Что смотрит Роскомнадзор при проверках
В прошлом материале мы начали рассматривать и комментировать проверочный лист Роскомнадзора с Пункта 1 до Пункта 35.
Сегодня рассматриваем Пункты 36-67 Приказа РКН № 253 от 24.12.2021 (с поправками от 10 января 2023 года).
Выполнение требований 152-ФЗ (продолжение)
Пункт 36. Оператор обязан предоставить субъекту или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту.
Здесь проверяется сам порядок предоставления данных. Есть ли запрос, предоставлен ли ответ, в какой форме и в течении каких сроков. В пунктах 34-35 прописано, что в течении оператор обязан предоставить данные или мотивированный отказ только по запросу в течение не более 30 дней.
Пункт 38, пункт 39. Оператор обязан блокировать и уточнить ПДн в случае выявления неправомерной обработки, неточных ПДн, при обращении субъекта, его представителя или уполномоченного органа по защите прав субъектов ПДн у течении семи рабочих дня со дня получения сведений.
Здесь проверяют, заблокирован доступ или нет. Например, на сайте оператора была доступна фотография субъекта, тот заявил, что не хочет больше её видеть на сайте, но она нужна оператору ещё и для других целей, на которые у оператора есть разрешение от субъекта. Тогда оператор обязан заблокировать фото на сайте, но оставить в других системах
Важно: на седьмой рабочий день получатель уже должен быть с ответом, а не так, что мы за семь дней его только отправили.
Пункт 40. Оператор обязан прекратить неправомерную обработку ПДн в случае выявления этого факта в срок не более трёх рабочих дней с момента выявления. Если у оператора нет возможности обеспечить правомерность обработки, он обязан уничтожить эти ПДн в срок не более десяти рабочих дней.
Здесь для наглядности можно взять пример с кофейнями из пункта 29. Если мы ответили кофейне В отказом на просьбу предоставить согласие, кофейня обязана прекратить обработку в течение трёх дней, уничтожить все наши данные и подготовить в связи с этим документацию в течение десяти.
Пункт 41. Оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней в случае достижения цели обработки ПДн. По факту уничтожения как из электронных баз, так и из бумажных носителей должен быть составлен акт.
Пункт 42. Оператор обязан прекратить обработку и уничтожить ПДн в случае отзыва субъектом ПДн согласия на обработку в течение 30 дней со дня поступления отзыва.
Пункт 43. Оператор обязан заблокировать и уничтожить ПДн в срок не более 6 месяцев (если иной срок не установлен ФЗ), если у него нет возможности уничтожить ПДн в течение срока, указанного в частях 3-5 статьи 21 152-ФЗ.
Здесь о доказательствах: если мы не можем уничтожить или заблокировать ПДн в связи с другими нормативными основаниями их обработки — на это должен быть соответствующий документ.
Пункт 44, пункт 45. Оператор обязан предоставить уведомление об обработке ПДн, содержащее сведения, предусмотренные частью 3 статьи 22 152-ФЗ в Роскомнадзор, если не попадает под исключения части 2 статьи 22 152-ФЗ.
Здесь будут смотреть и проходиться по каждому пункту уведомления. Например, указали ли месторасположение ЦОДа, если автоматизированная обработка — указали ли перечень средств защиты, которые используются при обработке и т.д.
Пункт 46. Если сведения в уведомлении меняются или оператор прекращает обработку ПДн, оператор обязан подать уведомление в Роскомнадзор.
Пункт 47, пункт 48, пункт 49. Оператор обязан назначить ответственного за организацию обработки ПДн и предоставить ему сведения, указанные в части 3 статьи 22 152-ФЗ. Ответственный обязан выполнять обязанности, установленные частью 4 статьи 22.1 152-ФЗ.
Всё про назначение ответственного за организацию обработки здесь. О том, какие документы в связи этим должны быть подготовлены — здесь. «Сведения, указанные в ч.3 ст.22 и ч.4 ст.22.1» — это. в том числе, про то, что уведомление также должно быть подготовлено и отправлено в бумажном виде.
Выполнение требований Перечня мер для госорганов
Ещё раз: для муниципальных и госорганов! Правовые основания для следующих пунктов составлены на основе Постановления Правительства РФ от 21.03.2012 №211 (Перечень мер).
Пункт 50. Оператор обязан назначить ответственного за организацию обработки из числа гос- и мунслужащих.
