Персональные данные: насколько реально попасть под проверку Роскомнадзора?
Из всех часто задаваемых вопросов на тему хранения, обработки и защиты персональных данных по частоте возникновения уверенно лидирует следующий:»Может кто-нибудь адекватно пояснить, как распространяется сей ФЗ на обычную фирму, которая имеет локальную инсталляцию 1С и считает зарплату? ». А распространяется он одинаково на все организации, обрабатывающие персональные данные, независимо от их размера (даже ИП, который ведет в 1С расчеты с наемными работниками). Естественно, небольшая (и даже средняя) компания в здравом уме и трезвой памяти задастся вопросом: «А стоит ли овчинка выделки?»
Ведь согласно ежегодно публикуемому регулятором списку, процент проверяемых Роскомнадзором (РКН) организаций — капля в море по сравнению с тем их количеством, которое можно наблюдать в той же самой Москве, не говоря о России в целом. В связи с открытостью вопроса и спорностью ответов предлагаем разобраться, какова в действительности вероятность попадания под проверку РКН? Для ответа на поставленный вопрос вооружимся калькулятором и выполним элементарные расчеты на основании данных официальной статистики.
Согласно последнему отчету Роскомнадзора, который датируется 2013 годом, на территории России было проведено 2418 проверок, из которых 617 — внеплановых. Прибегая к нехитрым вычислениям, получаем, что 75%проверок были плановыми и 25% — внеплановыми. При этом наблюдались следующие цифры:
По какому количеству из этих 125 случаев (5% от общего числа проверок по России) судом были приняты решения о привлечении к административной ответственности — в отчете Роскомнадзора не сказано. Однако приводится общая сумма штрафов, взысканная с нарушителей в бюджет РФ. В 2013 году она составила 147 тысяч 300 рублей. Таким образом, к административной ответственности были привлечены единицы, и это при том, что количество операторов ПДн в реестре Роскомнадзора — более 300 тысяч, а общее число операторов ПДн в России в разы, если не на порядок больше, чем количество операторов в реестре РКН.
Но даже если отталкиваться от примерных цифр реестра Роскомнадзора и количества проверок РКН, получаем следующее:
- Среднее значение ежегодно осуществляемых РКН проверок не превышает 2500.
- Количество операторов ПДн в реестре Роскомнадзора хоть и более 300 тысяч, округлим ровно до 300 тысяч.
Получаем приблизительный процент попадания оператора ПДн под проверку Роскомнадзора, который составляет 0,83%.
Учитывая, что общее число операторов ПДн по России на самом деле в разы больше, полученный процент можем смело уменьшать как минимум в два раза, в результате чего получаем смешные 0,4%.
Какое точное количество всех проверок по России будет выполнено в 2015 году, можно вычислить описанным выше способом. Согласно планам регулятора, Роскомнадзор в этом году планирует проверить 1267 организаций, что на 534 меньше, чем в 2013-м. Ориентируясь на количество внеплановых проверок за 2013 год, сделаем грубую накидку в виде 100 дополнительных проверок, которые, скажем, произойдут по определенной случайности, в результате чего получаем 717 внеплановых выездов. Суммируем все вместе и получаем 1984 проверки. В итоге процент попадания отдельно взятой российской организации под проверку РКН в нынешнем году составляет мизерные 0,66%, и это очень приблизительное, грубо округленное в большую сторону значение. Фактический процент попадания будет однозначно меньше.
А если верить слухам о сокращении штата Роскомнадзора на 20%, где общее количество всех сотрудников теперь составляет не более 3000 человек на всю Россию, можно сделать вывод: количество проверяющих единиц тоже уменьшилось. А значит, проверить больше организаций, чем мы рассматриваем в расчетах, вряд ли получится. И пусть нас пугают сентябрем 2015-го и тем, что количество проверок в связи с ФЗ-152 «Законом о персональных данных» станет только больше, мы все прекрасно понимаем, что человеческие ресурсы не безграничны, да и количество рабочих человеко-часов тоже конечно. Так что делаем выводы, господа.
Закулисье проверок, или Как работает Роскомнадзор
Начнем с того, что проверки Роскомнадзора бывают нескольких видов: плановые, внеплановые, документарные и выездные. При этом каждая из них имеет свои особенности.
- Плановые проверки. О плановых проверках Роскомнадзор предупреждает заранее. Как правило, не менее чем за три рабочих дня по почте или факсом отправляется уведомление с копией приказа о грядущем мероприятии. Узнать о запланированных проверках юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей можно на официальном сайте Роскомнадзора.
- Внеплановые проверки. Чаще всего проводятся по жалобам, полученным от физических лиц. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
- Документарные проверки. Вид проверок, при которых Роскомнадзор запрашивает список документов, копии которых необходимо предоставить в территориальный орган Роскомнадзора.
