16 ошибок и заблуждений при работе с персональными данными

Обработка и хранение персональных данных – сложная сфера, которая требует глубоких знаний законодательной базы. Из-за нарушений в этой области, на компании могут наложить штрафы или даже начать судебные разбирательства. Чтобы помочь тем, кто работает с ПДн, мы разобрали в этой статье основные вопросы и заблуждения.

обработка ПДн

Частые ошибки при работе с персональными данными

Наиболее распространённые ошибки, которые приводят к штрафам и прочим проблемам:

Ошибка №1. Можно просто скачать из интернета шаблон и подставить данные своей компании

Если защитой ПДн занимаются рядовые сотрудники, не имеющие достаточной квалификации, они именно так и поступают. Однако такие шаблоны не являются универсальными. Чаще всего они подготовлены с учётом рабочих процессов конкретной компании, которые могут лишь частично или совсем не совпадать с вашими. Поэтому если просто подставить свои данные, это никоим образом не гарантирует соблюдение требований 152-ФЗ.

Ошибка №2. Передача личной информации третьим лицам без предварительного письменного согласия объекта

Чтобы передавать ПДн третьим лицам, необходимо получить не только согласие физического лица, но также соглашение на обработку самим третьим лицом (п. 3 ст. 6 152-ФЗ). Если будет проверка, все подобные соглашения необходимо предъявить. В противном случае получите штраф.

Ошибка №3. Нет пункта об ответственности за обработку ПДн

Если вы передаёте персональные данные третьим лицам, важно прописать ответственность за их безопасную обработку в договоре субподряда и удостовериться, что субподрядчик тоже принимает все нужные меры для обеспечение безопасности обработки информации. Также важно организовать защищённый канал связи для передачи данных.

Ошибка №4. В открытом доступе отсутствует Политика обработки ПДн

По статистике Роскомнадзора это нарушение является самым распространенным. Согласно п. 2 ст. 18.1 152-ФЗ необходимо в обязательном порядке обеспечить свободный доступ к политике обработки персональных данных. Её следует разместить на сайте, если там собираются ПДн (например, при наличии формы обратной связи). Отсутствие Политики грозит штрафом.

Ошибка №5. На официальном сайте отсутствует согласие на обработку ПДн или публичной оферты

Если интернет-магазин, онлайн-сервисы и любые другие компании продают клиентам какую-либо продукцию и услуги либо собирают информацию о посетителях, отсутствие формы согласия чревато штрафом. При особо серьёзных нарушениях могут даже заблокировать сайт. По словам Роскомнадзора, это второе по популярности нарушение. Согласие должно строго соответствовать требованиям действующего законодательства РФ, которые прописаны в ст. 9 152-ФЗ. Дополнительно физлицо, чьи данные вы обрабатываете, должно дать согласие на передачу его данных третьим лицам и/или на трансграничную передачу (если вы будете это делать). Если согласие на обработку ПДн не соответствует всем требованиям или вообще отсутствует, вас гарантированно ждут санкции. Меры наказания предусмотрены для организации и для должностного лица.

согласие на обработку персональных данных

Ошибка №6. Хранение лишних документов

Есть перечень документов о сотрудниках, которые могут храниться в компании (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ), все остальные бумаги после использования следует уничтожить или вернуть сотруднику. Если при проверке в личном деле будут обнаружены лишние документы, на компанию могут наложить штраф.

Ошибка №7. Неправильно составлен приказ о назначении ответственного за обработку ПДн, отсутствует перечень лиц, имеющих доступ к данным

Сотрудник, который будет заниматься работой с персональными данными должен соблюдать конфиденциальность информации, к которой имеет доступ. Частой ошибкой при оформлении приказа является отсутствие перечня требований к защите ПДн. За некорректное составление документа можно получить предупреждение или штраф. Также важно составить приказ с указанием всех сотрудников, которые могут иметь доступ к ПДн.

Ошибка №8. Уведомление для Роскомназора составлено неверно или отсутствует

Согласно п. 1 ст. 22 152-ФЗ компаниям необходимо уведомить Роскомнадзор об обработке персональных данных. Часто этот момент упускают, считая, что обрабатывают данные в рамках трудового законодательства, однако оно затрагивает не все нюансы работы с ПДн.

Популярные заблуждения при работе с ПДн

Теперь поговорим о частых заблуждениях:

Заблуждение №1. До проверки долго. Будет свободное время, тогда и разберёмся.

Если вы не считаете какой-то вопрос достаточно важным, на него никогда не находится времени. В результате решать проблему придётся в последний момент, а спешка чревата ошибками. Легко пропустить что-то важное, а потом получить штрафы и предписания.

Лучше сразу правильно организовать работу с ПДн и держать все документы в порядке. Тогда даже неожиданная проверка не застанет врасплох.

проверка ПДн

Заблуждение №2.Чтобы соответствовать требованиям законодательства, можно просто скачать в сети шаблоны документов и направить уведомление в Роскомнадзор

Законы, регламентирующие работу с персональной информацией, затрагивают только часть документов: согласие на обработку, политика обработки, акт определения уровня защищенности, положение об обработке ПДн работников и модель угроз. Ст. 18.1 152-ФЗ включает достаточно расплывчатые определения, поэтому не всегда понятно, что именно нужно сделать хотя бы для минимального соблюдения требований.  Если же сдать не все документы в Роскомнадзор, можно легко получить штраф до 130 000 р.

Кроме того, операторы ПДн должны предпринять и технические меры защиты. Какие из них необходимы именно вашей компании, а также как минимизировать издержки — подскажут специалисты Cloud4Y.

Заблуждение №3. Защита персональных данных — забота системного администратора

Чтобы соответствовать требованиям 152-ФЗ необходимо предпринимать целый комплекс мер. IT-специалист может позаботиться о функционировании IT-инфраструктуры, но он не должен разбираться в юридических вопросах и кибербезопасности. Здесь требуются другие знания и опыт.

сисадмин

Если ваши сотрудники (не только сисадмин) не имеют должных компетенций по защите персональных данных, при проверке это может стать проблемой. Для проверяющих органов отсутствие должных знаний и навыков у работников не является оправданием и не ограждает от штрафов и прочих мер. 

Заблуждение №4. Я не обрабатываю ПДн, а только храню

Достаточно распространённая ошибка. П. 3 ст. 3 152-ФЗ гласит, что обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (сюда входит обновление и изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Иными словами, практически любые манипуляции с личной информацией считаются обработкой.

Заблуждение №5. Не нужно усложнять, мы наняли стороннего специалиста, он этим займётся

Как уже говорилось выше, один человек вряд ли обладает компетенцией сразу по всем фронтам: в IT, информационной безопасности и в законодательной базе. Ошибка в одной из этих сфер может дорого обойтись компании, стоить денег, репутации и даже всего бизнеса.

Если хотите обезопасить себя, лучше обратиться к профессионалам. Серьёзные компании с командой специалистов хорошо разбираются во всех вопросах работы с ПДн и имеют огромную практику. И это куда более безопасно, чем найм человека со стороны.

Заблуждение №6. Система защиты ПДн представляет собой различные технические средства, которые нужно самостоятельно выбрать, инсталлировать и настроить

Сделать всё своими силами, действительно, можно, но, если вы не до конца разбираетесь в вопросе, можно ошибочно приобрести не то ПО или потратить значительно больше необходимого.

По этой причине для начала необходимо провести аудит, и уже на его основе создать проект будущей системы защиты. Или просто обратиться к специалистам, которые помогут не только в вопросах технического оснащения, но и в кибербезопасности, и в юридических вопросах.

Заблуждение №7. Мы всё уже сделали

Вы серьёзно и ответственно подошли к вопросу. Главное помнить, что разового проведения всех необходимых мероприятий недостаточно. Каждый год выходят новые законодательные акты и поправки. Если их не учитывать, можно нарваться на штрафы. Актуальность нормативных правовых актов можно проверять здесь.

Иногда может быть неочевидно, что на самом деле вы работаете с ПДн. Например, у вас есть фото и контакты сотрудников, которые вы использовали на корпоративном портале или при оформлении ДМС, информация о соискателях, данные клиентов. Если не учесть этого, можно столкнуться с проблемами со стороны Роскомнадзора.

Заблуждение №8. У нас хранится информация только о сотрудниках

В предыдущем пункте уже говорилось о том, что это заблуждение. Базы данных большинства компаний, как минимум, содержат сведения о кандидатах на вакансии, родственниках сотрудников, о клиентах и деловых партнерах. Также стоит иметь в виду, что при сборе личных данных у физлица, важно получить письменное согласие.

О наличии этой информации важно также указывать в перечне обрабатываемых данных и в уведомлении для Роскомнадзора.

защита ПДн

Чтобы не беспокоиться о хранении и защите ПДн, рекомендуем воспользоваться нашей услугой – Облако ФЗ-152. Данное решение оградит компанию от нарушений ФЗ-152 относительно хранения персональных данных граждан РФ в соответствии с законом «О персональных данных».


Вверх!