Пункт 51. Руководитель органа утвердить актом документы, предусмотренные подпунктом «б» пункта 1 Перечня мер.
То есть, актом должен быть утверждён перечень мер защиты ПДн для муниципальных и госорганов.
Пункт 52. Оператор обязан соблюдать требования по обработке ПДн, осуществляемой без использования средств автоматизации.
Проверяется выполнение мер Постановления Правительства №687.
Пункт 53. Оператор обязан осуществлять внутренний контроль соответствия обработки ПДн требованиям к защите ПДн, установленным 152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами государственного или муниципального органа.
То есть, проверяют, проводит ли оператор внутренние аудиты для контроля за выполнением мер защиты ПДн.
Пункт 54. Оператор обязан ознакомить служащих, осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн и локальными актами по вопросам обработки ПДн.
То есть, проверяют, проводится ли (под роспись в листе ознакомления или журнале инструктажа) ознакомление служащих с информацией о том, что у них вообще есть ПДн, что с ними можно делать, что — нельзя и т.д.
Пункт 55. Муниципальный или госорган обязан уведомить Роскомнадзор о намерении осуществлять обработку ПДн, за исключением случаев, установленных 152-ФЗ.
Пункт 56. Муниципальный или госорган обязан соблюдать требования при осуществлении обезличивания ПДн, обрабатываемых в ИСПДн, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
Пункт 57. Муниципальный или госорган обязан опубликовать на официальном сайте документы, определяющие политику в отношении обработки ПДн, в течение 10 дней после их утверждения.
Выполнение требований по неавтоматизированной обработке
ВАЖНО! Правовые основания для следующих пунктов закреплены в Положении об особенностях обработки ПДн, осуществляемой без использования средств автоматизации №687.
Пункт 58, пункт 63. Оператор обязан хранить ПДн для разных целей на разных материальных носителях. Материальные носители должны храниться раздельно.
То есть, у нас есть папка «КАДРЫ» — и в этой папке не должно быть ПДн, которые мы собрали, чтобы распространять рекламу.
Пункт 59. Оператор обязан проинформировать лица, осуществляющие обработку ПДн без использования средств автоматизации, о факте обработки ими ПДн, их категориях, а также об особенностях и правилах осуществления такой обработки.
И снова — будет проверяться лист ознакомления или журнал инструктажа с подписями тех, кто работает с ПДн на бумаге о том, как они должны обрабатывать ПДн таким способом.
Пункт 60. Оператор обязан соблюдать требования к содержанию типовых форм документов, характер информации которых предполагает или допускает включение в них ПДн.
Проверяется корректность форм, например, согласия на обработку согласно требованиям Постановления №687.
Пункт 61. Оператор обязан выполнять требования к условиям ведения журналов (реестров, книг), содержащих ПДн, необходимых для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях.
Пункт 62. Оператор обязан издать документы, устанавливающие места хранения ПДн (материальные носители), а также перечень лиц, обрабатывающих/имеющих доступ к ПДн.
Пункт 64. Оператор обязан издать перечень мер, необходимых для обеспечения сохранности ПДн и исключающих несанкционированный к ним доступ при хранении материальных носителей, а также перечень лиц, ответственных за реализацию указанных мер.
Выполнение требований Трудового Кодекса РФ
Здесь будут проверять ТОЛЬКО кадровую службу.
Пункт 65. Оператор обязан ознакомить работников и их представителей с документами работодателя, устанавливающими порядок обработки ПДн работников.
Пункт 66. Оператор обязан создать документы, устанавливающие порядок хранения и использования ПДн работников.
Пункт 67. Оператор обязан соблюдать требования при передаче ПДн работников третьим лицам.
Есть меры — мы должны их выполнять. Передавать только по защищённому каналу, только с согласия, так как это третье лицо
Важно помнить, что вышеприведённый чек-лист Роскомнадзор использует при плановых проверках. Если проверка происходит внепланово, по причине, например, инцидента или обращения, он может добавить пункты на своё усмотрение. Например, попросить предоставить документы, подтверждающие, что везде установлены антивирусы.
А ещё — о том, что внеплановая проверка может пройти через прокуратуру и сегодня (такой случай с фотографиями письма в организацию рассматривали тут). К тому же, есть проверки ФСТЭК и ФСБ.
Чтобы узнать, какие меры защиты информации вам нужно выполнить здесь и сейчас, необходимо провести аудит. Заполните форму — мы свяжемся с вами и назначим консультацию с Вероникой Нечаевой лично.