10 мая 2017
10 наиболее часто выявляемых нарушений закона «О персональных данных»
Часть 2
В прошлой статье мы начали рассказывать о наиболее часто выявляемых несоответствиях закону «О персональных данных» и осветили пять из них. В данной статье мы завершаем описание ТОП-10 нарушений. Надеемся, что эта информация поможет Вам избежать распространенных ошибок и связанных с ними последствий.
Итак, рассмотрим еще 5 «популярных» нарушений.
Итак, рассмотрим еще 5 «популярных» нарушений.
6. Осуществление трансграничной передачи персональных данных без согласия субъекта
С одной стороны, ФЗ-152 прямо указывает на то, что согласие субъекта должно быть получено в письменной форме только в случае передачи персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов. Но, также существует обязанность соблюдать конфиденциальность персональных данных, т.е. не раскрывать их третьим лицам без согласия.
Поэтому согласие на трансграничную передачу данных должно быть получено в любом случае. А в ситуации с «неадекватными» странами, такое согласие должно быть в письменной форме и содержать все необходимые реквизиты в соответствии с ч. 4 ст. 9 ФЗ-152 (паспортные данные, адрес субъекта).
Ярким примером подобного нарушения является использование облачных корпоративных сервисов, таких как MS Azure Active Directory, Office 365 Exchange Online и прочих, или хранение резервных копий, например, на Google Drive.
Поэтому согласие на трансграничную передачу данных должно быть получено в любом случае. А в ситуации с «неадекватными» странами, такое согласие должно быть в письменной форме и содержать все необходимые реквизиты в соответствии с ч. 4 ст. 9 ФЗ-152 (паспортные данные, адрес субъекта).
Ярким примером подобного нарушения является использование облачных корпоративных сервисов, таких как MS Azure Active Directory, Office 365 Exchange Online и прочих, или хранение резервных копий, например, на Google Drive.
7. Отсутствие локальных нормативных актов, определяющих порядок обработки и защиты персональных данных
Очевидное по своей формулировке нарушение, но не все так просто. Конкретного перечня документов, которые должны быть приняты у оператора персональных данных, не существует. Поэтому каждый оператор изобретает такой комплект документов, который нужен именно ему.
По ФЗ-152 есть требование опубликовать документ, определяющий политику оператора в отношении обработки персональных данных. Как правило, этот документ так и называют.
По ТК РФ также есть требование разработать Положение о защите персональных данных работников.
Как минимум эти два документа должны быть в каждой компании, а также форма согласия на обработку персональных данных, перечень сотрудников, допущенных к обработке и иные вспомогательные документы.
По ФЗ-152 есть требование опубликовать документ, определяющий политику оператора в отношении обработки персональных данных. Как правило, этот документ так и называют.
По ТК РФ также есть требование разработать Положение о защите персональных данных работников.
Как минимум эти два документа должны быть в каждой компании, а также форма согласия на обработку персональных данных, перечень сотрудников, допущенных к обработке и иные вспомогательные документы.
8. Несоответствие обрабатываемых персональных данных заявленным целям обработки
Очень часто при поиске потенциальных работников всем рассматриваемым кандидатам предлагают заполнить анкету. В такой анкете, как правило, просят указать слишком много персональных данных. Например, паспортные данные, адрес регистрации, ИНН, сведения о составе семьи, судимости и пр. В большинстве случаев – такие данные не являются необходимыми для принятия решения о приеме на работу.
Если же HR-специалист хранит все заполненные анкеты даже по тем кандидатам, которым было отказано, то это может дополнительно привести к нарушению № 5, описанному в первой части статьи.
Если же HR-специалист хранит все заполненные анкеты даже по тем кандидатам, которым было отказано, то это может дополнительно привести к нарушению № 5, описанному в первой части статьи.
9. Отсутствие перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ
Требование иметь перечень допущенных к обработке персональных данных косвенно вытекает из п. 6 и 13 Постановления Правительства № 687, п. 6 ч. 1 ст. 18.1 ФЗ-152, а также прямо прописано в Постановлении Правительства № 1119 в части автоматизированной обработки персональных данных. Помимо штатных работников оператора, в перечень должны включаться третьи лица (физические или юридические), которым персональные данные могут быть переданы.
10. Отсутствие или неактуальность уведомления об обработке персональных данных
Многие операторы сознательно не подают уведомление в Роскомнадзор, опасаясь, что «зарегистрировавшись в качестве оператора персональных данных» они автоматически повысят свои шансы попасть в план проверок. Это не так.
На самом деле попасть в план проверок может любая компания, независимо от наличия ее в реестре операторов персональных данных. А вот за отсутствие уведомления либо за недостоверные или неактуальные сведения в реестре можно получить административное наказание.
Поэтому в случае обработки персональных данных уведомлять Роскомнадзор нужно, кроме исключительных случаев из ч. 2 ст. 22 ФЗ-152. И если уведомление подано, то нужно следить за тем, чтобы сведения о компании в реестре операторов были актуальны так же, как и в ЕГРЮЛ.
Следует помнить, что мы живем в постоянно меняющемся мире с меняющимися законодательными нормами, поэтому сама форма подачи сведений в реестр операторов периодически меняется. Из последних изменений – теперь нужно указывать конкретные места нахождения баз данных с персональными данными. Как следствие, те операторы, которые добросовестно заполнили уведомление еще в 2007 году и забыли об этом, на текущий момент уже нарушают требования ФЗ-152 и рискуют получить штраф.
На самом деле попасть в план проверок может любая компания, независимо от наличия ее в реестре операторов персональных данных. А вот за отсутствие уведомления либо за недостоверные или неактуальные сведения в реестре можно получить административное наказание.
Поэтому в случае обработки персональных данных уведомлять Роскомнадзор нужно, кроме исключительных случаев из ч. 2 ст. 22 ФЗ-152. И если уведомление подано, то нужно следить за тем, чтобы сведения о компании в реестре операторов были актуальны так же, как и в ЕГРЮЛ.
Следует помнить, что мы живем в постоянно меняющемся мире с меняющимися законодательными нормами, поэтому сама форма подачи сведений в реестр операторов периодически меняется. Из последних изменений – теперь нужно указывать конкретные места нахождения баз данных с персональными данными. Как следствие, те операторы, которые добросовестно заполнили уведомление еще в 2007 году и забыли об этом, на текущий момент уже нарушают требования ФЗ-152 и рискуют получить штраф.
Обращайтесь к нам, если Вам нужна помощь в организации обработки и защиты персональных данных. Мы всегда рады помочь! Подписывайтесь на новости, чтобы не пропустить другие публикации.
Другие публикации по теме