Как подготовиться к проверке Роскомнадзора?

В теории и на форумах в интернете все просто. Достаточно почитать закон и реализовать требования статей 6, 9, 18.1, 19 и 22 закона, так как Роскомнадзор в первую очередь проверяет по ним:

  • уведомление об обработке персональных данных;
  • согласия об обработке персональных данных;
  • проверка договоров с контрагентами в части правильности передачи права обработки персональных данных и возложения обязанностей по их защите;
  • проверка правильности организации обработки и защиты персональных данных в информационных (компьютерных) системах;
  • проверка правильности обработки и защиты персональных данных на бумажных носителях.

Так как закон был разработан для организаций всех форм собственности и отраслей, формулировки закона имеют общий характер, и неподготовленному читателю их не переварить. Это является основной проблемой реализации требований закона – без понимания выполнить требования невозможно и тем более пройти проверку Роскомнадзора.

Обычно о подготовке к проверке Роскомнадзора операторы задумываются прямо перед самой проверкой, получив уведомление, что к ним уже идут. В таком случае остается очень мало времени, чтобы подготовиться документально, не говоря о том, чтобы реализовать все требования закона реально и в полном объеме. Под документальной подготовкой понимается разработка пакета организационно-распорядительной документации (ОРД) в части обработки и защиты персональных данных с целью прохождения проверки Роскомнадзора. Полный пакет насчитывает около 60 документов для организации любого масштаба.

Подготовиться к проверке можно как самостоятельно, так и обратившись за помощью к компетентной организации. Как показывает практика, только при втором варианте можно получить гарантию прохождения проверки и отсутствие штрафных санкций.

Порядок самостоятельной подготовки в целом выглядит следующим образом:

Проверка Роскомнадзора: камни преткновения

При прохождении проверки Роскомнадзор операторы сталкиваются со следующими основными проблемами:

Что проверяет Роскомнадзор?

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Предметом государственного контроля являются:

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

Роскомнадзор осуществляет проверку в соответствии с Административным регламентом Роскомнадзора и имеет право:

Лайфхак по успешному прохождению проверки Роскомнадзора

 Для успешного прохождения проверки Роскомнадзора необходимо учесть следующие основные моменты:

Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия

Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).

Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.

Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.

Прохождение проверки Роскомнадзора: цена вопроса

Стоимость полноценной подготовки оператора персональных данных к проверке Роскомнадзора состоит из:

  • правовой подготовки (разработка организационно-распорядительной документации по статьям 18.1 и 19 закона и подзаконным нормативно-правовым актам).
  • технической подготовки (реализация технических мер защиты персональных данных, при их обработке в информационных (компьютерных) системах по статье 19 закона.
  • подготовки к проверке Роскомнадзора (внутренний контроль готовности к проверке по типовому плану проверки Роскомнадзора и с учетом практики прохождения проверок), а также помощь в прохождении самой проверки (участие на проверке, помощь в устранении замечаний, консультации).

Оператор может подготовиться как самостоятельно, так и обратиться за квалифицированной помощью (к специализированной на данном направлении деятельности организации). Внимание: техническую подготовку может выполнять только лицензиат ФСТЭК России с лицензией на техническую защиту конфиденциальной информации и пунктами «а» и «г» в ней.

Цена помощи компетентной организации по правовой подготовке варьируется в диапазоне от 300 тыс. до 3 млн. в зависимости от масштаба организации, которую проверяют (количества контрагентов у организации, количества и класса информационных систем, количества отделов и сотрудников и др.).

Цена помощи от лицензиата ФСТЭК по технической подготовке (защита и аттестация) информационных систем персональных данных (ИСПДн), варьируется в диапазоне от 300 тыс. до 3 млн. в зависимости от масштаба, класса защищенности, сложности и территориальной распределённости ИСПДн.

Цена помощи в подготовке к прохождению проверки, а также помощи в прохождении самой проверки Роскомнадзора варьируется в диапазоне от 300 тыс. до 900 тыс. в зависимости от срочности, т.е. в зависимости от того, сколько времени есть на подготовку.

Как правило, при заказе комплексной подготовки по 152-ФЗ, включающей правовую, техническую подготовку, подготовку к прохождению проверки и помощь в прохождении самой проверки Роскомнадзора, общая стоимость работ ниже, чем при заказе услуг по отдельности.