- Выездные проверки. При выездной проверке проводится инспектирование на местах, когда в организацию приезжают представители РКН (как правило, несколько человек). Происходит проверка на предмет соответствия требованиям ФЗ-152.
А теперь немного подробнее. Несмотря на то, что публикуемый перечень проверяемых организаций известен заранее и такой тип проверки носит название «плановая», бывают проверки «внеплановые», то есть когда в списке РКН организация себя не нашла, но к ней все равно пришли. Причиной этому может быть недавно уволившийся сотрудник, желающий «сдать компанию с потрохами» и накатавший от всей русской, доброй души злостную кляузу, или же клиент, пользующийся услугами организации, сообщивший о серьезных нарушениях с персональными данными. Эти и другие случаи на практике встречаются довольно часто, а поскольку жалоба является основанием для проведения внеплановой проверки, Роскомнадзор не оставит ее без ответа. Тем более что статистика жалоб увеличивается ежегодно в два, а то и три раза.
Обратите внимание…
Стать «жертвой» внеплановой проверки можно и другим образом, для этого организации достаточно никак не отреагировать на письменный запрос РКН. Подобных случаев Роскомнадзор не прощает: «А вы ответили на наш официальный запрос? Нет? Тогда мы идем к вам!».
Согласно Федеральному закону №294-ФЗ, плановая проверка Роскомнадзора не может проводиться чаще, чем один раз в три года. Если в течение трех последних лет вас не радовали визитами проверяющие органы, есть некая доля вероятности быть в числе следующих.
Как проводится проверка
Если Роскомнадзор располагает всеми необходимыми документами и данными о проверяемой организации, проверка может носить документарный характер и осуществляться без обращения в саму компанию. Если в ходе проверки возникают дополнительные вопросы, регулятор формирует письменный мотивированный запрос и направляет его в организацию. Ответ на такой запрос необходимо предоставить в письменном виде в течение десяти рабочих дней. Он должен содержать максимально убедительные мотивированные обоснования, охватывающие все интересующие аспекты со стороны проверяющего органа. Если хотя бы один вопрос остается открытым, регулятор едет в организацию и проводит проверку на месте.
По завершении проверки Роскомнадзор составляет акт, а в случае обнаружения каких-либо нарушений выдает предписание, которое должно быть выполнено точно в срок. В противном случае организацию ждет повторная проверка или возбуждение дела об административном правонарушении. Для наглядности предлагаем рассмотреть сценарий, описывающий типовую плановой проверку РКН.
Типовой сценарий плановой проверки РКН
Итак, вы нашли свою организацию в «Плане проведения проверок». Оттуда же узнали дату наступления часа «Икс» и сроки проведения проверки. До начала запланированного «мероприятия» вы получаете уведомление от Роскомнадзора вместе с перечнем документов, которые необходимо подготовить и в дальнейшем продемонстрировать сотруднику РКН. Какие именно бумаги нужно подготовить, зависит от ситуации. Это могут быть как организационно-распорядительные документы, регламенты, справки, выписки, копии, так и что-то другое. Поскольку обычно список получается достаточно внушительным, подготавливается специальный реестр, в котором напротив каждого документа проверяющее лицо РКН оставляет свой автограф. С помощью этого реестра происходит отслеживание документов, переданных на проверку.
Если на проверку отведен календарный месяц, это не означает, что сотрудники Роскомнадзора все выделенное время будут находиться в проверяемой организации. Скорее всего, будет запланировано несколько встреч: две, три, а может, несколько больше, но в пределах здравого смысла. На первую встречу, как правило, сотрудники РКН привозят бумажную версию Уведомления о проведении плановой выездной проверки компании, выполняют оценку и определяют масштаб мероприятий, назначают дату следующего встречи. Обычно с этого момента процесс считается официально запущенным.
Следующий визит чаще всего рассматривают как основной, где сотрудники РКН, согласно уведомлению оператора, проверяют внесенные изменения и в случае необходимости оставляют свои комментарии. Дальше могут последовать вопросы к сотрудникам основных отделов. Когда речь касается обработки персональных данных, опрашиваются компании, с которыми возникает обмен ПДн. Это могут быть кадровые агентства, банки, операторы связи и прочие организации.
Согласно отзывам некоторых организаций, попавших под плановую проверку Роскомнадзора, регулятор запрашивал у них перечень ИСПДн, модель угроз, проект по созданию защиты персональных данных, сертификаты на средства защиты информации и задавал вопросы, касающиеся в том числе трансграничной передачи информации по каналам связи.
Как показывает практика, в ходе проверки может быть запрошено гораздо большее количество документов по сравнению с тем, что требовалось изначально. По результатам проверки Роскомнадзор выдает акт с указанием выявленных нарушений, если таковые были обнаружены, справку о результатах плановой выездной проверки, а также предписание об устранении в установленный срок выявленных несоответствий.
Что необходимо сделать, чтобы проверка прошла успешно
Даже если ваша организация не попала в заветный список плановых проверок и вас нисколько не пугают внеплановые мероприятия РКН, быть во всеоружии все-таки стоит. Как известно, знание — сила, а знание своих прав — тем более. В первую очередь рекомендуем ознакомиться с полезным перечнем документов: административный регламент проверок РКН, Федеральный закон о защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственной проверки, разъяснения РКН по обработке биометрических ПДн.
А для того, чтобы проверка прошла успешно, в случае, если на пороге появились проверяющие инспекторы РКН, будут не лишними следующие рекомендации:
Рекомендация 1. Необходимо изначально разобраться, попадает ли ваша компания под статью ФЗ-152, где описаны случаи, когда организация вправе обрабатывать ПДн без отправки уведомления в Роскомнадзор. Если это именно ваш случай, достаточно подготовить справку, обосновывающую имеющиеся причины не уведомлять РКН. В остальных случаях необходимо подготовить и отправить «Уведомление об обработке персональных данных», поскольку это первое, на что обращают внимание инспекторы.
Компания, которая не отправила уведомление в РКН, привлекается к ответственности. Если уведомление было подано, РКН в ходе проверки ориентируется на него, сравнивая с имеющимися процессами обработки ПДн организации. В случае несоответствия действительности и наличия ошибок, организацию ждут штрафные санкции. Не допускайте подобных ситуаций. Помните, что подаваемое в Роскомнадзор уведомление не является статическим документом, оно постоянно дополняется. Причем уведомлений об изменениях должно быть ровно столько, сколько непосредственно самих изменений. Учтите: если уведомление было подано после того, как организация начала деятельность по обработке ПДн — это уже повод оштрафовать организацию.
Рекомендация 2. Роскомнадзор не проверяет информационные системы персональных данных (ИСПДн), этими вопросами занимается ФСТЭК и ФСБ России. В задачи РКН в основном входит проверка документов, поэтому необходимо сосредоточиться на подготовке соответствующей документации. Уделите особое внимание качеству — оно должно быть на достаточно высоком уровне. Рекомендуем руководствоваться действующим законодательством и вести всю отчетность надлежащим образом.
Рекомендация 3. Если грядущая проверка вызывает у вас опасения и вы чувствуете, что нуждаетесь в дополнительной помощи, обратитесь к услугам опытных консультантов. Они поддержат вас в трудную минуту, тем более что делать это никто не запрещает.
Рекомендация 4. Подготовьте персонал к предстоящей проверке. Это могут быть тренинги, собрания — все что угодно. Ваши сотрудники должны знать, что говорить, как говорить, а о чем лучше не рассказывать. Помните, что каждому технологическому процессу должен соответствовать разработанный регламент, ознакомьте с ним своих коллег.
Шпаргалки не только в школе
При подготовке к встрече с проверяющими достаточно сложно удержать в голове все нюансы. Предлагаем воспользоваться специально подготовленной шпаргалкой, где описаны основные правила, установленные Роскомнадзором.
Срок представления вами документов, требуемых при документарной проверке | 10 рабочих дней со дня получения мотивированного запроса |
Срок представления пояснений по документарной проверке | 10 рабочих дней |
Количественный состав проверяющих при выездной проверке и их основания для проверки | Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения. Выездная проверка проводится только при предъявлении служебных удостоверений проверяющих лиц и копии соответствующего приказа руководителя органа Роскомнадзора |
Срок и порядок уведомления о начале проведения выездной проверки | Плановой проверки — Не позднее чем в течение трех рабочих дней до начала проведения проверки посредством направления копии приказа о проведении проверки почтовым отправлением с уведомлением о вручении или иным доступным способом Внеплановой проверки — Не позднее чем за 24 часа до начала ее проведения любым доступным способом |
Срок проведения выездной проверки | 20 рабочих дней (продление возможно на срок не более 20 рабочих дней) |
Порядок обжалования решений, вынесенных по результатам проверок | Обжалование действий должностных лиц может осуществляться письменно либо устно в ходе личного приема. Жалоба должна быть рассмотрена в течение 30 дней, срок может быть дополнительно продлен еще на 30 дней |
Подводя итоги, подчеркнем: бояться проверок Роскомнадзора точно не стоит, к ним просто нужно быть готовым. Судя по тому, что процент попадания организаций под проверку РКН по сравнению с общим количеством компаний по всей России просто ничтожен, завтра вряд ли придут именно к вам, особенно если вы индивидуальный предприниматель или маленькая компания. Но если даже вы станете обладателем письма счастья от РКН, попав в золотую десятку любимчиков Фортуны, поддаваться панике точно не стоит. Знание своих прав, соблюдение обязанностей, соответствие требованиям действующего законодательства и заблаговременная подготовка к возможной проверке станут лучшим лекарством от всех бед.