Проверка Роскомнадзора: тонкости прохождения проверки, о которых Вам не расскажет ни один контролирующий орган

Частенько, получив письмо о проведении плановой проверки Роскомнадзора, компании вдаются в панику и готовят себя к самому худшему исходу. Давайте разбираться вместе, как проходит проверка Роскомнадзора, где узнать о ее проведении заранее, как провести аудит по персональным данным, и на что обратить внимание, чтобы обезопасить компанию от штрафа, который может составить свыше 6 000 000 рублей. (КоАП РФ Статья 13.11. «Нарушение законодательства Российской Федерации в области персональных данных»).

В этом году к нам обратился клиент за сопровождением их организации при прохождении проверки Роскомнадзора и за предварительным аудитом процессов работы с персональными данными в компании.  На их примере мы и рассмотрим, как проходила проверка и какие подводные камни встретились нам при ее прохождении.

Обычно проверка Роскомнадзора проходит в три этапа. Как же прошла у нас проверка на практике?

На практике  понедельник начался со стука в дверь контролирующего органа и предъявления служебного удостоверения участника проверки. Совместно с удостоверением сотрудник вручил нам заверенную копию приказа о проведении проверки, который заранее был утвержден комиссией и сделал запись в журнале проверок юридического лица.

Как правило, на следующем шаге, большинство организаций зарабатывают минус к карме и запись в справке о результатах проведения проверки. Мы же с компанией заранее постарались предусмотреть все тонкости, а именно: встретить проверяющую комиссию  уполномоченным лицом, которое представляет интересы оператора персональных данных при проведении проверки с соответствующим распоряжением и доверенностью на право представления юридического лица при проверке. Таким лицом в организации, как правило, является человек ответственный за организацию обработки персональных данных, понимающий процессы работы с персональными данными внутри компании, например, руководитель организации, исполнительный директор и др.

После официального знакомства комиссия вручила нам письменный запрос на предоставление перечня документов для проверки, исходя из данных, заявленных в уведомлении о начале обработки персональных данных. Обратите внимание, документ должен быть подписан председателем комиссии, а запрашиваемая информация должна быть строго в соответствии с информацией в документе.

Так же рекомендуем скрупулезно подойти к отражению действительности по обработке персональных данных при отправке уведомления в Роскомандозор, поскольку в документе должны быть четко отражены цели обработки персональных данных, категории обрабатываемых персональных данных, сроки обработки персональных данных и другие важные моменты  работы вашей компании. В этом случае надеяться на русское «авось» или попросту скачать файл из интернета нельзя, поскольку цели, субъекты обрабатываемых персональных данных, категории будут сильно разниться с документами сторонней компании даже схожей по специфике и сфере деятельности с Вашей. (Подробнее об отправке уведомления в РКН).

На случай, если проверяющие органы выявили несоответствие сведений в уведомлении с фактической деятельностью организации, уполномоченное лицо займется проверкой документации, свидетельствующей об уведомлении уполномоченного органа об изменении сведений, содержащихся в уведомлении. К счастью, перед проверкой РКН совместно с клиентом мы обнаружили данный недочет и своевременно подали данные в РКН на внесение изменений. Изменения необходимо было отразить постольку незадолго до прохождения проверки клиентом были дополнены цели обработки персональных данных и категории обрабатываемых персональных данных.

Так же у компании целей для обработки персональных данных оказалось гораздо больше, чем просто работа с персональными данными сотрудников компании. Поэтому следующие несколько часов мы совместно с представителями РКН погрузились в плавание: по серверным мощностям, договорам аренды облачных серверов, по проверке наличия форм согласия и политики конфиденциальности на сайте компании и продуктовых страницах.

При возникновении сложностей при прохождении проверки Роскомнадзора , мы готовы проконсультировать Вас и взять на себя все хлопоты по разработке документации системы защиты персональных данных.

На серверные мощности, где хранятся и обрабатываются персональные данные, проверяющие так же запросили у компании документацию и договоры аренды технических мощностей, поскольку клиент использует арендуемые облачные хранилища данных. Так же пришлось предоставить заверенную блок-схему размещения рабочих мест, на которых осуществляется хранение персональных данных в офисе и договоры аренды помещений, используемых под хранение личных дел сотрудников.

Перед прохождением проверки совместно с клиентом  мы тщательно перепроверили, чтобы все было на своих местах, поправили блок-схему, поскольку не так давно офисные места сотрудников были перемещены в другой корпус и документы нуждались в коррекции. Обращайте на это внимание, при  подготовке к проверке.

Параллельно с наличием документации, подтверждающей наличие облачного сервера на территории РФ, уполномоченный специалист проверил сайт компании и продуктовые странички. Пристальное внимание уделялось наличию форм обратной связи, формам регистрации, формам отзыва, наличию прикрепленной политики по обработке персональных данных к форме, проверили и расположение места хранения базы данных и наличие отметки о согласии с обработкой персональных данных.

При аудите всех процессов, относящихся к персональным данным,  мы обнаружили продуктовую страничку, в которой отсутствовал документ, определяющий политику в отношении обработки персональных данных. Так же на одной из форм сбора данных, при заполнении контактов для связи с менеджером компании отсутствовала галочка на получение согласия на обработку персональных данных. Как выяснилось позже, клиент планировал релиз нового продукта на осень и попросту забыл скрыть страничку из видимости. Хорошо, что при аудите мы своевременно устранили данный недочет еще до прохождения проверки.  Поэтому тщательнее проверьте перед проверкой РКН все странички сайта на предмет наличия таких форм и документов.

Отдельная история коснулась интернет-сервисов, которые клиент использует для аналитики, сбора и обработки данных о посетителях и пользователях сайта.

Спросите любую организацию, есть ли у них персональная страничка в интернете или аккаунт в соц. сетях, с помощью которых компания осуществляет лидогенерацию для продажи продукта, товаров и услуг. Компания с легкостью ответит, «да». Кто-то даже ведет страницу сайта в виде собственного блога, где пользователь может пройти регистрацию и оставить развернутое мнение по тематике блога.

Интернет-сервисы как Google Analytics и Яндекс.Метрика позволяют собирать данные о посещениях сайта пользователем, формировать сведения о предпочтениях , интересах, поведении на сайте.

Как правило, собираются следующие типологии данных: cookie, url страниц посещения, дата и время посещения, тип браузера, тип информационной системы. В некоторых случаях собирается и иная информация, которая поможет компании понять поведение пользователя и его интересы, вкусовые предпочтения, содержимое товара, которое вы направили  корзину, чтобы умные маркетологи напомнили Вам об оплате.

Поэтому если Ваш отдел маркетинга активный пользователь данных интернет-сервисов, обязательно укажите эту информацию в:

1. Политике в отношении обработки персональных данных
2. Проинформируйте посетителей сайта, о том, что ведется использование cookie-файлов для наилучшего представления сайта
3. Предусмотрите кнопку принятие согласия на использование cookie-файлов

В противном случае Вам светит запись в части нарушения требований ч.1 ст.6 Закона о персональных данных.

После небольшого перерыва, представители РКН стали проверять условия допускающие обработку персональных данных компанией. В первую очередь проверили взятие согласия с субъекта персональных данных. И в этот раз внимание было заострено на  кадровом отделе компании, а конкретно на базах резюме. К счастью, мы уже знали, что хранение резюме соискателей кадровым отделом возможно только в случаях:

1. получения от соискателя резюме на вакантную должность и приглашения кандидата на собеседование
2. получения согласия субъекта на обработку персональных данных.

В ином случае резюме соискателя компания обязана удалить по достижении цели обработки персональных данных ( подробнее — ч. 4 ст. 21 152-фз). Об этом мы так же упоминали в цикле вебинаров на тему: «HR и персональные данные работников и соискателей. Играем по правилам РКН» Так же об использовании персональных данных из соц.сетей мы рассматривали в статье.

Были и другие запросы проверяющих на предоставление документации: акт, устанавливающий порядок и условия уничтожения персональных данных в компании, документы подтверждающие соблюдение требований конфиденциальность ПДн и др., но моменты, которыми мы поделились с Вами выше, запомнились наиболее нам и клиенту наиболее ярко.

Берегите себя и персональные данные ваших клиентов и соискателей!