тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Плановые проверки Роскомнадзора: чек-лист

By 28.01.2025 Информационная безопасность 0 Comments

Плановые проверки Роскомнадзора: чек-лист

Есть три регулятора, которые контролируют выполнение требований по защите персональных данных — Роскомнадзор, ФСТЭК и ФСБ. Здесь мы рассказывали о том, за чем и как следит каждый орган. А здесь — как проходят проверки в 2024-2025 году в обход моратория.

Предполагается, что мораторий закончился к III кварталу 2025 года. Тогда начнутся регулярные плановые и внеплановые проверки.

И, пожалуй, лучший способ как грамотно выстроить защиту, так и подготовиться к проверкам — знать, на что будут смотреть. В случае ФСТЭК и ФСБ это — закрытая информация. А вот чек-лист, по которому проходят плановые проверки РКН, есть в открытом доступе. И это — Приказ РКН № 253 от 24.12.2021. Актуальная версия на сегодня — с поправками от 10 января 2023 года. Состоит из 67 пунктов.

Условно его можно разделить на четыре части:

  • Выполнение 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов для всех организаций.
  • Выполнение требований Постановления Правительства РФ от 21.03.2012 №211 (Перечень мер) для госорганов.
  • Выполнение требований по неавтоматизированной обработке на основании Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации №687.
  • Соблюдение ТК РФ при работе с ПДн сотрудников.

Разбираем каждый пункт простым и понятным языком, на конкретных примерах с Вероникой Нечаевой, нашим директором по ИБ.

Выполнение 152-ФЗ

Пункт 1, Пункт 2. Оператор обязан обрабатывать персональные данные в соответствии с целями их сбора. Содержание и объём собираемых данных должны соответствовать заявленным целям обработки.

Проверочный вопрос здесь: нужны ли данные, которые мы собираем, для выполнения целей обработки, которые мы указали в Уведомлении в РКН?

Пункт 3. Оператор обязан соблюдать требования по обработке ПДн в случаях, предусмотренных ФЗ-152.

Здесь проводится комплексная оценка того, соответствует ли 152-ФЗ всё, что происходит у оператора. Какие «случаи предусмотрены в 152-ФЗ»? Проверяется, например, есть ли согласие, если оно нужно. Если согласия нет — есть ли отсылка к нормативно-правовому акту, на основании которого его нет. Например, в медицинской отрасли это 323-ФЗ. По факту, здесь поставят «+» или «-«, когда проверят всё по остальным пунктам.

Пункт 4. Оператор обязан соблюдать требования при поручении иному лицу обработки ПДн с согласия субъекта ПДн.

Передача третьему (иному) лицу ПДн накладывает обязательства по заключению договора, в котором будет прописано, какая ответственность накладывается на лицо, какая — на нас, как мы эту ответственность будем между собой делить, как мы контролируем это лицо, чтобы он держал в сохранности наши ПДн и т.д.

Как это проверяют: берут договоры с иными лицами, согласия на обработку и смотрят. Например, если в согласии субъект ПДн не разрешил передавать его данные третьему лицу, то передача должна быть исключена. Если субъект не разрешил, например, третьим лицам передавать свои ПДн кому-то ещё — этого тоже быть не должно.

Пункт 5. Оператор должен обязать того, кому поручает обработку ПДн, обеспечить их конфиденциальность и безопасность.

Здесь важно разделять понятия передачи и поручения на обработку. Передача — когда передаем ПДн определённому физлицу для конкретной деятельности. Поручение — это когда мы часть полномочий с этими данными с себя снимаем и передаём другому юрлицу. В обоих случаях необходимо подтвердить соглашения о безопасной работе с данными.

Очень подробная статья о передаче и поручении на обработку с примерами и ответственностью.

Пункт 6. Оператор не может раскрывать третьим лицам и распространять ПДн без согласия субъекта ПДн.

Здесь всё просто: если согласия для передачи ПДн третьему лицу не было, но передаём — получаем правовое взыскание.

Пункт 7. Оператор ПДн не может включать ПДн в общедоступные источники ПДн без письменного согласия субъекта ПДн

Сейчас вместо понятия «общедоступные ПДн» есть термин «ПДн, разрешенные для распространения», введённый в 2023 году. Это значит, что данные будут выложены в какое-то место, например, на сайт, куда будет иметь доступ вся аудитория РФ. По факту, пункт про общедоступные источники контролируется только для госорганов. Потому что обязательного требования признавать данные общедоступными для коммерческих организаций нет.

Пункт 8. Оператор обязан исключать сведения о субъекте ПДн из общедоступных источников по требованию субъекта, либо по решению суда или иных уполномоченных госорганов.

Например, субъект нашел в общедоступном источнике свои данные, разрешенные для распространения, и хочет их удалить. Он пишет об этом письмо оператору. Роскомнадзор проверяет такие письма, постановления госорганов и факт удаления данных из общедоступных источников.

Пункт 9. Оператор обязан предоставить доказательства получения согласия на обработку субъекта ПДн, а также доказательства наличия оснований, если согласий нет.

То есть, оператор должен предоставить все согласия в соответствии со всеми целями, которые оператор указал в уведомлении об обработке ПДн. Если их нет, то доказательства из пунктов 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 152-ФЗ.

Пункт 10. Содержание согласия субъекта на обработку ПДн должно соответствовать требованиям.

В 152-ФЗ закреплены конкретные требования по тому, что должна содержать форма согласия. Также шаблон формы согласия есть на сайте Роскомнадзора.

Пункт 11, 12. Проверяется факт обработки оператором специальных категорий ПДн.

Здесь проверяется факт — да/нет. О том, какие категории ПДн бывают, и что туда входит — рассказывали тут.

Пункт 13. Оператор обязан брать согласие на распространение ПДн отдельно от согласия на обработку.

Пункт 14. Содержание согласия субъекта на обработку данных, разрешённых для распространения, должно соответствовать требованиям.

Речь идёт о данных, которые упоминали в Пункте 7. Как и в Пункте 10, в 152-ФЗ есть свои требования к таким согласиям. Они размещены в ч.1 ст.10.1 Приказом РКН от 24.02.2021 №18.

Пункт 15. Оператор обязан предоставить доказательства законности распространения или иной обработки ПДн, разрешенных субъектом для распространения, в случае раскрытия ПДн неопределенному кругу лиц самим субъектом ПДн без предоставления оператору согласия на обработку таких ПДн

Например, берут сайт и проверяют, что там находится информация, на распространение которой субъект ПДн не давал согласие конкретному оператору. Здесь будет проверяться цепочка, откуда данные к этому оператору попали, действительно ли они, условно говоря, из общедоступного источника, и нужно или не нужно было брать отдельное согласие у этого субъекта.

Пункт 16. Оператор обязан опубликовать информации об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения, в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн.

В согласии на распространение прописываются условия, когда мы можем распространять данные, а когда — нет. Здесь будут проверяться, какие данные распространяются, по каким источникам, какому кругу лиц. Например, гражданин N говорит всем, что он глава отдела и не разрешал публиковать данные о своей должности. А оператор на сайте опубликовал новость, что дворнику N присуждено звание «Лучший дворник из одного дворника» 🙂 Это будет нарушением со стороны оператора, и этот факт проверяется в этом пункте.

Пункт 17. Оператор обязан прекратить передачу (распространение, предоставление, доступ) ПДн в случае обращения субъекта или по решению суда в течении трёх рабочих дней.

Причем здесь, при удалении, оператор должен обратить внимание на то, что есть отдельный нормативно-правовой акт РКН, связанный с удалением ПДн из базы — как из бумажных, так и из электронных. Согласно требованиям, по факту удаления должен быть акт, который и нужно показать ведомтсву вместе с обращением/постановлением суда

Пункт 18. Оператор обязан соблюдать требования при обработке биометрических ПДн субъекта, в том числе, в части наличия согласия на обработку.

Читаем части 1 и 2 статьи 11 152-ФЗ. Если биометрия есть, в том числе, проверят факт присоединения к Единой биометрической системе РФ конкретной организации.

Пункт 19-20. Оператор обязан провести оценку адекватности защиты прав субъектов ПДн иностранного государства до начала осуществления трансграничной передачи персональных данных.

Этот пункт проверяется, если оператор в уведомлении указал о факте трансграничной передачи или после установления факта об этом. «Адекватные» страны обеспечивают защиту прав субъектов ПДн и зафиксированы в Приказе РКН от 05.08.2022.

Пункт 21, пункт 37. По требованию субъекта ПДн оператор обязан уточнить/блокировать/уничтожить ПДн, если те являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий 7 рабочих дней.Также оператор обязан уведомить о внесенных изменениях и предпринятых мерах третьи лица, которым ПДн этого субъекта были переданы.

Одна из распространенных ситуаций-причин таких обращений на территории РФ — когда в фамилии есть буква «ё», а оператор заносит фамилию через «е». В итоге субъект не может товар/услугу получить, потому что по паспорту он, например «Семёнов», а в базе данных — «Семенов».

Пункт 22, пункт 27, пункт 34, пункт 35. Оператор обязан по требованию предоставлять субъекту ПДн в доступной форме сведения, указанные в части 7 статьи 14 152-ФЗ — как при сборе, так и после него (по факту получения обращения в течение 30 дней). Либо в течение того же срока предоставить мотивированный отказ.

То есть, нам приходит обращение от субъекта, например, с вопросом, мол, зачем вы обрабатываете мои ПДн? Мы обязаны предоставить полную и достоверную информацию о собираемых ПДн, целях обработки и т.д.

Пункт 23. Оператор не имеет права раскрывать одному субъекту ПДн данные о других субъектах ПДн, если на это нет законных оснований.

Например, рядовой сотрудник желает узнать размер зарплаты и квалификацию другого сотрудника. Он приходит с вопросом в бухгалтерию, и там не имеют права раскрывать эти данные.

Или же доступ к конфиденциальным данным по документам имеет только отдел маркетинга, но не имеет отдел сбыта. И когда у сбыта спросят, где те берут данные, а там ответят, что у маркетинга — это будет нарушением.

Пункт 24. Оператор обязан соблюдать требования при обработке ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.

На рекламу, агитацию и т.д. должно быть взято отдельное согласие субъекта ПДн. Есть ещё целый ряд требований к такого рода взаимодействиям с данными, они закреплены в ч.1 ст.15 152-ФЗ.

Здесь же отмечу: если, например, в чек-боксе на сайте для продолжения процесса стоят два поля для отметок — на согласие и на получение рекламы — при этом оба обязательные — это нарушение требований закона. Субъект имеет право не соглашаться на использование его ПДн в рекламных целях

Пункт 25. Оператор ПДн обязан по требованию субъекта немедленно прекратить обработку его ПДн за исключением случаев, указанных в ч.1 ст.15. ФЗ-152.

То есть, если нам приходит отзыв согласия на обработку от субъекта, и мы не попадаем под исключения, например, не предоставляем определенные льготы, мы обязаны не только уничтожить его ПДн из баз (не забываем про акт об уничтожении), но и выслать ответ на обращение о факте прекращения обработки.

Пункт 26. Оператор обязан обеспечить соблюдение требований при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки его персональных данных, по наличию согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Как минимум, здесь проверят, защищены ли каналы связи, по которым передаются ПДн. Даже если субъект согласился на передачу его ПДн по незащищенным каналам связи, оператор ОБЯЗАН защитить ПДн в соответствии с требованиями. Или, например, проверят требование, что для каждой цели обработки должна бытиь отдельная база данных.

То есть, здесь будет проверяться всё, что связано с автоматизированной обработкой и правами субъекта.

Пункт 28. В случаях, когда предоставление ПДн является обязательным по закону, оператор обязан объяснить субъекту ПДн, какие последуют юридические последствия, если он отказывается их предоставлять.

Юридические последствия — это форма документа, в котором должно быть расписано, мол, если вы такие-то данные не даёте, мы не сможем оказать вам такую-то услугу, так как для неё необходимы именно эти данные в соответствии с таким-то ФЗ.

Пункт 29. В случаях, когда оператор получает ПДн субъекта не напрямую от субъекта, а от третьей стороны, перед началом обработки он обязан уведомить субъекта о намерении совершать обработку и получить согласие (за исключением случаев ч.4 ст.18 152-ФЗ).

Самый простой пример: вы субъект ПДн, купили кофе и зарегистрировались в системе лояльности в кофейне А. Кофейня А отдала данные клиентов в кофейню В. Представители кофейни В, так как у них нет согласия на обработку от вас, обязаны вас уведомить о намерении обрабатывать данные

Пункт 30. Базы данных оператора, в которых происходит запись, систематизация, накопление, хранение, уточнение (обновления, изменения), извлечение ПДн обязаны находиться на территории РФ.

Пункт 31. Оператор обязан соблюдать требования по принятию мер, необходимых в достаточных для выполнения обязанностей, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.

Мы уже не раз обсуждали, что меры защиты ПДн делятся на три категории — организационные (документация), технические (техмеры), морально этические 🙂 (работа с командой).

Пункт 31 про то, соблюдается, нет или частично соблюдается этот комплекс мер. То есть, здесь проверят не только ФЗ-152, но и другие связанные НПА.

Пункт 32. Оператор обязан опубликовать или иным образом предоставить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Речь о политике конфиденциальности. Пошаговая инструкция по составлению здесь.

Пункт 33. Оператор обязан принять необходимые организационные меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Пункты 35-67 разберём во второй части статьи. также вам могут были полезны дургие материалы по теме: