Типовые нарушения требований по защите персональных данных и как их избежать

В этой статье мы разберем наиболее частые нарушения, выявляемые при прохождении проверок Роскомнадзора в сфере защиты персональных данных, и расскажем, как их избежать.

Нарушение №1. Неопубликование оператором документа, определяющего Политику в отношении обработки персональных данных.

Комментарий: Все операторы персональных данных обязаны иметь документ, определяющий Политику в отношении обработки персональных данных. Это основной документ,  регламентирующий все отношения, связанные с обработкой персональных данных в организации. По требованиям ст. 18.1 (ч. 2) Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ, Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться. Роскомнадзор просматривает сайты компаний на предмет обеспечения неограниченного доступа к Политике, поэтому мы рекомендуем обязательно публиковать её на официальном сайте.

Пример. Политика в отношении обработки персональных данных нашей компании, размещенная на сайте «АльфаДок»: https://alfa-doc.ru/agreementinfo/security/policy/

Для операторов, являющихся государственными и муниципальными органами, законодательно определен срок, в течение которого Политика должна быть опубликована, - это 10 дней с момента ее утверждения (п. 2 Постановления Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»).

Нарушение №2. Отсутствие уведомления об обработке персональных данных. Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. Непредставление сведений об изменении информации.

Комментарий: Все операторы персональных данных обязаны подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор с момента:

• формирования организации;
• начала обработки персональных данных (если организация ранее не обрабатывала персональные данные, а теперь начала);
• как только Вы узнали, что необходимо подать уведомление.

Существует ряд условий, в соответствии с которыми Вы можете не подавать Уведомление (ч. 2 ст. 22 ФЗ-152).

Необходимо вовремя актуализировать уведомление и направить в Роскомнадзор информационное письмо с перечнем изменений. К примеру, если в Вашей компании сменился ответственный за организацию обработки персональных данных, появилась новая цель обработки, изменился адрес или местонахождение баз данных, Вам необходимо в течение 10 рабочих дней уведомить Управление Роскомнадзора по Вашему региону о произошедших изменениях.

Нарушение №3. Отсутствие условий соблюдения конфиденциальности персональных данных в договорах с третьими лицами, а также требований к защите обрабатываемых персональных данных.

Комментарий: Если компания передает персональные данные другим организациям, то есть поручает обработку персональных данных (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями.

Согласно ч.3 ст.6 ФЗ-152 в поручении должно быть прописано следующее:

• с какой целью передаются персональные данные другой компании;
• какие действия она будет совершать с ними;
• обязанность компании по обеспечению конфиденциальности и безопасности полученных персональных данных;
• требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ-152. 

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. При проверке представители Роскомнадзора обязательно попросят копию договора для ознакомления.

Нарушение №4. Согласие на обработку персональных данных составлено некорректно, не соответствует требованиям ст.9 ФЗ-152 «О персональных данных» либо вовсе отсутствует.

Комментарий: В случаях, предусмотренных федеральным законом, оператор обязан иметь письменное согласие субъекта на обработку его персональных данных. Самые распространенные из них:

• обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
• обработка биометрических персональных данных (обратите внимание, что фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
• обработка персональных данных, разрешенных субъектом персональных данных для распространения;
• поручение обработки персональных данных третьему лицу (иной организации).

Форма письменного согласия должна содержать следующие поля:

• ФИО, адрес, паспортные данные субъекта персональных данных;
• ФИО, адрес, паспортные данные представителя субъекта персональных данных (в случае, если родитель подписывает согласие за ребенка), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
• наименование или ФИО и адрес оператора;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или ФИО и адрес оператора, которому будут переданы персональные данные для обработки по поручению;
• перечень действий, осуществляемых с персональными данными (он не должен включать «распространение»);
• срок, в течение которого действует согласие субъекта персональных данных;
• подпись субъекта персональных данных.

Обратите внимание! Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных (ст.10.1, ч.1). Требования к содержанию такого согласия установлены приказом Роскомнадзора от 24.02.2021 N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» и вступают в силу с 01.09.2021.

Нарушение №5. Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.

Комментарий: По требованиям законодательства необходимо обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к организации возникнут вопросы.

И обязательно обеспечьте контролируемый доступ в помещения, в которых обрабатываются персональные данные.

Нарушение №6. Невыполнение требований по обучению и ознакомлению сотрудников с порядком обработки, хранения персональных данных и ответственностью за нарушение требований законодательства при обработке персональных данных.

Комментарий: Часто при проверках выясняется, что сотрудники организации не ознакомлены с порядком обработки, хранения персональных данных и ответственностью за нарушение требований закона. Поэтому рекомендуем заранее собрать все необходимые подписи сотрудников, которые работают с персональными данными. Они должны ознакомиться под роспись с Политикой, положением, инструкцией ответственного лица и подписать обязательство о соблюдении конфиденциальности и согласие на обработку своих персональных данных.

Нарушение №7. Обработка избыточных персональных данных субъекта, не соответствующих целям обработки.

Комментарий: Один из основополагающих принципов при обработке персональных данных гласит, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. То есть прежде чем начать собирать и обрабатывать персональные данные, необходимо сначала установить, с какой целью, для чего будет вестись обработка персональных данных, не превышает ли перечень собираемых персональных данных заявленные цели.

Общие рекомендации от экспертов:

• Не выкидывайте ранее разработанные документы по защите персональных данных, так как их могут запросить при проверке
• Ведите журналы и формы документов, необходимые для выполнения законодательства, и вовремя их актуализируйте
• Ведите план внутренних проверок режима обработки и защиты персональных данных, где прописано, с какой частотой проводятся те или иные мероприятия
• Будьте готовы начать работать с персональными данными при представителях Роскомнадзора
• Подготовьте документы по системе видеонаблюдения, если в Вашей организации внедрена соответствующая система
• Готовьтесь заблаговременно к проверке Роскомнадзора.

И не забывайте, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет.