Роскомнадзор что проверяет в школе

Обновлено: 05.07.2024

Предпринимателей на честность, добросовестность и незабывчивость проверяют многие ведомства. Среди основных проверяющих ФНС, Роспотребнадзор, Роструд, Ростехнадзор, Россельхознадзор, Ространснадзор, Росздравнадзор, Роскомнадзор .

Безусловно, каждое ведомство проверяет соответствие бизнеса собственным требованиям. Но какое бы ведомство ни пришло с проверкой, любой инспектор проверит учредительные документы, лицензии и итоги предыдущих проверок.

Что проверяет Роскомнадзор

Роскомнадзор проверяет компании, деятельность которых затрагивает область связи и телекоммуникации. Он также проверяет компании, работающие с персональными данными.

Если вы работаете с персональными данными, то обязаны получать, хранить, уничтожать и передавать их в полном соответствии с законодательными требованиями. Инспекторы будут проверять документы, характер информации, информационные системы и вообще всю деятельность по обработке персональных данных.

Как проверяет Роскомнадзор

Проверки Роскомнадзора бывают плановыми и внеплановыми. О плановых предупреждают уведомлением за три дня до визита, а можно просто изучить список проверок на год на сайте ведомства. О внеплановой предупреждают за 24 часа. И этот вид проверки обычно является ответом на жалобу клиента.

Кроме того, бывают документарные проверки и инспекционный визит.

Как часто проверяет Роскомнадзор

Как часто вас будут проверять, зависит от категории риска вашей компании. В настоящий момент организации бывают с высоким, значительным, средним, умеренным и низким риском.

Не стоит думать, что больше всего проверяют тех, у кого риск высок. Тут такая последовательность не работает.

В статье – об изменениях, которые касаются проверок работы школы с персональными данными. Их утвердило своим постановлением Правительство. Все нововведения проанализировал юрист-эксперт журнала, чтобы ваша школа не допустила ошибок и избежала штрафов. А они выросли в разы. Также в статье вы узнаете, какие поручения надо раздать подчиненным, и ознакомитесь с приказом о подготовке к проверкам.

Чтобы подготовиться к проверкам в сфере работы с персональными данными по новым правилам, школам понадобится учесть пять нововведений (постановление Правительства от 29.06.2021 № 1046). Первое касается частоты контрольных мероприятий. Второе – изменений в формах этих процедур. Следующее – действий, которые может совершать инспектор во время контрольного мероприятия. Законодатели четко прописали, что вправе делать проверяющие, а что – нет. Также поменялся перечень способов, с помощью которых могут фиксировать ход визита. И последнее – скорректировали порядок, по которому можно обжаловать решение инспекторов.

Частота проверок теперь зависит от категории риска школы

Теперь периодичность проверок в сфере надзора за обработкой персональных данныхзависит от категории, к которой отнесли школу (п. 9 Положения, утв. постановлением Правительства от 29.06.2021 № 1046). Пусть ваши подчиненные учтут это, когда будут планировать подготовку к контрольным мероприятиям.

Категория отражает вероятность, с которой школа может причинить ущерб во время своей деятельности. Таких категорий пять – с высоким, значительным, средним, умеренным или низким риском. Чем выше категория риска, тем чаще будут проводить проверки.

Чтобы присвоить категорию, Роскомнадзор оценит школу по двум критериям: вид деятельности и тип нарушений законодательства, которые она совершала (п. 13 приложения к Положению, утв. постановлением Правительства от 29.06.2021 № 1046). Подробнее – в таблице 1. При этом процедура проверки не зависит от категории риска. Правила одинаковы для всех.

Снимок экрана 250

Какие поручения раздать подчиненным

Вопрос. Как снизить категорию риска школы?

Чтобы снизить категорию риска, школы могут обратиться к инспекторам за разъяснениями. Для этого ввели два новых мероприятия – профилактический визит и консультирование.

Визит проводят в форме профилактической беседы в школе или с помощью видеосвязи. Инспектор проинформирует об обязательных требованиях в сфере обработки персональных данных, основаниях и способах, чтобы снизить категорию риска. Визит организуют по графику Роскомнадзора. Обязательно – для школ с категорией высокого и значительного риска (п. 30 Положения, утв. остановлением Правительства от 29.06.2021 № 1046).

