Similar presentations:
Требования к обеспечению безопасности персональных данных при их обработке в информационных системах. Лекция 2
1.
ДПП ПП «Управление информационной безопасностью бизнеса»Модуль 1. Регламентные документы в сфере информационной безопасности
Лекция 2
Тема: Требования к обеспечению безопасности
персональных данных при их обработке в
информационных системах персональных
данных
проф. Бойченко О.В.
Симферополь, 2023
2.
Вопросы:1. Основные определения и требования, касающиеся обработки
персональных данных;
2. Группы мер по обеспечению безопасности ПДн;
3. Международные нормы по защите персональных данных;
4. Штрафные санкции за невыполнение требований по защите
ПДн в РФ
5. Порядок проведения проверок Роскомнадзором
Литература:
Бойченко О.В. Информационная безопасность : учебное пособие./ Бойченко О.В.,
Журавленко Н.И. – Симферополь, 2016. – 248 с.
Макаренко С. И. Информационная безопасность: учебное пособие. – Ставрополь: СФ
МГГУ им. М. А. Шолохова, 2009. – 372 с.: ил.
Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. –
СПб.: Наука и Техника, 2004. – 384 с.
Хорошко В. А., Чекатков А. А. Методы и средства защиты информации. – М.: Юниор,
2003. – 504 с.
Галатенко В. А. Основы информационной безопасности. – M.: Интернет-университет
информационных технологий - www.INTUIT.ru, 2008. – 208 с.
3.
ВведениеФедеральный Закон №149 «Об информации, информационных технологиях и о
защите
информации» от 27.07.2006 содержит базовые
понятия
и
определения, которые
используются во всех нормативных правовых актах, касающихся защиты информации. Вводит понятия:
категории
информации: общедоступная и ограниченного распространения
типы информации: свободно распространяемая, предоставляемая на основании договора,
подлежащая распространению в соответствии с законодательством, информация ограниченного
доступа/распространения и запрещенная к распространению.
Персональные данные классифицируются как информация ограниченного доступа, в
соответствии с 149-ФЗ (ст.9 п.2) соблюдение конфиденциальности такой информации является
обязательным, государство устанавливает обязательные нормы и правила её обработки.
«Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных»
Подписана в 1981 году, ратифицирована Российской Федерацией в 2001 году. В ней
были заложены международные основы законной обработки персональных данных, применяемые и по сей
день: использование персональных данных только для определенных целей и в пределах определенных
сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их
трансграничной передачи, защита данных, гарантированные права гражданина - обладателя личных
данных. Персональные данные были определены как любая информация об определенном или
поддающемся определению физическом лице.
В конце 2018 года Российская Федерация совместно с другими странами-участницами подписала
«Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных»,
который актуализирует Конвенцию в части
соответствия вызовам текущего времени: защита
биометрических и генетических данных, новые права физических лиц в контексте алгоритмического
принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования
информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных.
4.
1. Основныеопределения и требования, касающиеся обработки персональных
данных.
Государственный орган по защите прав субъектов ПДн - Федеральная служба по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству
цифрового развития, связи и массовых коммуникаций РФ.
Федеральный Закон №152 «О персональных данных» от 27.07.2006 Содержит основные определения
и требования, касающиеся обработки персональных данных. В 152-ФЗ вносились изменения:
261-ФЗ от 25.07.2011 – существенные изменения в базовые постулаты защиты ПДн;
242-ФЗ от 21.07.2014 – запрет первичной обработки ПДн за пределами
территории РФ.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному
или определяемому физическому лицу (субъекту ПДн).
Оператор - государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и
(или)
осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих
обработке, действия (операции), совершаемые с ПДн.
Обработка ПДн - сбор, запись, систематизация, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передача (распространение, предоставление,
доступ, в т.ч. трансграничная), обезличивание, блокирование,
удаление, уничтожение ПДн с
использованием средств автоматизации или без них.
Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПДн) - это информационная
система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а
также информационных технологий и технических средств, позволяющих осуществлять обработку таких
персональных данных с использованием средств автоматизации или без использования таких средств.
5.
Государственные информационные системы (ГосИС / ГИС) определены в 149-ФЗ(ст.13 п.1) как федеральные информационные системы и региональные информационные системы,
созданные на основании соответственно федеральных
законов, законов субъектов Российской
Федерации, на основании правовых актов государственных органов в целях реализации полномочий
государственных органов и обеспечения обмена информацией между этими органами, а также в иных
установленных федеральными законами целях.
Ст. 14 п.8 в 149-ФЗ гласит, что все технические средства и средства защиты информации, применяемые
в ГосИС, должны соответствовать Федеральному Закону №184-ФЗ "О техническом регулировании" от
27.12.2002, где в статье 20 описаны три
допустимые формы подтверждения соответствия:
добровольная сертификация, декларирование соответствия, обязательная сертификация.
Меры по обеспечению безопасности ПДн по 152-ФЗ, ПП-1119 Ст. 19 в 152-ФЗ: операторам следует
обеспечить установленные Постановлением Правительства №1119 от 01.11.2012 («Об утверждении
требований к защите ПДн при их обработке в ИСПДн») уровни защищенности ПДн, под которыми
понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования
этих угроз, т.е. построения модели угроз (далее — МУ) и модели нарушителя, следует опираться на
следующие нормативные правовые акты:
«Базовая модель угроз безопасности персональных данных при их обработке в информационных
системах персональных данных», который был разработан и утвержден ФСТЭК России в 2008 году
Методические рекомендации ФСБ РФ от 2015 года для определения угроз безопасности ПДн,
предназначенные для государственных органов и операторов, использующих СКЗИ и
разрабатывающих соответствующие МУ
Проект документа от 2015 года «Методики определения угроз безопасности информации в
информационных системах» для государственных информационных систем и частных
компаний.
6.
Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые МУ взоне их ответственности. Такие МУ были разработаны:
ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России
№3889-У),
Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности
ПДн, обрабатываемых в типовых ИСПДн отрасли» и
«Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных
ИСПДн отрасли»),
Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС
типового лечебно-профилактического учреждения»).
В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора ИСПД) или на
лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»).
В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует
выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн,
при этом выбор уровня защищенности зависит от:
категории обрабатываемых ПДн (т.е. типа ИСПДн)
категории ПДн
количества субъектов ПДн
типа актуальных угроз.
Категории ПДн могут быть:
специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как
состояние здоровья, национальная/расовая принадлежность,
политические и религиозные
убеждения),
биометрическими (обработка ПДн, характеризующих физиологические и
биологические
особенности),
общедоступными (ПДн получены из общедоступных источников),
иными (не входят ни в одну из вышеприведенных категорий).
7.
Актуальные угрозы могут быть:1-го типа - для ИСПДн актуальны угрозы использования недекларированных возможностей в
системном ПО,
2-го типа - актуальны угрозы использования недекларированных возможностей в прикладном ПО,
3-го типа - вышеприведенные угрозы не актуальны.
Выбор уровня защищенности (далее - УЗ) персональных данных зависит от перечисленных выше
характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также
от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн
обрабатываются (больше или меньше 100000 записей).
Максимальным УЗ является 1-ый, минимальным – 4-ый (Табл. 1)
ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры
безопасности ПДн определяет ФСТЭК России:
Приказ №21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по
обеспечению безопасности ПДн,
Приказ №17 от 11.02.2013 регламентирует требования по защите информации в ГосИС, включая
защиту ПДн в них,
Приказ №378 ФСБ РФ от 10.07.2014, который содержит описание мер защиты
ПДн при
использовании средств криптографической защиты информации (далее — СКЗИ).
Приказ №21 ФСТЭК России от 18.02.2013 Посвящен мерам защиты ПДн для негосударственных ИС и
содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн.
В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать
сертифицированные СЗИ в случае отсутствия закрываемых ими
актуальных угроз.
В п.6 документа устанавливается трехлетний интервал проведения оценки эффективности
реализованных мер.
8.
Табл. 1. Выбор уровня защищенности ПДн9.
Приказ №21 (как и Приказ №17) предлагает одинаковый алгоритм выбора и применения мер дляобеспечения безопасности:
сначала осуществляется выбор базовых мер на основании положений
соответствующего Приказа
далее производится адаптация выбранного базового набора мер, предполагающая исключение
нерелевантных «базовых» мер в зависимости от особенностей информационных систем и
использующихся технологий
затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не
выбранными ранее мерами
осуществляется
дополнение уточненного адаптированного базового набора
мерами
установленными иными применимыми нормативными правовыми
документами.
Приказ №21 в п.10 содержит важное замечание о возможности оператора
применять
компенсирующие меры при невозможности технической реализации или экономической
нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе
новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности
ПДн.
В случае, если оператор использует сертифицированные СЗИ, регулятор в п.12 Приказа предъявляет
требования к классам применяемых СЗИ и к средствам вычислительной техники (далее — СВТ).
Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной
защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей,
операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК
России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный
уровень). СВТ могут быть
классифицированы по семи уровням в
соответствии с
руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия
недекларированных возможностей (НДВ) в ПО СЗИ — существует четыре уровня контроля. Актуальный
список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств
защиты информации на сайте ФСТЭК России.
10.
2. Группы мер по обеспечению безопасности ПДн,В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны
быть применены в зависимости от требуемого уровня
защищенности ПДн:
Идентификация и аутентификация субъектов доступа и объектов доступа
Управление доступом субъектов доступа к объектам доступа
Ограничение программной среды
Защита машинных носителей ПДн
Регистрация событий безопасности
Антивирусная защита
Обнаружение вторжений
Контроль (анализ) защищенности ПДн
Обеспечение целостности ИС и ПДн
Обеспечение доступности ПДн
Защита среды виртуализации
Защита технических средств
Защита ИС, ее средств, систем связи и передачи данных
Выявление инцидентов и реагирование на них
Управление конфигурацией ИС и системы защиты ПДн.
Приказ №17 ФСТЭК России от 11.02.2013
Устанавливает
требования
к обеспечению
безопасности
информации
ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует
руководствоваться и ПП-1119.
Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний
аттестат соответствия требованиям по защите информации.
11.
Данный документ предполагает выполнение операторами следующих мероприятийдля обеспечения защиты информации (далее — ЗИ):
формирование требований к ЗИ
разработка, внедрение и аттестация системы ЗИ ИС
обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации.
Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает
использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России.
Для ГосИС устанавливается класс (К) защищенности (от максимального 1-го до
минимального 3-го), который зависит от:
уровня значимости (УЗ) обрабатываемой информации
масштаба системы
где уровень значимости зависит от
-
степени возможного ущерба свойствам
безопасности (конфиденциальность,
целостность,
доступность) обрабатываемой в ГосИС информации
масштаб системы может быть федеральным, региональным или объектовым.
Обеспечение ЗИ:
в ГосИС 1-го класса защищенности должна быть обеспечена защита от действий
нарушителей с высоким потенциалом
в ГосИС 2-го класса — от нарушителей с потенциалом не ниже усиленного
в ГосИС 3-го класса — от нарушителей с потенциалом не ниже базового.
Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные
СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля
отсутствия НДВ, в зависимости от класса ГосИС.
12.
В п.27 проводится связь между классом защищенности ГосИС и уровнямизащищенности ПДн, обрабатываемыми в ней:
выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4
уровни защищенности ПДн (УЗ ПДн)
выполнение требований мер ЗИ для ГосИС 2-го класса обеспечивают 2, 3 и 4 УЗ ПДн
выполнение требований мер ЗИ для ГосИС 3-го класса обеспечивают 3 и 4 УЗ
ПДн.
13.
Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа№21, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией –
это выполняется уже после построения системы защиты, на этапе
эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты
информации и контролем за обеспечением уровня защищенности информации в ГосИС.
Кроме Приказа №17, при реализации соответствующих мер ЗИ можно также руководствоваться и
методическим документом ФСТЭК России «Меры защиты информации в государственных
информационных системах», в котором более детально раскрываются состав и содержание всех мер.
Приказ №378 ФСБ РФ от 10.07.2014
Устанавливает нормы по применению одного из шести классов СКЗИ при защите ПДн:
КС1 (минимальный)
КС2
КС3
КВ1
КВ2
КА1 (максимальный).
Класс СКЗИ выбирается в зависимости от требуемого уровня защищенности ПДн и от типа актуальных
угроз. Несмотря на то, что классы СКЗИ нейтрализуют угрозы, источником которых является нарушитель
определенного типа с тем или иным уровнем потенциала (типов нарушителей всего 6, от Н1 до Н6, они
определяются в модели нарушителя), данный Приказ привязывает класс СКЗИ именно к уровню
защищенности ПДн, а не к возможностям злоумышленников.
Кроме описания необходимых классов СКЗИ, указанный документ содержит
административные
требования к оператору, такие как организация режима доступа в помещения (физическая безопасность
— установка замков, решеток), обеспечение сохранности носителей ПДн, утверждение перечня лиц,
которые имеют доступ к ПДн.
14.
3. Международные нормы по защите персональных данныхВ Европейском Союзе действуют нормы GDPR (General Data Protection Regulation, Общий
регламент по защите персональных данных) – принят в апреле 2016 года, вступил в силу 25
мая 2018 года.
Предшественник GDPR в Европейском Союзе - Директива Европейского Парламента и Совета
Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при
обработке персональных данных и о свободном обращении таких данных». После принятия
GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за
их неисполнение существенно возросли.
Под персональными данными в рамках GDPR понимается любая информация, относящаяся к
идентифицированному или идентифицируемому лицу (субъекту персональных данных). Под
идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо
или косвенно, в частности с использованием
таких идентификаторов, как имя,
идентификационный номер, данные о местоположении, онлайн-идентификатор или при
помощи одного или нескольких факторов, специфичных для физического, физиологического,
генетического, умственного, экономического, культурного или социального статуса этого лица.
Таким образом, под определение ПДн подпадают не только привычные нам характеристики, но
и IP-адрес, установленные пользователю cookie-идентификаторы, данные о геолокации
пользователя и иные технические атрибуты.
Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн
граждан ЕС и иных граждан, находящихся на территории ЕС.
При этом оператор может не иметь представительства на территории ЕС, а его
автоматизированные системы могут также находиться за пределами ЕС.
15.
Примеры, касающиеся применения норм GDPR к операторам-компаниям из РФ:российский банк должен соответствовать нормам GDPR при обработке данных своих
клиентов-граждан РФ при их нахождении на территории ЕС;
онлайн-магазин с регистрацией в РФ, предоставляющий услуги/товары в том числе
гражданам ЕС, использующий cookie-идентификаторы и/или аналитику
поведения
пользователей на своем сайте с интерфейсом на языках ЕС, также подпадает под
действие норм GDPR;
дочерняя структура российской компании, ведущая деятельность на территории ЕС.
Базовые принципы GDPR:
законность, справедливость и прозрачность обработки — соответствие обработки ПДн
законодательству, выработка и следование публично доступной политике по работе с
персональными данными (т.н. privacy policy)
ограничение целей обработки — обработка ПДн осуществляется для определенных,
четко выраженных целей и не дольше, чем того требует достижение указанных целей
минимизация данных — обработка ровно такого объема ПДн, который требуется для
достижения целей обработки
точность — обрабатываемые ПДн точны и верны, в противном случае субъект может
потребовать удалить или откорректировать неверные ПДн
ограничение на хранение — после достижения цели обработки данные удаляются
целостность и конфиденциальность — обработка ПДн ведется безопасно, данные
защищаются от несанкционированного доступа, случайного или намеренного удаления,
утери, повреждения, с применением соответствующих технических и организационных
мер.
16.
Правила обработки ПДн по GDPR:субъекты ПДн обладают правом на получение доступа к собранным о них данным, правом на
корректировку и удаление неверных ПДн в системах оператора, правом на забвение, т.е. на
удаление ПДн по их просьбе, правом на
перенос данных из одной системы в другую в
машиночитаемом виде, правом на отказ от обработки ПДн системами искусственного интеллекта,
системами профилирования и автоматизированными системами принятия юридически значимых
решений (при этом при таком отказе оператор не вправе ущемлять иные законные права субъекта
при обработке его ПДн)
оператор должен производить оценку рисков нарушения прав и свобод субъектов
оператор должен вести актуальный реестр бизнес-процессов обработки ПДн, в котором отражаются
цели и основания обработки ПДн, категории обрабатываемых ПДн, сроки хранения и применяемые
меры по защите ПДн
при проектировании автоматизированных систем обработки ПДн операторы
должны
руководствоваться принципами встроенной конфиденциальности (privacy by design, т.е.
внедрять меры защиты ПДн на всех этапах проектирования систем и жизненного цикла
обработки ПДн) и конфиденциальности по умолчанию (privacy by default, т.е. обрабатываемый
объем ПДн должен быть минимальным для достижения чётко поставленных целей их обработки)
согласие на обработку ПДн должно быть дано субъектом ПДн в виде активных осознанных действий
— оператор не имеет права считать согласие субъекта данным по умолчанию, как не может и не
давать пользователю выбора или не предоставлять ему возможность отозвать согласие без
ущемления интересов
оператор должен назначить ответственного за защиту персональных данных (Data Privacy Officer) в
случаях, когда:
1. обработка ПДн ведется публичной компанией
2. компания ведет систематическое профилирование большого количества субъектов ПДн
3. компания
обрабатывает
большой
объем
данных
о
судимостях/нарушениях закона или большой объем специальных категорий ПДн (сведения о
расовой, национальной принадлежности, политических, религиозных, философских
убеждениях, биометрических и генетических данных, данных о состоянии здоровья)
17.
- оператор обязан в течение 72-х часов уведомить локального представителя регулятора(supervisory authority, который подчиняется Data Protection Authority — регулятору по
вопросам защиты данных) об обнаруженных или сообщенных фактах нарушения GDPRнорм обработки ПДн, в т.ч. утечках ПДн, задокументировав выявленные факты,
прогнозируемый ущерб субъектам, принятые меры для смягчения последствий.
4. Штрафные санкции за невыполнение требований по защите ПДн в РФ
Штрафы, взимаемые за нарушение российского законодательства о защите персональных
данных, регламентируются ст. 13.11 КоАП РФ, в которой предусматриваются семь составов
правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 13.11 КоАП РФ
предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных
законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч
рублей. Часть 2 ст. 13.11 КоАП РФ предусматривает наказание за обработку ПДн без
согласия субъекта либо за нарушения в процессе получения такого согласия, в размере до
75 тысяч рублей.
Невыполнение норм о локализации баз ПДн на территории РФ является нарушением ст.1
242-ФЗ и ст.15.5 149-ФЗ, что грозит блокированием доступа к веб-ресурсу компаниинарушителя на основании вынесенного судебного решения.
Федеральный закон от 02.12.2019 № 405-ФЗ «О внесении изменений в отдельные
законодательные акты Российской Федерации»: ст. 13.11 КоАП РФ дополнена положениями
о штрафах за невыполнение норм 242-ФЗ, т.е. за отказ от локализации баз ПДн россиян на
территории РФ (для юридических лиц - от 1 до 6 миллионов рублей), а также за повторные
нарушения требования по локализации (от 6 до 18 миллионов рублей).
18.
Штрафные санкции за невыполнение требований по защите ПДн в ЕвросоюзеШтрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае
незначительных нарушений составляют до 10 миллионов евро или 2% от мирового годового
оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового
годового оборота.
При этом за год действия требований GDPR (2018-2019 гг.) уже подведена неутешительная
статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма
штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма
штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области
защиты ПДн (за сбор ПДн без согласия субъекта).
За 2020 г.: гостиничная сеть Marriott оштрафована на 20 миллионов евро за утечку данных о
постояльцах (31 млн. записей о гражданах ЕС), сеть магазинов H&M - на 35
миллионов евро за нарушение прав своих сотрудников (сбор чувствительной личной
информации о болезнях, круге общения, интересах и т.д.), авиакомпания British Airways
– на 22 миллионов евро за утечку данных о пользователях веб-сайта (вредоносный код на сайте
авиакомпании, перенаправлявший пользователей на вредоносные ресурсы).
19.
5. Порядок проведения проверок РоскомнадзоромРоскомнадзор, отечественный уполномоченный государственный орган по защите прав
субъектов ПДн, имеет право проводить проверки юридических лиц и индивидуальных
предпринимателей на предмет выполнения ими положений Законодательства РФ в области
защиты ПДн.
Проверки проводятся как Центральным Аппаратом (план проверок и отчеты о деятельности
публикуются на официальном сайте), так и Управлениями по Федеральным округам
(например, на сайте Управления Роскомнадзора по ЦФО размещены планы деятельности и
отчеты на последние 10 лет).
Проверки Роскомнадзора регламентируются Постановлением Правительства РФ №146 от
13.02.2019 «Об утверждении Правил организации и осуществления
государственного
контроля и надзора за обработкой персональных данных».
В соответствии с этим Постановлением проверки бывают как плановыми (практика
показала, что регулятор проверяет в течение года группы компаний, объединенных по общему
признаку, например, по сфере деятельности), так и внеплановыми: они могут проводится по
поручению Президента, Правительства РФ или по решению Руководителя Роскомнадзора в
рамках проведения прокурорской проверки, в случае неисполнения предыдущего предписания
регулятора, а также в случае поступления жалоб от субъектов ПДн.
Внеплановые проверки могут быть только выездными, а плановые могут быть как
документарными, так и выездными.
Регулятор при проверке изучает внутренние нормативные документы по обработке ПДн,
осматривает места хранения ПДн, требует наглядно продемонстрировать обработку ПДн в
информационных системах.
Как правило, в случае выявления недостатков регулятор выносит предписание на устранение
нарушений в заданные сроки, а штрафует за отсутствие правовых основ для обработки ПДн
(например, за отсутствие задокументированных фактов дачи согласия субъектами ПДн), за
несоответствие целей обработки и объема ПДн, за отсутствие необходимых уведомлений и
политик на сайте оператора при условии сбора ПДн на нем.