Если к Вам пришел Роскомнадзор. Часть2⁠⁠

Ссылка на предыдущие части:

https://pikabu.ru/story/esli_k_vam_prishel_roskomnadzor_5317...

В комментариях к прошлому посту меня просили рассказать про регламент:

1) Если Вы честный Оператор ПДн, то, примерно, через 1 год после подачи уведомления на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/ , Вы можете попасть в список планируемых выездных проверок https://73.rkn.gov.ru/directions/p16441/p16454/p19947/ (это пример для Ульяновской области). Просматриваем за месяц до нового года, на следующий год.

Если Вы нашли свою компанию в списке, ожидайте звонка с местного отделения Роскомнадзора, который сообщит Вам дату прихода инспекторов для уведомления о начале проверки.

Каждое посещение инспекторами сопровождается оповещением по телефону примерно за сутки, что бы Вы успели подготовить документы на ознакомление (прошить, подписать, проштамповать, структурировать).

В итоговом акте после проведения проверки Вы сможете сравнить фактическое время прихода инспектора, с указанным в акте, Вам придется ставить росписи, что инспектор действительно присутствовал.

Как уже писали в комментариях, да, инспектора проверяют бумажные носители и не лезут в систему. Маршрут их вполне стандартен и описан мною в предыдущем посте – проверка анкет от соискателей, личные дела трудоустроенных, ПДн в бухгалтерии и прочее.

Прятать ничего нет смысла – все что есть в регламентах и доступных для проверки документах, все само расскажет о Вашей компании. Мы предоставляли около 200 различных документов. Но самых-самых главных – 14 и о них пойдет речь отдельно.

2) Если Вы не очень честный или попросту не учли ФЗ-152, то к Вам могут прийти по жалобе от клиента, наводчика, завистника и прочее или по факту нарушения обработки ПДн. Например, заполненные анкеты найдут на стойке в магазине или вообще на помойке. Тут долго канителиться не будут – штраф. С 01.07.17 штрафы увеличили.

3) Что еще сказать про регламент, инспектора были, мое почтение, всегда приятно работать с такими независимыми ребятами. Никто не сообщил свой личный телефон – все только по указанному в справочниках; никто не пользовался транспортом, предоставленным на время поездки для перемещений по офисам – только служебные авто; никто не пользовался услугами столовых на территориях проверяемых предприятий – положенное время провели проверку и на работу обратно; никаких личных разговоров – беседы только в рамках: проверяющий – ответственный. Кароч, побольше бы таких. Есть гарантия реально независимости оценки и правильности исполнения.

4) Есть момент, который инспектор в обязательном порядке затребовал на второй день проверки и вот он:

Формы и дописки делал сам, показал только суть. Первая бумажка заполняется отдельно на каждую ИСПДн, вторая, на сайт, если там обрабатываются ПДн

5) После ознакомления со всеми документами Вас оповещают о дате предоставления акта проверки. Инспектор привозит те документы, в которых были обнаружены несоответствия, и объясняет последствия данных несоответствий согласно букве закона. Если есть замечания, Вам предоставляется примерно месяц на их устранение, если есть прям нарушения, Ваш представитель поедет получать в Роскомнадзор протокол об административном нарушении.

6) По замечаниям исправления происходят так – директор создает приказ об устранении замечаний и указывает сроки исполнения не более тех сроков, что выставил Роскомнадзор. По мере устранения замечаний – собираете документы, опять прошиваете, пропечатываете и визируете. Созваниваетесь с инспектором и передаете весь исправленный пакет на вторичную проверку

7) Если Вам светит штраф – ожидаете повестки в суд и живёте дальше с его решением.

8) Еще один момент: все передаваемые документы остаются в Роскомнадзоре, не поленитесь сдавать в папках и структурированно – вам еще до самого закрытия компании проходить проверки, а данные документы служат индикатором того, что было ранее.

Теперь к самой теме поста.

Бонусные карты.

Многие сети любят «пропедалить» свои бонусные карты, но не многие задумываются об ответственности по ним.

Карты бывают разные, например:

Эмбоссированные – карты нанесением Имя и Фамилии владельца, по таким картам собирают анкеты, реально содержащие ПДн.

Номерные, привязанные к клиенту – личный кабинет клиента содержит ПДн владельца. По ним данные собирают исходя из анкет, заполненных клиентом либо (что лучше) – пользователь сам регистрирует себя на сайте.

Номерные, не привязанные к клиенту – вообще на всё наплевать, карту дали и спасибо.

В данном примере только последний вид карт не подпадает под ФЗ-152, т.к. не содержит ПДн.

Эмбоссированные карты и номерные карты, привязанные к клиенту, требуют более детального рассмотрения.

Вопросы возникаю с момента заполнения анкеты на месте приобретения карты – да, Вы подписываете соглашение об обработке ПДн, но существуют ли меры по защите Ваших ПДн на данной торговой точке или офисе. Какова вероятность того, что человек, принявший Вашу анкету, не передаст номер вашего телефона или Ваш емейл сторонним лицам – тем же сетевым проходимцам с непонятными товарами. Или какова вероятность того, что анкеты не бросят на кассе, где их возьмет любой желающий. Или именно Вашу анкету будут использовать вместо образца. Исполнение ФЗ-152 снижает риск возникновения данных ситуаций.

Все кассиры, директора и прочие сотрудники торговой точки, которые могут держать Вашу анкету, должны быть ознакомлены под роспись с документами: Ознакомление с ФЗ-152, ознакомление с правилами обработки ПДн, ознакомление с положением об организации и обеспечении защиты ПДн.

Если анкеты принимаются в самой торговой точке, её надо указать в качестве филиала и прописать под нее способы защиты ПДн: места хранения ПДн, регламенты уничтожения ПДн.

В случае, если клиент сам заполняет ПДн в личном кабинете, возникают другие нюансы. Хостер должен быть заявлен как оператор ПДн, так как данные, заполняемые в личном кабинете, обрабатываются на данном инфоресурсе. И один оператор ПДн может позволять обрабатывать ПДн клиентов другому оператору ПДн только после уведомления об этом клиента. Кароч, если бонусная система принадлежит одному, а использует её в своей работе другой, то между ними должен быть договор, о котором надо предупредить клиента.

Еще одно ограничение – хостинг должен располагаться на территории РФ. Есть сайты типа 2IP или whois – на них можно по адресу пробить местоположения ресурса.

Еще один тонкий момент – если доменное имя принадлежит Вам, а хостинг не Вам (например, бонусная система сама владеет хостингом), Вам придется приготовить договор как на приобретение доменного имени, так и на правообладание хостингом, третьими лицами.

Передача данных во внешку.

Это вопрос командировок, обучений, спортивных мероприятий, путевок в лагерь и санаторий. По ФЗ-152 есть такой термин – Трансграничная передача данных (передача ПДн на территории иностранных государств), так вот, либо нафиг не делайте, либо самым подробным образом прописывайте в положении об обработке ПДн. Нет передачи ПДн, нет рисков. Мы пошли по данному пути. А вот туристическим агентствам – есть повод задуматься.

Нас просили предоставить договора на обучение сотрудников, бланки-заявки на участие на спортивных городских мероприятиях. Но так как при заявках на обучение и спартакиады предоставлялось только количество участников, а договора заключались на месте, все прошло хорошо.

Внутренняя структура ИТ.

Картинку взял с просторов безграничного Инета, но суть передана. Исходя из заполненных карточек ИСПДн и карточек сайта, Вы составляете примерно такую же схему сети. Что происходит внутри и что снаружи. Для рисования я использовал продукт Visio. В нем уже есть много шаблонов и иконок с обозначениями как в объеме, так и в плоскости. До картинки не докапывались, сверили адреса расположений и доменные имена, на этом все закончилось. Главное, чтобы картинка не расходилась с фактом.

Сюда же можно включить описание по требованиям к серверам и ПО на них.

- сервер с обрабатываемыми ПДн должен принадлежать Вам, на него должен быть документ по приобретению и договор поставки.

- на ПО, в котором обрабатывается ПДн, должны быть лицензионные соглашения, что типа ПО принадлежит Вам, накладная на приобретение продукта, либо накладная и договор на апгрейд ПО (т.к. 1с 7.7 имеет счастье умнеть до более современных систем, которое имеют версию далеко не 7.7, а инспекторам нужны подтверждения что именно данная система по обработке ПДн переродилась из 7.7.). Далее, из каждой ИСПДн требуется сделать скрин с полями, в которые вводятся ПДн. Делается это для того, чтобы сверить те данные что подали на сайте Роскомнадзора в заявлении, с теми, что обрабатываете по факту. И будет очень плохо, если там будут графы по сексуальной ориентации и прочим спец категориям ПДН (хотя если Вы занимаетесь сбором таких данных на законных основаниях, то, не очень плохо Вам будет). Вообще, комплекс 1С предоставляет внутренние инструменты по соблюдению ПДн. Под админом – настройка программы – защита перс данных. Что делать если полей в программе много, но Вы не используете их для заполнения. Я сделал несколько отчетов из данных программ, показывающих возможности обработки и заскринил. Кроме Фамилии и инициалов ничего более в программах не указывалось.

- по системам для автоматизации обработки запросов ситуация такая же как описывал выше.

Если в программе Вы не используете ПДн – система не является ИСПДн и ее описывать в положении об обработке ПДн не требуется. Наша система была настроена так, что исполнитель был назван как Оператор (и далее по номеру), а заявки приходили согласно названию почтового адреса.

- по взаимодействию серваков, если они разнесены по различным территориям. У нас были договора аренды оптоволокна, договора подключений точка-точка – так что все являлось внутренней локальной сетью, оттого и вопросов у инспекторов не возникло.

Следующая и наверное крайняя тема по ПДн – буду описывать состав документов и их примерное заполнение для исполнения ФЗ-152. Ничего секретного, просто немного конкретных букв.