ШПАРГАЛКА руководителю турфирмы к проверке РОСКОМНАДЗОРА готовимся ПРАВИЛЬНО ВСТУПЛЕНИЕ
advertisement
ШПАРГАЛКА руководителю турфирмы к проверке РОСКОМНАДЗОРА готовимся ПРАВИЛЬНО ВСТУПЛЕНИЕ С каждым годом растет количество плановых и внеплановых проверок, проводимых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в отношении туристских организаций. Так, в плане проверок Роскомнадзора на 2013 год по поводу соответствия обработки персональных данных требованиям законодательства значится уже более ста предприятий туристской индустрии (см. http://www.rsoc.ru/docs/plan_proverok). Напомним, что Роскомнадзор в основном проверяет организационные моменты, связанные с обработкой персональных данных, а технические – ФСТЭК. В этом материале мы, как сумеем, расскажем, к чему и как следует готовиться, если на пороге Вашей турфирмы планируют появиться контролеры из Роскомнадзора. I. РЕГЛАМЕНТАЦИЯ ПРОВЕРОК И ОСНОВНЫЕ ПРАВИЛА ИХ ПРОВЕДЕНИЯ 1. Проверки Роскомнадзора регламентируются: - Федеральным законом от 26.12.2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – ФЗ №294); - Административным регламентом исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным приказом Минкомсвязи №312 от 14.11.2011 года (далее – регламент по надзору). Следует принять во внимание, что если открыто дело об административном правонарушении, то Роскомнадзор имеет право действовать в рамках КоАП РФ, без соблюдения норм и ограничений ФЗ №294. 2. Проверки бывают документарные и выездные, плановые и внеплановые. Не будем подробно останавливаться на описании видов проверок, при желании об этом можно прочитать в предыдущей шпаргалке: «К проверке Госконтроля готовимся правильно». Отметим только основные правила проведения проверок, которых должны придерживаться сотрудники Роскомнадзора: Срок представления Вами документов, 10 рабочих дней со дня получения мотивированного требуемых при документарной запроса проверке Срок представления пояснений по документарной проверке 10 рабочих дней Количественный состав проверяющих Не менее двух должностных лиц, в том числе при выездной проверке и их основания должностное лицо, отвечающее за вопросы правового для проверки обеспечения. Выездная проверка проводится только при предъявлении служебных удостоверений лиц, проводящих проверку, и копии соответствующего приказа руководителя органа Роскомнадзора. Срок и порядок уведомления о начале проведения выездной проверки. Плановой проверки Не позднее, чем в течение трех рабочих дней до начала проведения проверки посредством направления копии приказа о проведении проверки почтовым отправлением с уведомлением о вручении или иным доступным способом Внеплановой Не позднее, чем за 24 часа до начала ее проведения 1 ШПАРГАЛКА руководителю турфирмы к проверке РОСКОМНАДЗОРА готовимся ПРАВИЛЬНО проверки любым доступным способом Срок проведения выездной проверки 20 рабочих дней (продление возможно на срок не более 20 рабочих дней) Порядок обжалования решений, вынесенных по результатам проверок Обжалование действий должностных лиц может осуществляться письменно либо устно в ходе личного приема. Жалоба должна быть рассмотрена в течение 30 дней, срок может быть дополнительно продлен еще на 30 дней В ходе проведения контрольных мероприятий сотрудниками Роскомнадзора могут быть исследованы непосредственно документы, содержащие персональные данные (далее – ПДн); информационные системы, в которых осуществляется обработка персональных данных (далее – ИСПДн), внутренние локальные нормативные акты, регламентирующие обработку ПДн в организации, а также фактическая деятельность турфирмы по обработке ПДн. Проверяющие вправе получать доступ к ИСПДн в режиме просмотра и выборки необходимой информации. В уведомлении о проведении проверки должны быть указаны: сроки проведения проверки, дату и номер приказа. К уведомлению о проверке прикладываются: копия приказа о проведении проверки, соответствующего требованиям ФЗ №294, программа проверки (согласно которой инспектор будет действовать при ее осуществлении). При проведении выездной проверки копия приказа должна быть вручена под роспись либо руководителю турфирмы, либо доверенному лицу. Если проверка не выездная, а документарная, копия приказа направляется руководителю вместе с запросом на представление необходимых документов. Одновременно проверяющие лица предъявляют свои служебные удостоверения, поскольку заниматься проведением проверки должны только те лица, которые указаны в приказе. Руководитель турфирмы имеет право потребовать от инспекторов предоставления информации, относящейся к предмету проверки. При надлежащем оформлении документов руководитель обязан, а инспектор имеет право требовать пропустить инспекторов на территорию проверки. Инспектор не имеет права требовать нотариально удостоверенные документы. Руководитель при наличии документов обязан представить их копии, заверенные подписью и печатью организации. II. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ К ПРОВЕРКЕ 1. В первую очередь нужно выяснить, есть ли Ваша организация в Реестре операторов персональных данных, который ведет Роскомнадзор. Если Вы в реестр не включены, то надо подать соответствующее уведомления об обработке или намерении осуществлять обработку ПДн (но нужно учесть, что если уведомление не было подано ранее, до начала деятельности по обработке ПДн, то это уже повод для контролеров оштрафовать Вашу организацию). Не стоит дискутировать на тему, попадает ли Ваша турфирма под те положения Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» (далее ФЗ № 152), например, подп.1, 2 п.2. ст.22, когда организация в праве обрабатывать ПДн без уведомления Роскомнадзора. Просто потому, что как утверждает Роскомнадзор, его практика проверок однозначно показывает, что любой работодатель в силу объективных причин априори не попадает под те исключения, которые позволяют ему не уведомлять Роскомнадзор о своей деятельности. Если Вы ранее уведомили Роскомнадзор о своей деятельности, то нужно в обязательном порядке уточнить его содержание. Практика карательных мер Роскомнадзора свидетельствует о том, что как раз несоответствие данных в уведомлении фактическому состоянию дел, используется как формальный повод взыскания административного штрафа (для внесения изменений в уведомление на портале персональных данных Роскомнадзора существует специальная форма). При этом следует учитывать, что приказом Роскомнадзора от 19.08.2011 года № 706 утверждена новая форма «Уведомления об обработке персональных данных физических лиц», и 2 ШПАРГАЛКА руководителю турфирмы к проверке РОСКОМНАДЗОРА готовимся ПРАВИЛЬНО операторы персональных данных, в том числе и ранее зарегистрированные в Реестре, обязаны направить в Роскомнадзор обновленные уведомления не позднее 1 января 2013 года. 2. На следующем этапе проверки контролеры из Роскомнадзора потребуют ознакомить их, разумеется, наряду с регистрационными документами, с локальными нормативными актами, приказами, инструкциями, журналами, типовыми формами и т.п., которыми в турфирме регламентируется обработка персональных данных. Официального перечня таких документов как такового не существует, но есть набор проблем и задач, решение которых законодательством возложено на операторов ПДн, в том числе, и путем разработки и принятия различного рода нормативных и распорядительных документов. С учетом вновь принятых нормативных актов: - Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» - Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в перечень локально-распорядительных документов, контролеры из Роскомнадзора, следует включить следующие: которые могут потребовать а) Документы, подтверждающие государственную и иную, необходимую, регистрацию юридического лица или индивидуального предпринимателя: - Устав ООО (зарегистрированный у нотариуса и в налоговом органе) - Приказ №1 о назначение Генерального директора ООО - Свидетельство о государственной регистрации юридического лица или Свидетельство о государственной регистрации физического лица в качестве индивидуального предпринимателя - Свидетельство о постановке на учет российской организации в налоговом органе по месту нахождения на территории Российской Федерации или Свидетельство о постановке на учет физического лица в налоговом органе на территории Российской Федерации - Выписка из Единого государственного реестра юридических лиц (ЕГРЮЛ) - Организационно–штатная структурная схема юридического лица (до структурного подразделения) б) Документы, подтверждающие исполнение оператором ПДн требований статьи 22 ФЗ №152: - Копия уведомления Роспотребнадзора о намерении осуществлять обработку персональных данных либо Выписка из реестра операторов, осуществляющих обработку персональных данных - Копия письма о внесении изменений в уведомление об обработке персональных данных (в случае возникновения изменений должно быть отправлено не позднее 10 рабочих дней с даты их возникновения) в) Положения, приказы и иные документы, регламентирующие обработку ПДн: - Перечень ПДн и иных объектов, подлежащих защите - Перечень работников, допущенных к обработке ПДн - Политика в отношении обработки ПДн (общедоступная) - Положение о коммерческой тайне - Положение об обработке и защите персональных данных работников - Положение об обработке и защите персональных данных клиентов - Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации 3 ШПАРГАЛКА руководителю турфирмы к проверке РОСКОМНАДЗОРА готовимся ПРАВИЛЬНО - Положение о порядке обезличивания персональных данных и работы с обезличенными персональными данными - Положение об ответственности работников за разглашение персональных данных и несанкционированный доступ к персональным данным - Правила рассмотрения запросов субъектов персональных данных или их представителей - Приказ о назначении уполномоченного сотрудника, ответственного за обеспечение информационной безопасности и защиту персональных данных - Приказ о назначении комиссии по уничтожению персональных данных - Приказ о допуске сотрудников к обработке ПДн г) Документы и приказы, регламентирующие вопросы проектирования системы защиты ПДн: - Положение о мерах по организации защиты информационных систем персональных данных (ИСПДн) - Протокол оценки вреда, который может быть причинен субъектам ПДн - Модель угроз - Акт определения уровня защищенности ПДн при их обработке в информационных системах персональных данных (ИСПДн) - План мероприятий по обеспечению безопасности ПДн - Перечень ИСПДн - Технический проект на создание системы защиты ПДн (СЗПДн) - Приказ о планировании мероприятий по внедрению СЗПДн - Приказ о проведении анализа угроз безопасности ПДн - Приказ о внедрении СЗПДн д) Положения, приказы и иные документы, регламентирующие вопросы обеспечения информационной безопасности (ИБ): - Положение об организации режима безопасности помещений, где осуществляется работа с ПДн - Положение об антивирусной защите - Положение о парольной защите - Инструкция по проведения антивирусного контроля в информационной системе персональных данных - Регламент проведения мероприятий по контролю процессов обработки и системы защиты ПДн - Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных - Положение о порядке хранения и уничтожения носителей ПДн - Положение о порядке внесения изменений в программное обеспечение ИСПДн - Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных - Инструкция о порядке учета и хранения съемных носителей конфиденциальной информации - Регламент проведения инструктажа по информационной безопасности - План внутренних проверок режима защиты персональных данных - Приказ об утверждении мест хранения материальных носителей персональных данных и ответственных за их сохранность 4 ШПАРГАЛКА руководителю турфирмы к проверке РОСКОМНАДЗОРА готовимся ПРАВИЛЬНО ж) Должностные инструкции и шаблоны форм документов, акты и договора, касающиеся с обработки ПДн: - Должностные инструкции сотрудников, обрабатывающих ПДн - Должностные инструкции сотрудников, обеспечивающих ИБ - Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций - Соглашения о неразглашении работниками персональных данных - Шаблоны форм согласия субъекта ПДн данных на обработку его ПДн - Должностная инструкция уполномоченного сотрудника, ответственного за обеспечение информационной безопасности и защиту персональных данных - Форма Акта об уничтожении информации, размещенной на электронных носителях и содержащей персональные данные - Типовая форма письменного согласия субъектов персональных данных на обработку его персональных данных - Типовая форма ответа Субъекту персональных данных на его запрос - Акты об уничтожении персональных данных субъекта(ов) персональных данных - Договора с третьими лицами, которым Вы передаете персональные данные на обработку, или договора с операторами ПДн, которые передают Вам, как третьему лицу, персональные данные для их обработки (например: договора между туроператорами и турагентами, с банками, страховыми компаниями и т.п.). Такие договора должны содержать перечень операций с ПДн, которые будут совершаться третьим лицом, цели обработки, обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, требования к защите обрабатываемых персональных данных. - Документы, подтверждающие Ваше право обработки персональных данных. Например, согласие субъекта ПДн, договор с субъектом ПДн, договор с оператором ПДн, по которому Вы являетесь третьим лицом, которому оператор ПДн поручает обработку ПДн. з) Журналы, обязательные к ведению в делопроизводстве, связанном с обработкой персональных данных: - Журнал инструктажа сотрудников по вопросам ИБ - Журнал учета обращений и запросов субъектов ПДн, их законных представителей и государственных контролирующих органов - Журнал учета носителей информации информационной системы персональных данных - Журнал учета съемных и мобильных носителей информации - Журнал учета мероприятий по контролю соблюдения режима защиты персональных данных в информационных системах - Журнал учета применяемых в ТА технических средств защиты ИСПДн - Журнал учета мероприятий по контролю обеспечения защиты персональных данных - Электронный журнал обращений пользователей информационной системы к ПДн - Журнал периодического тестирования средств защиты информации - Журнал по учету мероприятий по контролю государственными и муниципальными органами III. ОБЯЗАННОСТИ ДОЛЖНОСТНЫХ ЛИЦ - ПРОВЕРЯЮЩИХ Из действующего регламента обязательные для проверяющих: по надзору можно выделить следующие нормы, обязаны соблюдать законодательство РФ, права и законные интересы оператора; обязаны проводить проверку только во время исполнения служебных обязанностей; 5 ШПАРГАЛКА руководителю турфирмы к проверке РОСКОМНАДЗОРА готовимся ПРАВИЛЬНО не вправе препятствовать присутствовать при проверке руководителю или иному уполномоченному представителя оператора ПДн; обязаны предоставлять руководителю или иному уполномоченному представителю оператора информацию и документы, относящиеся к предмету проверки; должны учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений; обязаны не допускать необоснованное ограничение прав и законных интересов оператора; доказывать обоснованность своих действий при их обжаловании оператором; перед началом выездной проверки по просьбе руководителя или иного представителя оператора ознакомить их с положениями регламента по надзору; не проводить выездную проверку при отсутствии руководителя или уполномоченного представителя оператора ПДн; не проводить изъятия и не истребовать документы, не относящиеся к предмету проверки; не распространять информацию, полученную в результате проверки; не превышать установленных регламентом по надзору сроков проверки. Таким образом, Операторам ПДн следует знать об установленных ограничениях в деятельности проверяющих и не выполнять их незаконные требования. IV. ПОРЯДОК ОБЖАЛОВАНИЯ РЕШЕНИЙ, ВЫНЕСЕННЫХ ПО РЕЗУЛЬТАТАМ ПРОВЕРОК Согласно регламенту надзора обжалование действий должностных лиц Роскомнадзора может осуществляться письменно с обращением (жалобой, заявлением) на решения, действия (бездействия) должностных лиц либо устно в ходе личного приема. Обращение рассматривается Роскомнадзором и его территориальными органами в течение 30 дней с момента его поступления. Срок рассмотрения обращения может быть дополнительно продлен еще на 30 дней. Необходимо обратить внимание, что жалоба будет оставлена без рассмотрения в следующих случаях: в письменной жалобе не указаны фамилия заявителя и почтовый адрес; в жалобе содержатся нецензурные либо оскорбительные выражения, угрозы имуществу, жизни и здоровья; текст жалобы не поддается прочтению; в жалобе содержится вопрос, на который многократно давались письменные разъяснения. Также о нарушении своих прав и законных интересов, противоправных решениях можно сообщить по номеру телефона, указанному на сайте Роскомнадзора или его территориального органа. Результаты проверки и другие действия инспекторов Управления Роскомнадзора могут быть обжалованы как в вышестоящем органе (Федеральной службе), так и в суде. Дядя Лёня 01.07.2013 года 6
