16 ошибок и заблуждений при работе с персональными данными


В сфере хранения, обработки и других видов работы с персональными данными существует множество вопросов и заблуждений. Чтобы прояснить ситуацию, Cloud4Y составил перечень наиболее популярных ошибок и заблуждений, из-за которых на компанию могут наложить крупный штраф или даже привлечь к суду.

Начнём с мифов про обработку персональных данных.

Распространённые заблуждения при работе с ПДн

  1. Проверка будет ещё не скоро. Разбираться будем, когда появится время
  2. Время не появится. Если не относиться к вопросу серьёзно, то вам всегда будет некогда. И заниматься вопросом придётся в самый последний момент. А в спешке велик риск пропустить что-то важное. И тогда привет, штрафы и предписания!

    Правильнее будет заранее подготовить все документы и оформить процесс работы с персональными данными должным образом. И тогда вы сможете пройти любую проверку — без стрессов и санкций.

  3. Чтобы соблюсти требования законодательства, достаточно направить уведомление в Роскомнадзор, а шаблоны документов взять в интернете
  4. Законодательство по ПДн конкретно описывает лишь часть документов: согласие на обработку, политика обработки, акт определения уровня защищенности, положение об обработке ПДн работников и модель угроз. Ст. 18.1 152-ФЗ довольно расплывчатая, из-за чего непонятно, что необходимо предпринять для соблюдения хотя бы минимальных требований закона. В результате компании-операторы ПДн издают не все нужные документы, рискуя получить штраф до 130 000 р. от Роскомнадзора.

    Также операторы ПДн обязаны заботиться и о технических мерах защиты. Какие именно меры нужны вашей компании и как уменьшить издержки — подскажут эксперты Cloud4Y.

  5. Защита персональных данных — обязанность сисадмина
  6. Соблюдение требований 152-ФЗ — это целый комплекс мер. Не надо требовать от бедных айтишников юридических знаний и владения инструментами кибербезопасности. Задача технического специалиста — в поддержании работоспособности ИТ-инфраструктуры. Информационная безопасность и работа с нормативными документами требует принципиально иных знаний.

    Практика показывает, что результаты работы обычного сотрудника (любого, необязательно сисадмина) обычно неудовлетворительны по причине отсутствия должных компетенций. Но это не будет являться оправданием в глазах проверяющих, которые без тени сомнений выпишут штраф или другие санкции.

  7. Я только храню персональные данные — это же не обработка
  8. Очень частая ошибка. В п. 3 ст. 3 152-ФЗ указано, что к обработке персональных данных относится: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. То есть любые операции с ПДн считаются их обработкой.

  9. Зачем всё усложнять? Мы наняли человека, он всё сделает
  10. Или не сделает. Или сделает, но неправильно. Или сделает правильно, но получит сведения, которые вы не хотели бы разглашать. Вопрос не в усложнении. Существует большое количество нюансов, которые могут стоить вам денег, репутации, бизнеса. Безопаснее обращаться к профессионалам — компаниям, у которых есть команда специалистов и наработки, неоднократно проверенные практикой. И в плане конфиденциальности гораздо надёжнее работать с компанией, а не человеком со стороны.

  11. Система защиты персональных данных — это технические средства, которые необходимо выбирать, покупать и устанавливать самостоятельно
  12. Самостоятельно можно. Но есть риск переплатить за ПО и оборудование, а то и вовсе купить что-нибудь ненужное. Поэтому первым делом надо создать проект системы защиты, основываясь на информации, полученной в ходе аудита инфраструктуры компании. Помимо этого, правильная настройка систем требует наличия специальных знаний в области кибербезопасности. Поэтому лучше обратиться к специалистам.

  13. А у нас давно всё сделано
  14. Поздравляем! Без шуток, это значит, что вы серьёзно относитесь к данному вопросу. Вот только один нюанс: единожды выполнив работу по обеспечению защиты ПДн, люди думают, что раз и навсегда закрыли вопрос. А поправки и новые подзаконные акты выходят каждый год.

    Если это не учитывать, то можно по забывчивости отправить в Роскомнадзор уведомление, в котором числятся уволенные сотрудники, например. Или пропустить важное нововведение, требующее специального приказа директора. И когда Роскомнадзор придёт с проверкой, то выяснится, что какую-то обидную мелочь вы не сделали. А за это — штрафы и другие проблемы. Базовый перечень нормативных правовых актов можно отслеживать здесь. Но нелишним будет регулярно проводить аудит или доверить вопрос соблюдения законодательства профессионалам.

