Типовые нарушения требований по защите персональных данных и как их избежать
В этой статье мы разберем наиболее частые нарушения, выявляемые при прохождении проверок Роскомнадзора в сфере защиты персональных данных, и расскажем, как их избежать.
Нарушение №1. Неопубликование оператором документа, определяющего Политику в отношении обработки персональных данных
Комментарий: Все операторы персональных данных обязаны иметь документ, определяющий Политику в отношении обработки персональных данных. Это основной документ, регламентирующий все отношения, связанные с обработкой персональных данных в организации. По требованиям ст. 18.1 (ч. 2) Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ, Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться. Роскомнадзор просматривает сайты компаний на предмет обеспечения неограниченного доступа к Политике, поэтому мы рекомендуем обязательно публиковать её на официальном сайте.
Пример. Политика в отношении обработки персональных данных нашей компании, размещенная на сайте «АльфаДок»: https://alfa-doc.ru/agreementinfo/security/policy/
Для операторов, являющихся государственными и муниципальными органами, законодательно определен срок, в течение которого Политика должна быть опубликована, - это 10 дней с момента ее утверждения (п. 2 Постановления Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»).
Нарушение №2. Отсутствие уведомления об обработке персональных данных. Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. Непредставление сведений об изменении информации
Комментарий: Все операторы персональных данных обязаны подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор с момента:
-
формирования организации;
-
начала обработки персональных данных (если организация ранее не обрабатывала персональные данные, а теперь начала);
-
как только Вы узнали, что необходимо подать уведомление.
Существует ряд условий, в соответствии с которыми Вы можете не подавать Уведомление (ч. 2 ст. 22 ФЗ-152).
Необходимо вовремя актуализировать уведомление и направить в Роскомнадзор информационное письмо с перечнем изменений. К примеру, если в Вашей компании сменился ответственный за организацию обработки персональных данных, появилась новая цель обработки, изменился адрес или местонахождение баз данных, Вам необходимо в течение 10 рабочих дней уведомить Управление Роскомнадзора по Вашему региону о произошедших изменениях.
Нарушение №3. Отсутствие условий соблюдения конфиденциальности персональных данных в договорах с третьими лицами, а также требований к защите обрабатываемых персональных данных
Комментарий: Если компания передает персональные данные другим организациям, то есть поручает обработку персональных данных (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями.
Согласно ч.3 ст.6 ФЗ-152 в поручении должно быть прописано следующее:
-
с какой целью передаются персональные данные другой компании;
-
какие действия она будет совершать с ними;
-
обязанность компании по обеспечению конфиденциальности и безопасности полученных персональных данных;
-
требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ-152.
В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. При проверке представители Роскомнадзора обязательно попросят копию договора для ознакомления.
Нарушение №4. Согласие на обработку персональных данных составлено некорректно, не соответствует требованиям ст.9 ФЗ-152 «О персональных данных» либо вовсе отсутствует
Комментарий: В случаях, предусмотренных федеральным законом, оператор обязан иметь письменное согласие субъекта на обработку его персональных данных. Самые распространенные из них:
-
обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
-
обработка биометрических персональных данных (обратите внимание, что фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
-
обработка персональных данных, разрешенных субъектом персональных данных для распространения;
-
поручение обработки персональных данных третьему лицу (иной организации).
Форма письменного согласия должна содержать следующие поля:
-
ФИО, адрес, паспортные данные субъекта персональных данных;
-
ФИО, адрес, паспортные данные представителя субъекта персональных данных (в случае, если родитель подписывает согласие за ребенка), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
-
наименование или ФИО и адрес оператора;
-
цель обработки персональных данных;
-
перечень персональных данных, на обработку которых дается согласие;
-
наименование или ФИО и адрес оператора, которому будут переданы персональные данные для обработки по поручению;
-
перечень действий, осуществляемых с персональными данными (он не должен включать «распространение»);
-
срок, в течение которого действует согласие субъекта персональных данных;
-
подпись субъекта персональных данных.
Нарушение №5. Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ
Комментарий: По требованиям законодательства необходимо обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к организации возникнут вопросы.
И обязательно обеспечьте контролируемый доступ в помещения, в которых обрабатываются персональные данные.
Нарушение №6. Невыполнение требований по обучению и ознакомлению сотрудников с порядком обработки, хранения персональных данных и ответственностью за нарушение требований законодательства при обработке персональных данных
Комментарий: Часто при проверках выясняется, что сотрудники организации не ознакомлены с порядком обработки, хранения персональных данных и ответственностью за нарушение требований закона. Поэтому рекомендуем заранее собрать все необходимые подписи сотрудников, которые работают с персональными данными. Они должны ознакомиться под роспись с Политикой, положением, инструкцией ответственного лица и подписать обязательство о соблюдении конфиденциальности и согласие на обработку своих персональных данных.
Нарушение №7. Обработка избыточных персональных данных субъекта, не соответствующих целям обработки
Комментарий: Один из основополагающих принципов при обработке персональных данных гласит, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. То есть прежде чем начать собирать и обрабатывать персональные данные, необходимо сначала установить, с какой целью, для чего будет вестись обработка персональных данных, не превышает ли перечень собираемых персональных данных заявленные цели.
Общие рекомендации от экспертов:
-
Не выкидывайте ранее разработанные документы по защите персональных данных, так как их могут запросить при проверке;
-
Ведите журналы и формы документов, необходимые для выполнения законодательства, и вовремя их актуализируйте;
-
Ведите план внутренних проверок режима обработки и защиты персональных данных, где прописано, с какой частотой проводятся те или иные мероприятия;
-
Будьте готовы начать работать с персональными данными при представителях Роскомнадзора;
-
Подготовьте документы по системе видеонаблюдения, если в Вашей организации внедрена соответствующая система;
-
Готовьтесь заблаговременно к проверке Роскомнадзора.
И не забывайте, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет.