Защита персональных данных: новые документы регуляторов

Регламент проведения проверок органами Роскомнадзора

Не секрет, что с окончательным вступлением Федерального закона от 27.07.2006 № 152-ФЗ увеличится количество проверок операторов персональных данных, которыми являются практически все организации и предприниматели.

Подробнее о том, какие организационно-распорядительные меры необходимо предпринять, читайте в номере 12 (декабрь) "БУХ.1С" за 2009 год в статье "Организационные вопросы защиты персональных данных".

В связи с чем, одним из значимых документов для оператора персональных данных будет являться Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Служба) при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее - Регламент), утвержденный приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630 (зарегистрировано в Минюсте России 28.01.2010 № 16095).

Данный регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с операторами персональных данных (далее - ПДн), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области персональных данных.

Регламентом определены следующие административные процедуры:

• принятие решений о проведении проверок;
• проведение проверок;
• оформление результатов и принятие мер по результатам проверок.

Рассмотрим наиболее интересные для оператора ПДн положения.

В первую очередь необходимо отметить, что проверки могут проводиться двух видов - плановые и внеплановые и в двух формах - документарной и выездной. Важно учитывать, что проверки независимо от вида и формы могут проводиться как в отношении операторов, включенных в реестр операторов, осуществляющих обработку ПДн, так и в отношении операторов, не включенных в Реестр, но осуществляющих обработку ПДн.

В связи с чем следует напомнить, что избежать проведения проверки в случае отсутствия организации в реестре операторов ПДн вряд ли удастся.

С целью упрощения изучения Регламента предлагаем следующую справочную информацию в отношении проведения государственного контроля органами Роскомнадзора - см. таблицу.

Плановые и внеплановые проверки

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.

Что же является основанием для включения оператора в план проверок?

Ответ на этот вопрос содержится в пункте 22 Регламента. Данным пунктом определено, что "основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
- государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя;
- окончания проведения последней плановой проверки Оператора."

Таким образом, включить в план проверок могут практически любую организацию, либо предпринимателя, осуществляющего обработку ПДн. С планом проверок на 2010 год можно ознакомиться на сайте Роскомнадзора по ссылке http://www.rsoc.ru/plan-and-reports/contolplan/.

В плане на 2010 года предусмотрены проверки операторов ПДн, работающих в различных сферах деятельности, - органы власти, налоговые и таможенные органы, охранные структуры, центры занятости и т. п.

Внеплановые проверки проводятся по основаниям, поименованным в пункте 27 Регламента, в том числе:

• истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области ПДн;
• поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновение угрозы причинения вреда жизни, здоровью граждан; причинение вреда жизни, здоровью граждан;
• нарушение прав и законных интересов граждан действиями (бездействиями) Операторов при обработке их персональных данных;
• приказ руководителя Службы, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Как не трудно предположить, наиболее часто проведение внеплановой проверки может быть инициировано при поступлении в Роскомнадзор жалобы физического лица на нарушение прав и законных интересов граждан. В связи с чем стоит помнить, что на все обращения субъектов ПДн необходимо отвечать в сроки, установленные пунктом 4 статьи 16 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", т. е. в течение 7 рабочих дней.

В ходе проведения проверки Служба или ее территориальный орган осуществляют рассмотрение документов Оператора, а также исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Операторам ПДн следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки. К таким документам в соответствии с пунктом 64.1 Регламента относятся:

• уведомление об обработке персональных данных;
• документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган;
• документы, подтверждающие выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
• письменное согласие субъекта персональных данных на обработку его персональных данных;
• документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
• документы, подтверждающие уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки;
• локальные акты Оператора, регламентирующие порядок и условия обработки персональных данных.

Также один из наиболее важных аспектов, которые необходимо знать Оператору, - это права должностных лиц Роскомнадзора при проведении проверки, поименованные в пункте Регламента.

К ним относятся:

• выдача предписаний об устранении выявленных нарушений;
• составление протоколов об административных правонарушениях;
• обращение в суд с исковыми заявлениями в защиту прав субъектов ПДн;
• использование техники и оборудования, принадлежащих Службе или ее территориальному органу;
• получение необходимых документов (сведений).

Форма проведения проверки

Как отмечалось ранее, плановые и внеплановые проверки проводятся в форме документарной или выездной проверки.

Форма проведения определяется Службой или ее территориальным органом самостоятельно. Рассмотрим основные отличия.

Документарная, в отличии от выездной, проводится по месту нахождения Службы или ее территориального органа. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа. Т. е. в ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих.

Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения, либо эти данные не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, то проверяющие

вправе направить мотивированный запрос о предоставлении необходимых для проверки документов.

При этом все необходимые документы предоставляются Оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

В пункте 67.7 Регламента содержится прямой запрет на истребование нотариального удостоверения копий документов.

В случае, если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то Оператору может быть направлено требование о предоставлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Службы или ее территориального органа вправе провести выездную проверку.

Таким образом, выявление нарушений в ходе проведения документальной проверки является одним из оснований для проведения выездной проверки. Также решение о проведении выездной проверки может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.

Целью проведения выездной проверки является проверка полноты и достоверности сведений, содержащихся в уведомлении об обработке ПДн, а также в иных документах, имеющихся в распоряжении Службы или ее территориального органа.

Выездная проверка проводится на территории/территориях Оператора. Операторы обязаны предоставить должностным лицам регулятора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проверяющих в здания, строения, сооружения, помещения и к оборудованию, используемому Оператором для обработки ПДн.

Следует учитывать, что должностные лица Службы или ее территориального органа не вправе изымать оригиналы документов.

Оформление результатов проверки

Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к оформлению проверки содержаться в пункте 75 Регламента. Пунктом 83 Регламента предусмотрено, что в случае выявления нарушений Оператору вместе с актом выдается предписание об устранении нарушений (п. 83 Регламент).

Напомним, что формы применяемых документов (приказа, акта, журнала учета проверок) при осуществлении государственного контроля (надзора) утверждены приказом Минэкономразвития России от 30.04.2009 № 141.

Возможные результаты проведения проверок могут быть следующими:

1. Выдача предписания об устранении выявленного нарушения и осуществление контроля за его исполнением.
2. Выявление административного правонарушения и, соответственно, составление протокола об административном правонарушении, направление протокола с материалами проверки в суд либо в прокуратуру.
3. Выявление уголовно наказуемого деяния и, соответственно, направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела.

Дополнительно представляют интерес блок-схемы, приведенные в приложениях № 2-4 к рассматриваемому Регламенту, в том числе блок-схема административной процедуры о принятии решения о проведении проверок, блок-схема административной процедуры проведения проверок, блок-схема административной процедуры оформления результатов и принятия мер по результатам проверок.

Рекомендации ФСТЭК о методах и способах защиты информации

В соответствии с пунктом 3 Положения об обеспечении безопасности ПДн при их обработке в информационных системах ПДн, утвержденного постановлением Правительства РФ от 17.11.2007 № 781, ФСТЭК России разработано и утверждено приказом от 05.02.2010 № 58 (регистрация в Минюсте России 19.02.2010, регистрационный № 16456) Положение о методах и способах защиты информации в информационных системах персональных данных (далее - Положение).

На что необходимо обратить внимание в данном документе?

В первую очередь представляет интерес пункт 1.2 Положения, определяющий методы и способы защиты информации в информационных системах персональных данных, к которым относятся:

• методы и способы защиты информации, обрабатываемые техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий;
• методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий.

Во вторую очередь следует ознакомиться с методами и способами защиты информации от несанкционированных действий, которые поименованы в пункте 2.1 Положения, в том числе:

• реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
• ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
• регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
• учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
• резервирование технических средств, дублирование массивов и носителей информации;
• использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование защищенных каналов связи;
• размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
• организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
• предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Как нетрудно заметить приведенный перечень содержит комплекс мероприятий организационного, правового, режимного и технического характера. К организационно-режимным мероприятиям, которые не зависят от вида используемых технических средств и программного оборудования, можно отнести организацию допуска пользователей в помещения, к документам и информационным ресурсам, порядок учета и хранения съемных носителей и т. п. В отношении технических мер поименованных выше следует учитывать, что часть из них реализована с помощью прикладных программных продуктов, разработанных фирмой "1С", а иные должны быть реализованы посредством иных средств (например, антивирусная защита, межсетевые экраны, средства защиты информации и т. п.)

Напомним, что в настоящее время в "зарплатных" решениях фирмы "1С" на платформе "1С:Предприятие 8" реализованы следующие возможности:

• настройка режима защиты ПДн по областям данных (личные данные, данных о доходах, данные о профессии и образовании, данные об имуществе);
• просмотр сведений о зарегистрированных событиях аутентификации и отказа в аутентификации, доступа и отказе в доступе;
• уничтожение ПДн по запросу субъекта.

Платформа "1С:Предприятие 8.2" позволяет, в том числе регистрировать события аутентификации и отказа в аутентификации, доступа и отказа в доступе к персональным данным.

Методы и способы защиты информации от утечки по техническим каналам (в том числе в отношении речевой информации, информации, представленной в виде информативных электрических сигналов и физических полей и т. п.) рассмотрены в третьем разделе комментируемого Положения и в рамках настоящей статьи не анализируются в связи с тем, что данные вопросы не связаны непосредственно с обработкой ПДн в прикладных программных продуктах фирмы "1С" и находятся в сфере интересов исключительно технических специалистов операторов.

С учетом изложенного, для реализации требований законодательства о защите персональных данных необходимо проводить именно комплекс мероприятий, а не отдельные его элементы.

Важно отметить, что конкретные требования к информационным системам персональных данных 4 и 3 классов поименованы в Приложении "Методы и способы защиты информации от несанкционированного доступа в зависимости от класса информационной системы" к Положению. Приведенные в документе требования не являются новыми, так как аналогичные требования также содержатся в нормативном правовом акте ФСТЭК России "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн", утвержденном заместителем директора ФСТЭК России 15.02.2008.

В заключении стоит обратить внимание на пункт 1.3 Регламента, которым предусмотрено, что для выбора и реализации методов и способов защиты информации в ИСПДн оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных, либо может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. Напомним, что работы по защите персональных данных в информационных системах 1 и 2 класса могут проводиться только организациями, имеющими лицензию на осуществление деятельности по технической защите конфиденциальной информации.