Автор Тема: Вопросы Роскомнадзора  (Прочитано 843 раз)

Astafev

  • Global Moderator
  • Newbie
  • *****
  • Сообщений: 3
  • Karma: +0/-1
    • Просмотр профиля
Вопросы Роскомнадзора
« : 20 Декабря , 2019, 09:45:26 am »
Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в 2018 проведено 832 плановых и 49 внеплановых проверок и 2118 мероприятий систематического наблюдения. По результатам: проверок выдано 768 предписаний, а по результатам наблюдений - 569 предписаний. За 2018 год Роскомнадзор направил в суды 6 419 протоколов об АП, Сумма штрафов по которым 3, 971 миллионов рублей (из Публичного доклада Роскомнадзора за 2018 год).
Если шанс жалобы абонента на вашу организацию минимален и уведомление в Роскомнадзор о начале обработки персональных данных не подано – то вероятность плановой / внеплановой проверки Роскомнадзором вашей организации на порядок ниже. Зато есть большая вероятность попасть под мероприятие систематического наблюдения (мониторинг). При мониторинге у Роскомнадзора нет возможности ознакомиться с внутренним положением дел в организации, они смотрят лишь на внешнюю деятельность (в 99% случаев – веб-сайт, большинство штрафов и предписаний при мониторинге выносится за несоблюдение требований законодательства на сайте). Однако и за нарушения на сайте – выдают штраф от 15 до 30 тысяч рублей более того, мало отделаться штрафом, Роскомнадзор также уже сейчас запрашивает у Оператора описание мер, предпринятых для устранения нарушения под угрозой штрафа в размере от 3 до 5 тысяч рублей за неисполнение предписания по ст. 19.7 КоАП РФ.
Для отсутствия штрафов необходимо подготовить пакет документов, который позволит не допустить внешние нарушения законодательства.
Наиболее частыми нарушениями, выявленными Роскомнадзором за 2018 год являются:
•   ОТСУТСТВИЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
•   НЕИЗДАНИЕ И/ИЛИ НЕОПУБЛИКОВАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ; - НЕИЗДАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ЛОКАЛЬНЫХ АКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
•   НЕОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ/АУДИТА СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
•   НЕОЗНАКОМЛЕНИЕ РАБОТНИКОВ ОПЕРАТОРА, НЕПОСРЕДСТВЕННО ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, С ПОЛОЖЕНИЯМИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОКУМЕНТАМИ, ОПРЕДЕЛЯЮЩИМИ ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЛОКАЛЬНЫМИ АКТАМИ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, И/ИЛИ НЕПРОВЕДЕНИЕ ОБУЧЕНИЯ УКАЗАННЫХ РАБОТНИКОВ.
Рассмотрим минимально необходимые действия для обеспечения защиты персональных данных. Для начала следует разобраться с тем, что же представляют собой персональные данные. В законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.
Что же необходимо, и что требует надзорный орган на практике? Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении однозначно определённого согласия субъекта на обработку его персональных данных…Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 15-30 тысяч рублей. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.
Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору обработки персональных данных.
В рамках подготовки соответствия Системы защиты персональных данных Оператора связи законодательству Российской Федерации, необходимо подготовить нижеследующие документы:
•   Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
•   Положение о комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
•   План мероприятий по приведению в соответствие с требованиями законодательства в области Персональных данных.
•   Приказ об утверждении списка лиц, имеющих доступ к обработке Персональных данных.
•   Форма Обязательства о неразглашении Персональных данных.
•   Приказ о проведении внутренней проверки в области Персональных данных.
•   Перечень Персональных данных, подлежащих защите.
•   Форма согласия абонента на обработку Персональных данных.
•   Форма согласия сотрудника на обработку персональных данных.
•   Приказ о выделении помещений для обработки Персональных данных.
•   Перечень информационных систем Персональных данных.
•   Технический паспорт информационных систем Персональных данных.
•   Приказ о назначении ответственного администратора информационной безопасности.
•   Инструкция администратора информационной безопасности.
•   Приказ об утверждении Положений в области Персональных данных.
•   Положение об обработке Персональных данных (Политика).
•   Положение о защите Персональных данных.
•   Положение о хранении Персональных данных.
•   Приказ о классификации информационных систем Персональных данных.
•   Акт классификации информационных систем Персональных данных.
•   Приказ об утверждении Инструкции пользователя информационных систем Персональных данных.
•   Инструкция пользователя информационных систем Персональных данных.
•   Порядок резервирования и восстановления Персональных данных.
•   План внутренних проверок в области Персональных данных.
•   Регламент по реагированию на запросы субъектов Персональных данных.
•   Инструкция о порядке обращения с носителями Персональных данных.
•   Правила внутреннего контроля в области Персональных данных.