Типовые нарушения требований по защите персональных данных и как их избежать

В этой статье мы разберем наиболее частые нарушения, выявляемые при прохождении проверок Роскомнадзора в сфере защиты персональных данных, и расскажем, как их избежать.

Нарушение №1. Неопубликование оператором документа, определяющего Политику в отношении обработки персональных данных.

Комментарий: Все операторы персональных данных обязаны иметь документ, определяющий Политику в отношении обработки персональных данных. Это основной документ,  регламентирующий все отношения, связанные с обработкой персональных данных в организации. По требованиям ст. 18.1 Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ, должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться. Роскомнадзор просматривает сайты компаний на предмет обеспечения неограниченного доступа к Политике, поэтому мы рекомендуем обязательно публиковать её на официальном сайте.

Пример. Политика в отношении обработки персональных данных нашей компании, размещенная на сайте «АльфаДок»: https://alfa-doc.ru/agreementinfo/security/policy/

Для операторов, являющихся государственными и муниципальными органами, законодательно определен срок, в течение которого Политика должна быть опубликована, - это 10 дней с момента ее утверждения (п. 2 Постановления Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»).

Нарушение №2. Отсутствие уведомления об обработке персональных данных. Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. Непредставление сведений об изменении информации.

Комментарий: Все операторы персональных данных обязаны подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор с момента:

• формирования организации;
• начала обработки персональных данных (если организация ранее не обрабатывала ПДн, а теперь начала);
• как только Вы узнали, что необходимо подать уведомление.

Существует ряд условий, в соответствии с которыми Вы можете не подавать Уведомление (ч. 2 ст. 22 152-ФЗ).

Необходимо вовремя актуализировать уведомление и направить в Роскомнадзор информационное письмо с перечнем изменений. К примеру, если в Вашей компании сменился ответственный за организацию обработки персональных данных, появилась новая цель обработки, изменился адрес или местонахождение баз данных, Вам необходимо в течение 10 рабочих дней уведомить Управление Роскомнадзора по Вашему региону о произошедших изменениях.

Нарушение №3. Отсутствие условий соблюдения конфиденциальности персональных данных в договорах с третьими лицами, а также требований к защите обрабатываемых персональных данных.

Комментарий: Если компания передает персональные данные другим организациям, то есть поручает обработку персональных данных (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями.

Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее:

• с какой целью передаются персональные данные другой компании;
• какие действия она будет совершать с ними;
• обязанность компании по обеспечению конфиденциальности и безопасности полученных персональных данных.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. При проверке представители Роскомнадзора обязательно попросят копию договора для ознакомления.

Нарушение №4. Согласие на обработку персональных данных составлено некорректно, не соответствует требованиям ст.9 ФЗ-152 «О персональных данных» либо вовсе отсутствует.

Комментарий: В случаях, предусмотренных федеральным законом, оператор обязан иметь письменное согласие субъекта на обработку его персональных данных. Самые распространенные из них:

• обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
• обработка биометрических персональных данных (обратите внимание, что фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
• поручение обработки персональных данных третьему лицу (иной организации);
• составление общедоступных справочников внутри организации, адресных книг и т п.

Форма письменного согласия должна содержать следующие поля:

• ФИО, адрес, паспортные данные субъекта персональных данных;
• ФИО, адрес, паспортные данные представителя субъекта персональных данных (в случае, если родитель подписывает согласие за ребенка), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
• наименование и адрес оператора;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование и адрес оператора, которому будут переданы персональные данные для обработки по поручению;
• перечень действий, осуществляемых с персональными данными (он не должен включать «распространение»);
• срок, в течение которого действует согласие субъекта персональных данных;
• подпись субъекта персональных данных.

Нарушение №5. Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.

Комментарий: По требованиям законодательства необходимо обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к организации возникнут вопросы.

И обязательно обеспечьте контролируемый доступ в помещения, в которых обрабатываются персональные данные.

Нарушение №6. Невыполнение требований по обучению и ознакомлению сотрудников с порядком обработки, хранения персональных данных и ответственностью за нарушение требований законодательства при обработке персональных данных.

Комментарий: Часто при проверках выясняется, что сотрудники организации не ознакомлены с порядком обработки, хранения персональных данных и ответственностью за нарушение требований закона. Поэтому рекомендуем заранее собрать все необходимые подписи сотрудников, которые работают с персональными данными. Они должны ознакомиться под роспись с Политикой, положением, инструкцией ответственного лица и подписать обязательство о соблюдении конфиденциальности и согласие на обработку своих персональных данных.

Нарушение №7. Обработка избыточных персональных данных субъекта, не соответствующих целям обработки.

Комментарий: Один из основополагающих принципов при обработке персональных данных гласит, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. То есть прежде чем начать собирать и обрабатывать ПДн, необходимо сначала установить, с какой целью, для чего будет вестись обработка ПДн, не превышает ли перечень собираемых ПДн заявленные цели.

Общие рекомендации от экспертов:

• Не выкидывайте ранее разработанные документы по защите персональных данных, так как их могут запросить при проверке
• Ведите журналы и формы документов, необходимые для выполнения законодательства, и вовремя их актуализируйте
• Ведите план внутренних проверок режима обработки и защиты персональных данных, где прописано, с какой частотой проводятся те или иные мероприятия
• Будьте готовы предъявить обезличенные копии документов, содержащих персональные данные (копии личных дел, согласий, анкет и др.)
• Будьте готовы начать работать с персональными данными при представителях Роскомнадзора
• Подготовьте документы по системе видеонаблюдения, если она у вас имеется и снимает посетителей Вашей организации
• Готовьтесь заблаговременно к проверке Роскомнадзора.

И не забывайте, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет.