Как подготовиться к проверке регулятора по персональным данным(пошаговая инструкция)

Кто такие регуляторы и что они проверяют?

Основных контрольно-надзорных органов, уполномоченных проводить проверки в части соблюдения законодательства о персональных данных (т.н. "регуляторов"), три:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомандзор) России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК) России;
• Федеральная служба безопасности (ФСБ) России.

Кто из них что проверяет?

Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, на него возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона "О персональных данных". По сути – проверка организационных мер защиты персональных данных.

ФСТЭК и ФСБ осуществляет функции по контролю за соблюдением оператором государственных информационных систем организационных и технических мер по защите персональных данных (функции ФСБ ограничены порядком пользования средств криптографической защиты информации).

Как узнать, что вас собираются проверять?

Планы проверок практически всех организаций публикуются на официальном сайте Генеральной прокуратуры РФ в начале года. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих в текущем году проверках, их длительности и периоде проведения (указывается только месяц). Также регуляторы обязаны осуществлять размещение планов своих контрольно-надзорных мероприятий на официальных сайтах.

Что делать, если вас включили в план (пошаговая инструкция)?

Шаг 1. Соберите информацию
Поинтересуйтесь у коллег, посмотрите планы проверок за прошедшие годы, подумайте, с кем из тех, кто уже проходил проверку, у вас есть возможность проконсультироваться. Посетите семинары (конференции) с участием представителей регуляторов.

Шаг 2. Проведите внутренний аудит
Тут два момента: во-первых, поймете, где вы сейчас. Во-вторых, результаты внутреннего аудита понадобятся вам для предоставления регулятору.

На что смотреть в первую очередь:

• Анализ уведомления в Роскомнадзор. Если проверяющий орган Роскомнадзор, то уведомление желательно обновить за 1–2 месяца до проверки (если, конечно, позволяют сроки).
• Проанализировать политику в области обработки персональных данных. Сделать скриншот с сайта, где она размещена.
• Провести ревизию сертификатов соответствия на средства защиты информации: проверить, чтобы они были действующими и надлежащим образом заверенными.
• Составить перечень имеющихся локальных нормативных актов по защите информации (инструкции, регламенты, приказы, распоряжения).

Шаг 3. Подготовка к проверке
Для всех регуляторов подготавливаются следующие документы:

• Учредительные документы юридического лица: выписка из ЕГРЮЛ, Устав (Положение), приказ о назначении руководителя. Копия документа, удостоверяющего полномочия физического лица, которое будет представлять интересы юридического лица при проведении проверки. Организационно-штатная структура юридического лица (штатное расписание, положение), журнал учета проверок юридического лица.
• Документы, в которых зафиксировано, какие категории персональных данных вы обрабатываете, например: "Политика в области обеспечения безопасности персональных данных", "Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных".
• Перечень информационных систем персональных данных. Как правило, их несколько, так как законодательство не допускает объединение информационных систем персональных данных, созданных в различных целях. Например, информационные системы персональных данных, обрабатывающие данные о клиентах и сведения о сотрудниках, необходимо разделять.
• Модели угроз, акты определения уровня защищенности, формуляры и сертификаты на средства защиты информации.
• Документы о назначении ответственного или структурного подразделения, ответственного за обеспечение обработки персональных данных.
• Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей.
• Документы, регламентирующие режимные мероприятия. Например, "Инструкция по режиму безопасности". Журнал (реестр, книга), содержащий персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию или в иных аналогичных целях.
• Документ, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение таких последствий: "Инструкция по реагированию на инциденты информационной безопасности", "Инструкции по внутреннему контролю (аудиту)", акты внутренних проверок.
• Документы, подтверждающие ознакомление сотрудников с внутренними регламентами по обеспечению безопасности персональных данных (листы ознакомления). Также рекомендуется сделать листы ознакомления с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иными подзаконными актами, которыми вы руководствуетесь при проведении мероприятий по защите персональных данных.

Выше был представлен обобщенный перечень документов, необходимых для предоставления всем регуляторам.

Для Роскомнадзора

В случае проверки Роскомнадзором этот перечень необходимо дополнить:

• Договоры, одной из сторон которых является субъект персональных данных. Например, трудовой договор: желательно, чтобы в нем было согласие на обработку персональных данных.
• Письменное согласие субъектов персональных данных, в том числе работников, на обработку их персональных данных (резюме, анкета, трудовой договор).
• Письменное согласие на обработку биометрических и (или) специальных персональных данных (если они обрабатываются).
• Наличие письменного согласия на трансграничную передачу данных (если передаются).
• Согласие субъекта на передачу его данных третьему лицу (если оператор поручает обработку третьему лицу).
• Документы, устанавливающие порядок уничтожения и обезличивания персональных данных. Например, "Инструкция по делопроизводству", "Инструкция по конфиденциальному делопроизводству".
• Типовые формы документов, характер которых предполагает включение в них персональных данных (бланки согласий, бланки трудовых договоров, анкеты сотрудников, клиентов и т.п.).
• Документы, устанавливающие места хранения материальных носителей персональных данных и порядок их хранения ("Инструкция по конфиденциальному делопроизводству" или "Инструкция по режиму безопасности в организации").
• Локальные документы, регламентирующие порядок и условия обработки персональных данных работников, кандидатов на замещение вакантных должностей, ведение кадрового резерва (при наличии), а также документы, подтверждающие факт ознакомления работника с локальными документами, регламентирующими порядок и условия обработки его персональных данных. Например, "Положение о защите персональных данных сотрудников с листами ознакомления".

Для ФСТЭКа

• Сведения о наличии лицензий на осуществление работ по защите информации.
• Приказ о постоянно действующей технической комиссии по защите информации.
• Сведения о сотрудниках подразделения (штатном специалисте) по защите информации: приказ о назначении, штатная и фактическая численность, стаж в области защиты информации, копии дипломов об обучении, сведения о повышении квалификации, сведения о согласовании кандидатуры руководителя с Управлением ФСТЭК России по региону.
• Сведения об аттестованных объектах информатизации (аттестат) и планируемых к аттестации.
• Сведения о проведении инструментального контроля на объектах информатизации.
• Сведения о наличии аппаратуры контроля эффективности мер по защите информации.

Для ФСБ

• Документы, определяющие выбор криптосредства в соответствии с определенными уровнями защищенности. Например, модель нарушителя (может быть совмещена с моделью угроз), акт определения уровня защищенности.
• Документы по поставке средств криптографической защиты (СКЗИ). Например, договор купли-продажи со спецификацией.
• Эксплуатационная документация на криптосредства: формуляры, руководства оператора, сертификаты и т.п.
• Документы определяющие порядок учета СКЗИ: акты установки СКЗИ, перечень помещений с СКЗИ, журналы учета, журналы передачи СКЗИ.
• Документы, подтверждающие наличие функциональных обязанностей ответственных пользователей СКЗИ. Например, должностные инструкции сотрудников.
• Организация процесса обучения лиц, использующих СКЗИ, правилам работы с ними и другим нормативным документам по организации работ с использованием СКЗИ: листы ознакомления, копии свидетельств о повышении квалификации сотрудников, занятых на работах с СКЗИ, листы проведенных инструктажей, приказы (планы) обучения сотрудников правилам работы с СКЗИ и т.п.
• Инструкция по восстановлению связи в случае компрометации криптографических ключей.

Шаг 4. Непосредственно участие в самой проверке
Если проверка документарная, в адрес организации направляется приказ, в котором указывается перечень документов, необходимых для предоставления регулятору и срок. В указанный в нем срок вам необходимо предоставить регулятору запрашиваемые документы любым доступным способом: либо направить по почте, либо нарочно с отметкой о получении. Регулятор примет эти документы, проведет их анализ и по его результатам составит и направит (также либо почтой, либо нарочно) акт и, возможно, предписание.

Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения юридического лица, месту осуществления деятельности индивидуального предпринимателя и (или) по месту фактического осуществления их деятельности. Обычно за 10 дней или месяц до начала проверки направляется по факсу или приносится сотрудником контрольно-надзорного ведомства приказ о проведении проверки. Затем за 1–2 дня обговаривается время, когда комиссия приходит в организацию.

Проверка начинается с ознакомления руководителя организации с документами, удостоверяющими личности и принадлежность к государственному органу членов комиссии, затем вручается приказ о проведении проверки с перечнем вопросов и необходимых для предоставления документов, обговаривается срок их предоставления.

Когда документы подготовлены и вручены проверяющим, комиссия приступает к их анализу. Работа с документами в случае выездной проверки может проходить как на территории организации, так и на территории самого регулятора (члены комиссии могут забрать их с собой). По итогам проверки подготавливается акт, который вручается под роспись руководителю организации. К акту может быть приложено предписание об устранении выявленных нарушений.

Что делать, если проверка внеплановая?

Внеплановая проверка проводится в форме документарной проверки и (или) выездной проверки.

О проведении внеплановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного контроля (надзора) не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом. На практике при проведении проверки по тематике персональных данных срок уведомления больше (от 10 дней до 1 месяца).

К уведомлению, как правило, прикрепляется приказ о проведении проверки, перечень документов, необходимых для предоставления регулятору, устанавливается срок. Во всем остальном порядок проведения проверки и ее форма (документарная либо выездная) схожи с плановой. Иными словами, отличие заключается только в сроке и порядке уведомления о контрольно-надзорном мероприятии, а соответственно, основной проблемой будет подготовка недостающих документов и отсутствие времени на сбор необходимой информации и консультации с экспертами, имеющими опыт прохождения подобных проверок.

При этом следует отметить, что выполнение хотя бы части вышеперечисленных требований существенно увеличивает вероятность пройти все регламентные процедуры без предписания и (или) штрафа.