За консультацией можно обратиться в любое время. Инспекторы ответят на вопросы с помощью телефона, видеосвязи или на личном приеме. Проверяющих можно спросить, как выполнять требования в сфере обработки персональных данных (п. 27 Положения, утв. постановлением Правительства от 29.06.2021 № 1046).

150 000 рублей – максимальный штраф для школы, если проверяющие найдут ошибки в шаблоне согласия на обработку персональных данных. Для директора – до 40 тыс. руб. (ч. 2 ст. 13.11 КоАП)

Институт новых технологий в образовании (ИНТехнО) предлагает обучение в любое удобное время. Получите диплом за 2 месяца. Обучение полностью дистанционное. Успейте подать заявку по акционной стоимости!

Смотрите полный список программ проф.переподготовки и повышения квалификации ✅здесь

Ввели новую форму проверки и внесли изменения в привычные

Также инспекционный визит могут провести вместо выездной проверки. Об этом вас уведомят в течение 10 рабочих дней после того, как решат поменять контрольное мероприятие. Замену проведут не позднее чем за 20 рабочих дней до начала плановой проверки (п. 2 постановления Правительства от 30.11.2020 № 1969). О других изменениях – в памятке ниже.

Памятка для ответственных за работу с персональными данными:

Снимок экрана 252

Какие поручения раздать подчиненным

Обязать заместителей директора по УВР и АХР регулярно проверять единый реестр надзорных мероприятий. Инспектор обязан заранее вносить в него сведения о каждом таком мероприятии. Также о плановых проверках и их итогах можно узнать через личный кабинет портала Госуслуг.

Закрепили все действия, которые вправе выполнять инспектор

Теперь при подготовке к проверке с взаимодействием школа может заранее выяснить, что вправе делать инспектор. Ведь новые правила четко регламентируют действия проверяющих. Набор их полномочий зависит от вида контрольного мероприятия. Например, во время инспекционного визита проверяющий вправе проводить осмотр, опрос, получать письменные объяснения, требовать документы по обработке персональных данных (п. 51 Положения, утв. постановлением Правительства от 29.06.2021 № 1046).

Какие поручения раздать подчиненным

Поручить заместителю директора по АХР изучить, что вправе делать инспектор, а что – нет во время каждого вида проверки. В этом поможет памятка ниже. Какие обязанности есть у работников школы во время контрольных мероприятий – в таблице 2.

Памятка для работников, ответственных за обработку персональных данных данных

Снимок экрана 253

Таблица 2. Как действовать работникам школы во время проверки Роскомнадзора

Снимок экрана 255

На заметку

По новым правилам инспекторы во время контрольных мероприятий могут проводить фотосъемку, аудио- и видеозапись, чтобы зафиксировать факт нарушений. Поручите вашим заместителям предупредить об этом работников. Инспектор вправе сам решить о такой фиксации, если вид проверки это позволяет. Так, при осмотре, инструментальном обследовании, экспертизе, могут использовать фотосъемку и видеозапись, при опросе – только аудиозапись.

Инспектор обязан делать аудио- и видеозапись открыто. Он должен уведомить о съемке присутствующих вслух, а также продиктовать дату, место, время начала и окончания записи (п. 41 Положения, утв. постановлением Правительства от 29.06.2021 № 1046).

Чтобы зафиксировать результаты, инспекторы вправе применять технику, которая принадлежит школе. Это могут быть персональные данные компьютеры, ноутбуки, съемные электронные носители информации, копировальные аппараты, сканеры, телефоны.

Какие поручения раздать подчиненным

Обязать ответственных работников проверить защищенность цифровых персональных данных данных.

Например, в электронном виде персональные данные надо сохранять в папках с ограниченным доступом.

Если храните их на съемном носителе, он должен быть запаролен или лежать в сейфе. Если инспекторы захотят воспользоваться техникой школы, чтобы зафиксировать факты, параллельно могут найти новые нарушения в обработке персональных данных.

Решения Роскомнадзора надо обжаловать по-новому

Теперь у школы не получится, как раньше, сразу обжаловать итоги проверки в суде. Сначала надо разобраться в рамках ведомства.

Если не согласны с выводами, которые изложили в акте о результатах проверки, нужно подать жалобу на имя руководителя органа Роскомнадзора. Сделать это надо в течение 30 календарных дней со дня, когда узнали о нарушении своих прав (п. 57 Положения, утв. постановлением Правительства от 29.06.2021 № 1046). Чаще всего срок отсчитывают со дня, когда подписали акт.

Отдельно можно обжаловать предписание – в течение 10 рабочих дней с момента получения (п. 57 Положения, утв. постановлением Правительства от 29.06.2021 № 1046). Процедура такая же, как и в случае с актом.

Какие поручения раздать подчиненным

На заметку

Как оформить жалобу в Роскомнадзор

Далее надо описать суть жалобы и приложить необходимые материалы. Если требуется приостановить исполнение решения контролирующего органа или вы по объективным причинам пропустили срок подачи жалобы, понадобится об этом упомянуть.

Жалобу необходимо подписать электронной подписью. За сутки ее зарегистрируют и назначат срок рассмотрения – в течение 20 рабочих дней. Могут однократно увеличить срок еще на 20 рабочих дней. О результатах рассмотрения жалобы сообщат также на портале Госуслуг.

Главная > Консультации > Правовое обеспечение > Что проверяет Роскомнадзор на официальном сайте образовательной организации? И чем всё заканчивается?

Что проверяет Роскомнадзор на официальном сайте образовательной организации? И чем всё заканчивается?

Организация и проведение мероприятий по контролю без взаимодействия с операторами

Мероприятия по контролю без взаимодействия с операторами проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований. Мероприятия по контролю без взаимодействия с операторами проводятся уполномоченными должностными лицами органа по контролю и надзору на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) органа по контролю и надзору.

К мероприятиям по контролю без взаимодействия с операторами относятся:

Задание на проведение мероприятия по контролю без взаимодействия с оператором выдается в случае:

По итогам проведения мероприятия по контролю без взаимодействия с оператором должностными лицами составляется докладная записка на имя руководителя органа по контролю и надзору (уполномоченного заместителя руководителя).

изображение

При выявлении по итогам проведения мероприятия по контролю без взаимодействия с оператором нарушения (признаков нарушения) требований оператору направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 дней с информированием органа по контролю и надзору об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных признаков нарушения требований. В случае неисполнения оператором требований составляется протокол об административном правонарушении в соответствии с Кодексом Российской Федерации об административных правонарушениях.

Организация и проведение мероприятий по профилактике нарушения требований

В целях предупреждения нарушения оператором требований, устранения причин, факторов и условий, способствующих нарушению требований, орган по контролю и надзору осуществляет мероприятия по профилактике нарушения требований в соответствии с ежегодно утверждаемой им программой.

В целях профилактики нарушения требований орган по контролю и надзору:

Рассмотрим пример из практики. Далее размещён текст документа без указания данных оператора (скрыто преднамеренно).

РОСКОМНАДЗОР

УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И МАССОВЫХ КОММУНИКАЦИЙ
ПО ЦЕНТРАЛЬНОМУ ФЕДЕРАЛЬНОМУ ОКРУГУ
(Управление Роскомнадзора
по Центральному федеральному округу)

Муниципальное бюджетное общеобразовательное учреждение
средняя школа № ____

О направлении запроса-требования

фамилия, имя, отчество (при наличии) руководителя, его заместителей;
должность руководителя, его заместителей;
контактные телефоны;
адрес электронной почты;
о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе:
фамилия, имя, отчество (при наличии) работника;
занимаемая должность (должности);
преподаваемые дисциплины;
ученая степень (при наличии);
ученое звание (при наличии);
наименование направления подготовки и (или) специальности;
данные о повышении квалификации и (или) профессиональной переподготовке (при наличии);
общий стаж работы;
стаж работы по специальности.

Таким образом, объем сведений, размещенных на сайте Оператора, превышает объем, установленный Постановлением, а именно: фотография. Каких-либо указаний на наличие у Оператора согласия работников на распространение их персональных данных в объеме, превышающем объем, установленный Постановлением, на сайте Оператора не выявлено.

В связи с изложенным, на основании полномочий Управления, предусмотренных ч. 3 ст. 23 Закона о персональных данных, сообщаем, что Оператору надлежит провести проверку правомерности обработки персональных данных по указанным фактам, принять меры по приведению деятельности в соответствие с требованиями законодательства в области персональных данных, и в течение тридцати дней с даты получения настоящего запроса представить в Управление информацию о принятых мерах, а также:

сведения о правовых основаниях распространения (опубликования) персональных данных педагогических работников (фотография);
иные пояснения по существу изложенного.

Обращаем внимание, что непредставление или несвоевременное представление сведений, представление которых предусмотрено законом и необходимо для осуществления государственным органом его законной деятельности, либо представление в государственный орган таких сведений в неполном объёме или в искажённом виде является административным правонарушением, ответственность за которое предусмотрена ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.

Приложение, упомянутое в тексте на 1 л.

Заместитель руководителя
О. А. Коротова

Обращаем внимание, что в соответствии с федеральным законодательством в сфере образования, перечень обязательной информации включает сведения:

  • о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе фамилию, имя, отчество (при наличии) руководителя, его заместителей, должность руководителя, его заместителей, контактные телефоны, адреса электронной почты;
  • о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе фамилию, имя, отчество (при наличии) работника, занимаемую должность (должности), преподаваемые дисциплины, ученую степень (при наличии), ученое звание (при наличии), наименование направления подготовки и (или) специальности, данные о повышении квалификации и (или) профессиональной переподготовке (при наличии), общий стаж работы, стаж работы по специальности.

Поскольку размещения данной информации предусмотрено законом, то согласия на её размещение от работника не требуется. Обратите внимание, речь идёт только об указанной категории работников, а не про всех работников организации. Отдельный акцент для руководителя образовательной организации! Речь идёт о работниках, но не о людях, которые могут оказывать услуги в рамках гражданско-правовых договоров. Данная категория не является работниками в понимании Трудового Кодекса Российской Федерации.

Таким образом, размещение любой дополнительной информации, относящейся к персональным данным, которая не входит в перечень обязательной, но размещается по решению образовательной организации (например, фотография работника и т. п.), осуществляется только с письменного согласия работника. Объём, цели, задачи обрабатываемых персональных данных должны быть отражены в документе, определяющим политику оператора в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.

Помните, что мероприятия по контролю без взаимодействия с оператором осуществляются вне всякого плана и без уведомления!


В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Чего там нового в законодательстве?

По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше 2015 года. Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве.

242-ФЗ

Сначала давайте вспомним небезызвестный 242-ФЗ. В 2015 году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.

Но была в 242-ФЗ и другая сторона, не растиражированная так активно в СМИ.

Что это значит? Для операторов персональных данных, как можно догадаться, – ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце 2015 года (и в последующих годах) на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.

Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом и, как следствие, — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И врасплох можно было застать только те немногие организации, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных совсем ничего не делалось. Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.

13.11 КоАП РФ

Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение 152-ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать.

Виды проверок

Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.

В целом, проверки можно разделить на 2 вида: документарные и выездные.

Документарные проверки

Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. И да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД.

Практика показывает, что у многих операторов персональных данных возникают вопросы — как правильно заполнять те или иные поля уведомления. О самом уведомлении оператора персональных данных мы немного поговорим в этой статье, но вот туториал по заполнению уже тянет на отдельную.

Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.

Итак, вы получили такое письмо от Роскомнадзора, что делать?

На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.

Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.



Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.

Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.

Выездные проверки

Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.

Уведомление оператора персональных данных

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Как проверить наличие уведомления в реестре и что делать дальше

Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.

Дальше ваши действия должны выглядеть примерно следующим образом.

Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.

Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:

  • уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
  • уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

Документация к проверке

Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.

Состав документов

Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.

О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.

Все остальное описано неоднозначно, примерно в таком духе:

Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.

Содержание документов

Хорошо, с составом документов понятно, а что там с содержанием? А с этим еще хуже. Есть редкие рекомендации регуляторов, как например здесь, но это скорее исключения. В целом здесь можно дать такие общие рекомендации:

Заключение

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

А еще у нас есть учебный центр! Ближайшие курсы состоятся 20 мая и 22 мая по продуктам FortiGate. С полным списком учебных курсов можно ознакомиться здесь. Да, мы находимся во Владивостоке, но у нас есть большой опыт организации выездных курсов.

Читайте также: