8 декабря, 2014, BIS Journal №4(15)/2014

Путь конструктивного диалога


Мильшин Олег

руководитель проекта (АБ «ГПБ-ипотека» (ОАО))

Практический опыт прохождения банком проверки соблюдения требований к обработке персональных данных

В настоящее время в сети интернет размещено достаточно много различного материала о теоретических и практических аспектах защиты персональных данных. Однако описания реального опыта прохождения проверок от непосредственных участников событий найти сложно, или они больше похожи на рекламу какой-либо организации. В данной статье описываются некоторые впечатления и практический опыт подготовки и прохождения проверок Роскомнадзора в различных регионах России, который, возможно, будет интересен и полезен читателям.

 

ОПТИМАЛЬНЫЙ ПОДХОД К ЗАЩИТЕ

В план проверок Роскомнадзора на очередной год попали 4 региональных оператора нашего банка, имеющих статус отдельных юридических лиц. Информацию об этом узнали под Новый год, из сводного плана проверок с сайта прокуратуры. Речь шла о плановых выездных проверках. И хотя деятельность наших региональных операторов в большей степени стандартизирована, различий и нюансов хватает.

На момент проверок в банке уже проводилась работа по организации защиты персональных данных региональными операторами. Чтобы соответствовать требованиям закона, у экспертной организации заказали разработку универсального проекта для региональных операторов. Суть универсального проекта заключалась в том, что первоначально разрабатываются единые документы и мероприятия. Затем, учитывая особенности каждого регионального оператора, собственными силами адаптируются на местах. Такой подход позволил заметно сократить итоговые затраты. Соответственно, ко времени проведения проверки в каждом региональном операторе был готов комплект документации, и были проведены запланированные мероприятия.

Перед проверками была согласована позиция, которая могла корректироваться в процессе проверки. Изначально мы её строили на следующих постулатах:

  • организация серьезно относится к вопросу защиты персональных данных и выполнила все основные мероприятия по их защите. Так как некоторые положения закона допускают неоднозначную трактовку, возможны некоторые разночтения, и помощь Роскомнадзора как экспертов в защите персональных данных будет полезна;
  • в организации осознают, что цель сотрудников Роскомнадзора – выполнить свою работу и показать результаты этой работы;
  • таким образом, организация настроена на режим конструктивного диалога, готова совместно с проверяющими признать и исправить выявленные недостатки. Но в случае необходимости представитель нашей организации на законных основаниях готов также отстаивать свои позиции в суде.

ПОРЯДОК ПРОВЕДЕНИЯ ПРОВЕРКИ

Проверка начинается с того, что Роскомнадзор официально уведомляет организацию. В уведомлении указывается время и длительность проверки, состав проверяющих, а также перечень документов, которые требуется представить в Роскомнадзор. Таким образом, даже если проверка стала для вас неожиданностью, то вам дают время для подготовки и обозначают минимальные требования, которые проверяющие Роскомнадзора хотели бы видеть. По факту, уведомление могут вручить как за несколько недель, так и за пару дней до начала проверки, всё зависит от организованности территориального управления Роскомнадзора.

Списки документов по составу немного отличаются, но основная часть, которая строго прописана по закону, одинаковая. Сроки проверки также могут различаться от одной до нескольких недель. Но это не значит, что сотрудники Роскомнадзора будут на протяжении всей проверки заседать в офисе организации. Только на одной из проверок сотрудники Роскомнадзора значительное время находились непосредственно в офисе, изучали документы и задавали разные вопросы.

В остальных случаях работа строилась по следующему сценарию: проверяющие приходили в офис, задавали вопросы (устно или в официальном запросе), давали время на ответы и обоснование своей позиции, затем приходили получить ответы, забрать подготовленные документы и задать новые вопросы. Возможно также, что проверяющие сотрудники Роскомнадзора ряд тематических вопросов согласовывали внутри своей организации. Таким образом, проверки проходили в несколько заходов.

До начала проверки от организации назначается ответственный сотрудник, который будет вести непосредственный диалог с представителями Роскомнадзора. Как правило, это сотрудник службы безопасности либо юрист. Основная функция ответственного сотрудника – взаимодействие с представителями Роскомнадзора.

Такой подход достаточно удобен – не обязательно сходу отвечать на все вопросы и претензии, можно взять время для подготовки и обоснования своей позиции. С другой стороны, если есть возможность сходу снять вопрос, то лучше это сделать сразу. Поэтому желательно, чтобы ответственный сотрудник достаточно свободно ориентировался в документах и в мероприятиях, которые проведены в организации, а также в вопросах защиты персональных данных. Отвечая на вопросы, желательно предоставлять только запрашиваемую информацию в необходимом по требованиям объёме, чтобы не провоцировать дополнительных вопросов.

ПЕРСОНАЛЬНАЯ «САМОЗАЩИТА»

Большая часть вопросов по ходу проверок касалась защиты персональных данных собственных сотрудников. Видимо, это связано с тем, что законодательство в этом вопросе более чётко сформулировано и понятно. Во всех случаях проверяли наличие согласия сотрудников на обработку их персональных данных, соглашение о конфиденциальности, должностные инструкции.

Во время проверки сотрудники Роскомнадзора в рамках своих полномочий просили показать им на практике, как защищаются персональные данные. Проверяли места хранения личных дел сотрудников, убедились, что дела уволенных сотрудников хранятся отдельно от действующих, а потом подробно посмотрели анкеты. Проверили, все ли данные хранятся в запираемых сейфах, шкафах, помещениях. В процессе возникали мелкие замечания, которые устранялись без споров и вопросов прямо на местах. Например, в копиях свидетельств о рождении просили зачеркнуть графу «национальность» или просили уничтожить фото сотрудника из личного дела.

На всех проверках сотрудники Роскомнадзора хотели увидеть шредер. Также интересовал процесс входа-выхода из помещений офиса, но так как все офисы арендуемые, а вход охраняется сторонней организацией, вопросы снимались. В обязательном порядке проверяли, имеется ли уведомление Роскомнадзора об операторе персональных данных. Роскомнадзор по умолчанию считает все организации операторами персональных данных, так как в любой организации есть сотрудники, а у них, естественно, есть персональные данные. Даже если не подавать уведомление об обработке персональных данных, это не спасёт от попадания в реестр проверок. Если ко времени проверки уведомление так и не было направлено, то проверяющие Роскомнадзора просят его направить.

В ряде случаев проверяющие просили показать программы, в которых ведётся обработка персональных данных. Представители региональных операторов предоставляли распечатанные скриншоты из программ с зачёркнутыми персональными данными – такой вариант всех устраивал (учитывая соглашение о конфиденциальности). Основная масса вопросов была по проведённым мероприятиям и порядкам взаимодействия с контрагентами (банками, страховыми и пр.) и сотрудниками. По контрагентам, в основном, просили показать действующие договоры и соглашения о конфиденциальности. По одним и тем же документам в разных регионах могут быть разные замечания. Это можно объяснить как определённой спецификой работы каждого регионального оператора, так и различным уровнем подготовки специалистов Роскомнадзора в разных регионах.

СИЛА ССЫЛОК И ЛОГИКИ

Так как в вопросах защиты персональных данных достаточно много моментов, которые трактуются неоднозначно, все ответы представители региональных операторов старались подкреплять ссылками на законы или на логику разработанных документов и мероприятий. В большинстве случаев взвешенная и обоснованная позиция, особенно подкреплённая документами, Роскомнадзор устраивала. Здесь ещё необходимо отметить, что запросы, которые поступают от проверяющих, отражаются в итоговом акте, и проверяющие положительно относятся к подкреплению ответа ссылкой на документ.

Только в одном случае со стороны проверяющих была неадекватная, на наш взгляд, реакция по вопросу о согласиях на обработку персональных данных: они требовали собрать согласия на обработку персональных данных у всех клиентов из архива. Так как архив у региональных операторов был оформлен в соответствии с предъявляемыми к нему требованиями, а позиция была подкреплена положениями закона, юрист дал понять, что мы будем жёстко ее отстаивать, вплоть до суда. На этом конфликт был исчерпан.

Все замечания, полученные региональными операторами, были незначительными и устранялись практически сразу без возражений, даже если позиция Роскомнадзора была в некоторых случаях спорная. Если же вы не успеваете устранить замечания Роскомнадзора во время проверки, ничего страшного. В этом случае Роскомнадзор даёт время и, по окончании срока, проверяет только устранённые замечания.

В заключении можно сказать, что выбранная нами линия поведения себя оправдала. По итогам проверок 4-х наших региональных операторов были получены акты о том, что нарушений не было выявлено, либо обнаружились незначительные нарушения, которые были устранены в ходе проверки.

Можно и, в случае необходимости, нужно отстаивать свою позицию, особенно если она подтверждена качественными нормативными документами и проведёнными мероприятиями. Но если по какой-то причине в этой области имеются проблемы, лучше искать приемлемое для всех решение в процессе конструктивного диалога.

 

Смотрите также

Подпишись на новости!
Подписаться