Если к Вам пришел Роскомнадзор⁠⁠

Как и обещал, временно буду чередовать посты про тестовые магазины и проверку со стороны Роскомнадзора, т.к. деятельность сетевых торговых точек напрямую связана с законом о персональных данных.

«Я пригласил вас, господа, с тем, чтобы сообщить вам пренеприятнейшее известие: к нам едет ревизор.» Николай Гоголь

Так началось для меня одно летнее утро в 2017 году. К проверке мы готовились почти 2 года, однако, данное известие стало неожиданной новостью. Три бравых сотрудника Роскомнадзора, после предварительного телефонного оповещения, перешагнули порог нашего офиса. В руках одно из них, в папке, наподобие «TOP SECRET», мирно дожидались своей очереди документы на ознакомление нашему директору: Уведомление о проведении плановой выездной проверки и Приказ о проведении плановой выездной проверки.

Битва за персональные данные началась!!

Что такое персональные данные (ПДн)?

Статья 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» дает такое определение:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Пример:

Иванов Иван Иванович, паспорт номер 00 00 серия 000000 – прямо определяемое физическое лицо

Иванов Иван Иванович, отец трех близняшек из старшей группы садика номер 000 – косвенно определенное физическое лицо

Директор ООО «Иванофф», телефонный номер +0 (000) 00 00 000 – определяемое физическое лицо

Чувак дылда Иванов – неопределенное (не определяемое) физическое лицо.

Кто является оператором персональных данных?

Согласно 3 статье Федерального закона «О персональных данных»:

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Пример:

вообще все)), кроме следующих исключений, пункт 2 статьи 1 Закона:

Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных (никому не передавайте книжку с телефонными номерами)) );

Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;

Персональные данные, отнесены к сведениям, составляющим государственную тайну;

Персональные данные относятся к публичной информации о деятельности судов в РФ.

Так что, если Вами или Вашими сотрудниками обрабатываются ФИО, телефонные номера, должности, и прочее – Вы уже должны являться оператором персональных данных.

Как узнать, есть ли Вы в реестре операторов:

https://pd.rkn.gov.ru/operators-registry/operators-list/

Как стать оператором ПДн, и какие документы собирать и составлять опишу в следующих постах, а теперь, проверка.

Заходим на проходную и что видим.

- с нас сразу могут потребовать договор с охранной компанией,

- положение о внутреннем контроле

- журналы учета посетителей

- любую другую инфо, которая несет записи ФИО, должность, паспорт и прочее

Далее идет проверка структуры, которая производит набор кадров (отдел персонала).

- состав анкет для соискателя (нет ли избыточного сбора данных о предполагаемом сотруднике)

- проводятся ли тестирования (личные или обезличенные)

- положение о хранении документов

- положение об уничтожении документов

- договора на занимаемое помещение

- положение о кадровом резерве (если требуется в рамках работы предприятия)

- инструкции пользователей по безопасности при обработке ПДн

- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора

Могут запросить заполненные анкеты соискателей для проверки на предмет согласованности между разработанным на предприятии Положением об обработке ПДн с его исполнением

Следующая ступень проверки – именно сам отдел кадров

- проверяют форму Т-2

- состав документов личного дела сотрудника

- могут попросить предоставить дела давно и недавно устроенных сотрудников – сверить состав личных дел (может собирали избыточные сведения – копии паспортов, копии военников, фотографии и прочее)

- в каких программах обрабатываются ПДн, договора на приобретение ПО и серверов, на которых обрабатываются ПДн

- фактическое нахождение сервера с ПДн

- на каких носителях находится ПДн

- положение о хранении документов

- положение об уничтожении документов

- договора на занимаемое помещение

- инструкции пользователей по безопасности при обработке ПДн

- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора

Идем в приемную к директору

- в каких программах обрабатываются ПДн (журналы звонков, регистрация входящей почты, записки кому перезвонить и прочее)

- на каких носителях находится ПДн

- положение о хранении документов

- положение об уничтожении документов

- договора на занимаемое помещение

- инструкции пользователей по безопасности при обработке ПДн

- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора

Бухгалтерия

Ничего нового, кроме зарплатного проекта

- договор с банками, бланки (ПДн) для открытия счета сотруднику и прочее.

- в каких программах обрабатываются ПДн, договора на приобретение ПО и серверов, на которых обрабатываются ПДн

- фактическое нахождение сервера с ПДн

- на каких носителях находится ПДн

- положение о хранении документов

- положение об уничтожении документов

- договора на занимаемое помещение

- инструкции пользователей по безопасности при обработке ПДн

- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора

Юридический отдел

- в каких программах обрабатываются ПДн, договора на приобретение ПО и серверов, на которых обрабатываются ПДн

- фактическое нахождение сервера с ПДн

- на каких носителях находится ПДн

- положение о хранении документов

- положение об уничтожении документов

- договора на занимаемое помещение

- инструкции пользователей по безопасности при обработке ПДн

- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора.

В основном, для первого и второго дня проверки – это достаточно. Какое-то время у проверяющих уйдет на ознакомление с предоставленными документами, а у Вас будет время собрать остальные документы, которые проверяющие могут запросить из собственного списка.

В следующий выпуск включу все заковыки с сайтами, внутренней ИТ структурой предприятия, бонусными картами, серверами и ПО на них, системами HelpDesk и прочей требухой.

А через один пост – разберем подготовку к тому, как заявить о себе как об операторе ПДн.