    Данные работников (в том числе фото и контакты) могут использоваться на корпоративном портале, на визитках, для создания корпоративного email, для оформления ДМС, корпоративных курсов и фитнеса. Также есть данные клиентов, обратившихся к вам как физическое лицо, сотрудников, представляющих интересы ваших клиентов, данные кандидатов на работу в вашей компании. Если забыть про это, неприятности от Роскомнадзора обеспечены.

  15. Мы работаем с данными только по нашим сотрудникам
  16. Выше мы уже рассказали, что это не так. Как минимум в вашей БД есть сведения о кандидатов на трудоустройство и родственниках сотрудников, а также данные о сотрудниках клиентов и партнёров. Данные по ним обязательно надо указать в перечне обрабатываемых ПДн, в перечне информационных систем ПДн и в уведомлении. Кстати, если вы берёте данные у физлица напрямую, то необходимо подписать и согласие на обработку ПДн. Иначе вам будет грозить солидный штраф.

Популярные ошибки при работе с ПДн

Из ошибок, которые чаще всего приводят к проблемам, можно выделить следующие:

  1. Достаточно взять шаблон из интернета и подставить в него данные компании
  2. Рядовые сотрудники, на которых свалилось «счастье» в виде заботы о защите ПДн, часто скачивают интернета первые попавшиеся шаблоны документов и банальное заменяют в них название организации. Даже не вникая в суть того, что написано. Шаблоны и проекты документов, которые доступны в интернете, были созданы для конкретных компаний. Процесс обработки у каждой организации свой. Они могут быть похожи, но не во всём и не у всех сразу. Простая замена юридического лица в шаблоне не означает исполнение требований 152-ФЗ. Первый же ревизор вам это объяснит. Задорого.

  3. Передача ПДн третьим лицам без письменного согласия граждан
  4. Для передачи ПДн третьим лицам нужно не только согласие физ. лица, но и соглашение на обработку ПДн с таким третьим лицом (п. 3 ст. 6 152-ФЗ). В ходе проверки вас обязательно попросят продемонстрировать форму такого соглашения, а также заключенные соглашения со страховыми организациями, банками, и другими компаниями, которые имеют доступ к ПДн. Нет документа — будет штраф.

  5. Отсутствует пункт об ответственности за обработку персональных данных
  6. В случае, если вы передаёте ПДн третьим лицам, необходимо описать ответственность за безопасную обработку персональных данных в договоре субподряда и убедиться в том, что субподрядчик также принял все необходимые меры для безопасной обработки ПДн. Дополнительно потребуется организовать безопасный канал связи для передачи этих данных.

  7. Политики обработки персональных данных нет в открытом доступе
  8. Самое частое нарушение по статистике Роскомнадзора. Согласно п. 2 ст. 18.1 152-ФЗ вы обязаны обеспечить свободный доступ к политике обработки ПДн. Политику необходимо разместить на сайте, если на нём собираются персональные данные (например, есть форма обратной связи). Нет политики или она недоступна — будет штраф для организации и для должностных лиц.

  9. На сайте нет согласия обработку персональных данных или публичной оферты
  10. Интернет-магазины, онлайн-сервисы и другие компании продают клиентам товары и услуги или собирают информацию о людях с помощью своих сайтов. За отсутствие на таком сайте согласия на обработку ПДн или договора публичной оферты (например, пользовательского соглашения) Роскомнадзор может выписать штраф. А для особо злостных нарушителей предусмотрена возможность блокировки сайта.

  11. Неправильная подготовка или отсутствие согласия на обработку ПДн
  12. По словам Роскомнадзора, это второе по популярности нарушение. Согласие должно строго соответствовать требованиям действующего законодательства РФ, которые прописаны в ст. 9 152-ФЗ. Дополнительно физлицо, чьи данные вы обрабатываете, должно дать передачу его данных третьим лицам и/или на трансграничную передачу (если вы будете это делать). Если согласие на обработку ПДн не соответствует всем требованиям или вообще отсутствует, вам гарантированно ждут санкции. Меры наказания предусмотрены для организации и для должностного лица.

  13. Неверно составлен приказ о назначении сотрудника, ответственного за обработку данных
  14. Популярная ошибка — в приказе не указана обязанность сотрудника, ответственного за обработку ПДн, соблюдать конфиденциальность такой информации. Или не перечислены требования к защите ПДн и обеспечения их безопасности. За такую халатность проверяющие из Роскомнадзора вынесут предупреждение или наложат штраф.

  15. Не уведомили или неверно заполнили уведомление для Роскомнадзора об обработке персональных данных
  16. Согласно п. 1 ст. 22 152-ФЗ компании обязаны уведомить Роскомнадзор об обработке ПДн. Но этого иногда не делают, ссылаясь на обработку персональных данных в рамках трудового законодательства. Напрасно, ведь оно не полностью охватывает вопрос работы с ПДн.