IT

Профилактические визиты Роскомнадзора: для чего бизнесу ответственный за обработку персональных данных

Профилактические визиты Роскомнадзора: для чего бизнесу ответственный за обработку персональных данных

Роскомнадзор снова стал проверять обработку персональных данных в компаниях и проводить профилактические визиты. Нужно ли нанимать ответственного за обработку — рассказывает старший консультант по защите персональных данных «Б-152» Мария Шурукина.

Мария Шурукина, старший консультант по защите персональных данных Б-152
Мария Шурукина, старший консультант по защите персональных данных Б-152

Сфера персональных данных (ПДн) актуальна как никогда. Бизнес переходит в онлайн, где компании, или операторы персональных данных, так или иначе собирают сведения о пользователях. Несмотря на то, что проверки соблюдения требований закона об обработке ПДн были отменены до конца 2022 года, не стоит забывать о том, что штрафы за нарушения — до нескольких миллионов рублей. По нашему опыту, проверки никогда не отменяются «бесследно»: они будут перенесены на более благоприятный период для их проведения, как это было с проверками, отмененными из-за начала пандемии. Кроме того, профилактические визиты Роскомнадзора пройдут по ранее опубликованным планам, их отмена пока не планируется. Разберемся, стоит ли компании нанимать отдельного специалиста, который поможет с подготовкой к профилактическому визиту. 

Профилактические визиты: что это такое?

Сегодня все операторы ПДн делятся на 4 категории: высокого, значительного, среднего и умеренного риска. Обязательные профилактические визиты проводятся в отношении операторов, которые относятся к категориям высокого и значительного риска, а также в отношении лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных. 

Профилактический визит длится не более 5 рабочих дней, и по его итогам составляются разъяснения рекомендательного характера по деятельности организации по обработке персональных данных. Если будут выявлены значительные нарушения — может быть инициировано проведение контрольно-надзорного мероприятия (например, внеплановая проверка).  

Оператор ПДн вправе отказаться от проведения профилактического визита: он обязан сообщить об этом контролирующему органу не позднее чем за 3 рабочих дня до даты его проведения.

На данный момент уже составлены планы профилактических визитов: с графиком визитов с разбивкой по регионам можно ознакомиться на сайте компании Б-152.

Зачем нужен специалист по ПДн?

Подготовка к проверке — это долгий и трудоемкий процесс, который может длиться не один месяц. Зачастую для подготовки к проверке нужен отдельный человек, но не обязательно внутренний сотрудник. Подготовку к проверке и подобные задачи, связанные с обработкой персональных данных, можно передать на аутсорс. 

Privacy-специалист:

  • начинает с аудита бизнес-процессов;
  • актуализирует информацию в документах;
  • выявляет риски и «слабые места»;
  • разрабатывает стратегию по их устранению. 

Также такой специалист проверяет, соответствуют ли все бизнес-процессы требованиям законодательства о ПДн. Например, проверяет корректность формулировок на формах сбора данных на сайтах и в приложениях или бумажные носители персональных данных. Так, в личных делах работников не должно быть копий страниц паспорта, СНИЛС и т.д. Не должно быть и неучтенных носителей ПДн.

Другое направление подготовки — проверить, соблюдены ли сроки обработки персональных данных и удалена ли информация по субъектам после истечения обозначенных сроков. 

Помимо этого, специалист готовит и подает уведомление об обработке персональных данных в Роскомнадзор до начала проверки. 

Заранее следует определить, кто из сотрудников будет общаться с представителями службы во время очных выездов Роскомнадзора. Обычно это бухгалтерия, кадры, маркетинг, любые другие отделы, сталкивающиеся в своей работе с обработкой персональных данных. 

Выделенных сотрудников нужно обучить, как «правильно» общаться с представителями Роскомнадзора. 

Скачать приказ о назначении ответственных за обработку персональных данных в компании

Пройти проверку — не конечная цель работы ответственного. Нужна регулярная работа в области обработки ПДн, которая позволит избежать каких-либо претензий контролирующих органов в дальнейшем. Нужно:

  • поддерживать соответствие и актуальность документов;
  • обучать сотрудников;
  • отслеживать изменения законодательства;
  • регулярно подписывать необходимые согласия с субъектами и соглашения с контрагентами. 

Внутренний специалист или компания на аутсорсе?

Однозначного ответа нет. Разберем плюсы и минусы внутреннего сотрудника по найму. 

Плюсы:

  • знает бизнес-процессы компании;
  • ему проще взаимодействовать с командой, оперативно устранять риски и несоответствия; 
  • он вовлечен в процессы компании; 
  • у него есть доступ в часть внутренних систем и к документам организации: “аутсорсеры” вынуждены каждый раз запрашивать информацию, а её предоставление занимает время. 

Минусы:

  • разбирается в требованиях к обработке ПДн хуже профильных специалистов;
  • принимает решения один: специалисты аутсорсинга могут советоваться друг с другом, обмениваться опытом и экспертным мнением;
  • зачастую объем задач требует занятости нескольких специалистов. 

Про компанию-аутсорсера можно сказать ровно обратное. Так, не будет такого глубокого погружения в процессы организации, быстрого и легкого взаимодействия с командой. С другой стороны, ресурсов при работе команды специалистов выделяется больше и уровень экспертизы гораздо выше. 

Самые распространенные ошибки компаний при работе с персональными данными

  1. Оставляют работу на последний момент 

В этом случае не поможет даже привлечение специалистов, так как подготовка к проверке должна занимать от недели до нескольких месяцев. В идеале стоит регулярно обновлять документы, а не только перед проверками или профилактическими визитами.

  1. Не предоставляют сведения в РКН 

Нередко компании отказываются отвечать на запросы Роскомнадзора, ссылаясь на нормы законодательства о конфиденциальности информации, положения о коммерческой тайне и т.д. Но это только провоцирует пристальное внимание ведомства к компании.

  1. Не удаляют избыточные данные 

Чистить базы данных и удалять ПДн, сроки обработки которых закончились, — обязанность оператора ПДн. Это касается и бумажных документов: например, личные дела работников не должны содержать копий СНИЛС, паспорта и ИНН. 

  1. Не приводят ресурсы в соответствие с законодательством

Это касается сайта, приложений и других внешних ресурсов. Это первое, на что обращают внимание сотрудники Роскомнадзора. 

  1. Неподача уведомления

Речь идет об уведомлении или информационном письме, которое компания обязана отправить в реестр операторов персональных данных. Некоторые думают, что так смогут избежать внимания службы. Но неподачу уведомления расценят негативно и с большой долей вероятности оштрафуют.

  1. Отсутствие подготовки у сотрудников

К проверке следует подготовить не только документы, но и сотрудников. Коллектив должен знать, что именно показывать представителям Роскомнадзора и в каком объеме.

Примеры 

Некорректная формулировка на сайте 

Что не так. Отсутствует согласие на маркетинговые рассылки. Отметим, что такое согласие требует не только законодательство в области ПДн, но и ФАС. 

Некорректное согласие на обработку 

Что не так. В этом согласии указано сразу несколько целей, никак не связанных между собой, включая маркетинговые рассылки. То есть исключена добровольность согласия, так как клиент не может выбрать одну из предложенных опций, отказавшись от другой. Так, пользователь может быть не против анализа своих интересов и участия в опросе, но против получения рассылок, а в итоге — обязан принять согласие целиком.

Новости