Скачать коммерческое предложение на подготовку оператора в соответствии с 152-ФЗ
СКАЧАТЬ PDF

Что предлагаем мы?

Мы предлагаем вам подготовку к проверке Роскомнадзора с разработкой полноценного пакета организационно-распорядительной документации, необходимой для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора с гарантией по договору.

Комплекс услуг по подготовке к проверке Роскомнадзора

 В полный комплекс услуг входит:

1. Обследование бизнес-процессов организации, связанных с обработкой персональных данных:

На выходе обычно оформляется отчёт об обследовании, в котором делается вывод о соответствии или не соответствии оператора требованиям закона, а также выдаются замечания и рекомендации по корректировке бизнес-процессов организации.

2. Установление уровня защищенности персональных данных при их обработке в информационных системах (т.е. в автоматизированном виде):

  • анализ категорий субъектов персональных данных (сотрудники, клиенты и др.);
  • анализ категорий (ФИО, телефон и др.) и объема (количества) персональных данных;
  • анализ актуальных угроз, связанных с недекларированными возможностями, в используемом при обработке данных программном обеспечении.

На выходе: акт установления уровня защищенности персональных данных. Акт формируется для каждой информационной системы по отдельности или один на все системы одновременно.

3. Приведение бизнес-процессов, связанных с обработкой персональных данных, в соответствие закону с документальным оформлением соответствия как при автоматизированной, так и при не автоматизированной обработке данных:

На выходе получается следующий пакет организационно-распорядительной документации:

4. Защита информационных систем персональных данных, в соответствии с требованиями статьи 19 закона:

5. Приведение неавтоматизированной (бумажной) обработки персональных данных в соответствие требованиям 687 постановления Правительства:

  • анализ и выдача замечаний по корректировке типовых бумажных форм документов с персональными данными;
  • подготовка отдельного согласия сотрудников, осуществляющих обработку персональных данных без использования средств автоматизации;
  • анализ и выдача замечаний по корректировке журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
  • анализ порядка хранения материальных носителей с персональными данными и выдача замечаний и рекомендаций по приведению в соответствие.

6. Подача в Роскомнадзор уведомления об обработке или извещения об изменении сведений по обработке персональных данных:

  • формирование проекта уведомления или извещения об изменении с учетом практики прохождения проверок Роскомнадзора;
  • согласование с оператором, утверждение и подача в Роскомнадзор;
  • отслеживание регистрации оператора (о корректировке сведений) в реестре Роскомнадзора.

7. Проведение контроля готовности к проверке Роскомнадзора:

  • проверка наличия и утверждения пакета организационно-распорядительной документации в требуемом объёме;
  • выборка договоров с контрагентами, наиболее соответствующих требованию закона;
  • контроль готовности оператора к прохождению проверки в соответствии с типовым планом проверки Роскомнадзора.

На выходе, как правило, следующие отчетные документы:

  • выбрано по одному договору к проверке (наиболее подходящие) по каждому типу контрагентов;
  • программа и методика проверки;
  • протокол проверки;
  • заключение о готовности к прохождению проверки Роскомнадзора;
  • протокол технического совещания по результатам контроля готовности к проверке.

8. Сопровождение при прохождении проверки Роскомнадзора (при необходимости):

  • выезд на территорию заказчика при выездной проверке Роскомнадзора;
  • пояснение требований и замечаний Роскомнадзора (при наличии);
  • помощь в устранении замечаний от Роскомнадзора (при наличии);
  • помощь в подготовке справок и ответа на замечания Роскомнадзора (при наличии).

9. Сопровождение системы защиты персональных данных в составе ИСПДн (при необходимости):

  • актуализация организационно-распорядительной документации в части обработки и защиты персональных данных в информационных системах;
  • администрирование системы защиты персональных данных (системное администрирование средств защиты информации);
  • ежегодный контроль защищенности (оценка эффективности применяемых мер защиты персональных данных);
  • мониторинг защищенности информационных систем и реагирование на инциденты безопасности.

10. Сопровождение оператора персональных данных (при необходимости):

  • отслеживание изменений в законе и подзаконных актах;
  • отслеживание изменений в категориях и объеме обрабатываемых оператором данных;
  • своевременная актуализация сведений в реестре Роскомнадзора;
  • периодический контроль соответствия требованиям закона;
  • актуализация организационно-распорядительной и регламентирующей документации в части обработки и зашиты персональных данных у оператора.

 

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК