

И последнее: позаботьтесь о раздельном хранении персональных данных разных физических лиц. К примеру, личные данные сотрудников не должны находиться рядом с данными пользователя сайта. И также важно поддерживать порядок в местах хранения, чтобы у инспектора не было к ним вопросов.

Проверка Роскомнадзора пройдет успешно, если соблюсти все требования и постоянно контролировать их исполнение. Не забывайте подавать уведомление и своевременно принимать все организационно-правовые меры.