Кем проверяется выполнение требований закона?
Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.
ФСТЭК России. Проверяет выполнение требований по технической защите.
ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.
Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.
Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.
Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.
Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?
Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.
Основные требования законодательства в области персональных данных
Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:
1. Подготовить пакет организационно-распорядительной документации.
2. Привести процессы работы с персональными данными в соответствие с законом.
3. Реализовать техническую защиту персональных данных в информационных системах.
4. Хранить базы с персональными данными на территории Российской Федерации.
Требования по подготовке внутренних организационно-распорядительных документов
Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.
При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.
Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.
Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.
Требования по приведению процессов работы с персональными данными в соответствие с законом
Персональные данные необходимо правильно собирать, обрабатывать и передавать.
Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.
С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.
Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.
В Роскомнадзор должно быть подано уведомление об обработке персональных данных.
Требования по технической защите персональных данных в информационных системах
Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.
Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.
После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.
Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.
Требования по хранению баз персональных данных на территории Российской Федерации
С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.
О месторасположении баз данных необходимо уведомить Роскомнадзор.
Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.
Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.
Какие бывают персональные данные?
Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.
Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.
К обработке специальных и биометрических персональных данных предусмотрены особые требования.
Основные риски при невыполнении закона
По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.
Основные риски:
- Наложение на организацию штрафа до 300 000 рублей;
- Наложение на должностных лиц штрафа до 10 000 рублей;
- Разрыв трудового договора с должностным лицом;
- Запрет руководителю занимать руководящие должности на срок до 3-х лет;
- Блокировка сайта организации по жалобе физического лица;
- Внесение компании в реестр нарушителей прав субъектов персональных данных.
С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.
С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».