Типовые нарушения требований по защите персональных данных и как их избежать

В этой статье мы разберем наиболее частые нарушения, выявляемые при прохождении проверок Роскомнадзора в сфере защиты персональных данных, и расскажем, как их избежать.

Нарушение №1. Неопубликование оператором документа, определяющего Политику в отношении обработки персональных данных

Комментарий: Все операторы персональных данных обязаны иметь документ, определяющий Политику в отношении обработки персональных данных. Это основной документ,  регламентирующий все отношения, связанные с обработкой персональных данных в организации. По требованиям ст. 18.1 (ч. 2) Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ, Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться. Роскомнадзор просматривает сайты компаний на предмет обеспечения неограниченного доступа к Политике, поэтому мы рекомендуем обязательно публиковать её на официальном сайте.

Пример. Политика в отношении обработки персональных данных нашей компании, размещенная на сайте «АльфаДок»: https://alfa-doc.ru/agreementinfo/security/policy/

Для операторов, являющихся государственными и муниципальными органами, законодательно определен срок, в течение которого Политика должна быть опубликована, - это 10 дней с момента ее утверждения (п. 2 Постановления Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»).

Нарушение №2. Отсутствие уведомления об обработке персональных данных. Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. Непредставление сведений об изменении информации

Комментарий: Все операторы персональных данных обязаны подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор с момента:

• формирования организации;

• начала обработки персональных данных (если организация ранее не обрабатывала персональные данные, а теперь начала);

• как только Вы узнали, что необходимо подать уведомление.

Существует ряд условий, в соответствии с которыми Вы можете не подавать Уведомление (ч. 2 ст. 22 ФЗ-152).

Необходимо вовремя актуализировать уведомление и направить в Роскомнадзор информационное письмо с перечнем изменений. К примеру, если в Вашей компании сменился ответственный за организацию обработки персональных данных, появилась новая цель обработки, изменился адрес или местонахождение баз данных, Вам необходимо в течение 10 рабочих дней уведомить Управление Роскомнадзора по Вашему региону о произошедших изменениях.

Нарушение №3. Отсутствие условий соблюдения конфиденциальности персональных данных в договорах с третьими лицами, а также требований к защите обрабатываемых персональных данных

Комментарий: Если компания передает персональные данные другим организациям, то есть поручает обработку персональных данных (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями.

Согласно ч.3 ст.6 ФЗ-152 в поручении должно быть прописано следующее:

• с какой целью передаются персональные данные другой компании;

• какие действия она будет совершать с ними;

• обязанность компании по обеспечению конфиденциальности и безопасности полученных персональных данных;

• требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ-152. 

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. При проверке представители Роскомнадзора обязательно попросят копию договора для ознакомления.

Нарушение №4. Согласие на обработку персональных данных составлено некорректно, не соответствует требованиям ст.9 ФЗ-152 «О персональных данных» либо вовсе отсутствует

Комментарий: В случаях, предусмотренных федеральным законом, оператор обязан иметь письменное согласие субъекта на обработку его персональных данных. Самые распространенные из них:

• обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

• обработка биометрических персональных данных (обратите внимание, что фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);

• обработка персональных данных, разрешенных субъектом персональных данных для распространения;

• поручение обработки персональных данных третьему лицу (иной организации).

Форма письменного согласия должна содержать следующие поля:

• ФИО, адрес, паспортные данные субъекта персональных данных;

• ФИО, адрес, паспортные данные представителя субъекта персональных данных (в случае, если родитель подписывает согласие за ребенка), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

• наименование или ФИО и адрес оператора;

• цель обработки персональных данных;

• перечень персональных данных, на обработку которых дается согласие;

• наименование или ФИО и адрес оператора, которому будут переданы персональные данные для обработки по поручению;

• перечень действий, осуществляемых с персональными данными (он не должен включать «распространение»);

• срок, в течение которого действует согласие субъекта персональных данных;

• подпись субъекта персональных данных.

Нарушение №5. Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ

Комментарий: По требованиям законодательства необходимо обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к организации возникнут вопросы.

И обязательно обеспечьте контролируемый доступ в помещения, в которых обрабатываются персональные данные.

Нарушение №6. Невыполнение требований по обучению и ознакомлению сотрудников с порядком обработки, хранения персональных данных и ответственностью за нарушение требований законодательства при обработке персональных данных

Комментарий: Часто при проверках выясняется, что сотрудники организации не ознакомлены с порядком обработки, хранения персональных данных и ответственностью за нарушение требований закона. Поэтому рекомендуем заранее собрать все необходимые подписи сотрудников, которые работают с персональными данными. Они должны ознакомиться под роспись с Политикой, положением, инструкцией ответственного лица и подписать обязательство о соблюдении конфиденциальности и согласие на обработку своих персональных данных.

Нарушение №7. Обработка избыточных персональных данных субъекта, не соответствующих целям обработки

Комментарий: Один из основополагающих принципов при обработке персональных данных гласит, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. То есть прежде чем начать собирать и обрабатывать персональные данные, необходимо сначала установить, с какой целью, для чего будет вестись обработка персональных данных, не превышает ли перечень собираемых персональных данных заявленные цели.