10 наиболее часто выявляемых нарушений закона «О персональных данных»

Многие организации сегодня уделяют должное внимание обработке и защите персональных данных как своих сотрудников, так и своих клиентов. Однако нередко, вопреки предпринятым усилиям, проверка Роскомнадзора проходит не так гладко, как хотелось бы. Представляем вам ТОП-10 наиболее часто выявляемых нарушений закона «О персональных данных».

Официальная формулировка «Обработка персональных данных в случаях, не предусмотренных Федеральным законом «О персональных данных» обычно вызывает недоумение сотрудников организации, прочитавших данное замечание в акте проверки. Однако, на деле все довольно просто — согласно ч. 1 ст. 6 ФЗ-152 обработка персональных данных допускается только в определенном ряде случаев, наиболее популярными из которых являются:

• наличие согласия субъекта персональных данных;
• исполнение договора, по которому стороной или выгодоприобретателем является субъект персональных данных;
• исполнение требований законодательства РФ.

Как правило, данное нарушение свидетельствует о том, что организация ведет обработку персональных данных без согласия.

Федеральный закон «О персональных данных» определяет ряд случаев, когда для обработки необходимо именно письменное согласие субъекта, таких как трансграничная передача, обработка специальных и биометрических категорий персональных данных и др. Письменное согласие должно соответствовать требованиям, указанным в ч. 4 ст. 9 ФЗ-152.
Данное нарушение означает, что согласие не включает в себя, например, цель обработки персональных данных, реквизиты субъекта или иные обязательные поля.

В современных реалиях многие организации передают или привлекают к обработке персональных данных третьих лиц. Типичными примерами являются:

• пересылка резюме кандидатов в кадровые агентства;
• поручение кадрового и бухгалтерского учета аутсорсинговой компании;
• организация пропускного режима силами ЧОП;
• организация страхования работников (ДМС);
• организация командировок силами сторонних компаний.

Во всех приведенных случаях организации обязательно необходимо получать согласие субъекта на передачу его персональных данных. При этом необходимо помнить, что в тексте согласия должны быть указаны конкретные наименования и адреса третьих лиц, которым становятся доступны персональные данные.

На самом деле, требования ФЗ-152 по хранению персональных данных ограничиваются ч. 5 ст. 18, которая определяет необходимость размещения на территории РФ баз данных, используемых для хранения персональных данных граждан РФ. Однако, подзаконный акт — Постановление Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» — требует:

• определения конкретных мест хранения носителей с персональными данными;
• раздельного хранения персональных данных, обрабатываемых в различных целях;
• принятия мер для сохранности персональных данных и исключения несанкционированного доступа к ним.

Таким образом, многие организации сталкиваются с тем, что персональные данные в электронном виде хранятся правильно и легитимно, однако бумажные анкеты и иные документы хранятся с нарушениями в связи с тем, что они указаны не в ФЗ-152.

Самое простое и понятное для восприятия замечание. Согласно ч. 4 ст. 21 ФЗ-152 оператор в течение 30 дней с момента достижения целей обработки обязан уничтожить персональные данные субъекта. Ярким примером нарушения является хранение в почте сотрудника HR-отдела резюме кандидатов, по каким-либо причинам не подошедших организации.