Типовые нарушения требований по защите персональных данных и как их избежать

• Нарушение №1. Неопубликованные оператором документы, определяющие политику в отношении обработки персональных данных.
• Нарушение №2. Отсутствие уведомления об обработке персональных данных. Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. Непредставление сведений об изменении информации.
• Нарушение №3. Отсутствие условий соблюдения конфиденциальности персональных данных в договорах с третьими лицами, а также требований к защите обрабатываемых персональных данных.
• Нарушение №4. Согласие на обработку персональных данных составлено некорректно, не соответствует требованиям ст.9 ФЗ-152 «О персональных данных» либо вовсе отсутствует.
• Нарушение №5. Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.
• Нарушение №6. Невыполнение требований по обучению и ознакомлению сотрудников с порядком обработки, хранения персональных данных и ответственностью за нарушение требований законодательства при обработке персональных данных.
• Нарушение №7. Обработка избыточных персональных данных субъекта, не соответствующих целям обработки.
• Нарушение №8. Несоблюдение требований по локализации баз данных и трансграничной передаче персональных данных

Нарушение №1.

 Неопубликованные оператором документы, определяющие политику в отношении обработки персональных данных.

Комментарий: 
Все операторы персональных данных обязаны иметь документ, определяющий Политику в отношении обработки персональных данных. Это основной документ, регламентирующий все отношения, связанные с обработкой персональных данных в организации.

В соответствии с требованиями ст. 18.1 (ч. 2) Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ, Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться.

Роскомнадзор просматривает сайты компаний на предмет обеспечения неограниченного доступа к Политике, поэтому мы рекомендуем обязательно публиковать её в подвале сайта или в разделе «Документы» и на каждой странице сайта, с использованием которой осуществляется сбор персональных данных.

Пример. Политика в отношении обработки персональных данных нашей компании, размещенная на сайте компании.
Для операторов, являющихся государственными и муниципальными органами, законодательно определен срок, в течение которого Политика должна быть опубликована, - это 10 дней с момента ее утверждения (п. 2 Постановления Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»).
Зачастую операторы не публикуют Политику на сайте и не приводят ссылку на Политику на страницах, с использованием которых осуществляется сбор персональных данных; публикуют Политику группы компаний/головной организации, а не собственную; либо вместо Политики публикуют ссылку на текст согласия на обработку персональных данных; в Политике отсутствуют положения, предусмотренные п. 2 ч. 1 ст. 18.1 ФЗ-152. Все это регулятор расценивает как нарушение требований к размещению документа, определяющего Политику в отношении обработки персональных данных.

Нарушение №2.
Отсутствие уведомления об обработке персональных данных. Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. Непредставление сведений об изменении информации.

Комментарий:

Все операторы персональных данных обязаны подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор до начала обработки персональных данных (например, с момента создания организации). В крайнем случае, с момента, как только представители организации узнали, что такое уведомление необходимо подать.
Существует ряд условий, в соответствии с которыми Вы можете не подавать Уведомление (ч. 2 ст. 22 ФЗ-152). Но это крайне редкие случаи и маловероятно, что какая-то организация может отнести себя к данным исключениям.
Необходимо вовремя актуализировать уведомление и направить в Роскомнадзор уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн. К примеру, если в Вашей компании сменился ответственный за организацию обработки персональных данных, появилась новая цель обработки, изменился адрес или местонахождение баз данных, Вам необходимо не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, уведомить Управление Роскомнадзора по Вашему региону о произошедших изменениях.

Нарушение №3.
Отсутствие условий соблюдения конфиденциальности персональных данных в договорах с третьими лицами, а также требований к защите обрабатываемых персональных данных.

Комментарий: Если компания передает персональные данные другим организациям, то есть поручает обработку персональных данных (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями и какие условия в нем прописаны.

Согласно ч.3 ст.6 ФЗ-152 в поручении должно быть прописано следующее:

перечень персональных данных и цель/цели их обработки другой компанией;
какие действия она будет совершать с персональными данными;
обязанность компании по обеспечению конфиденциальности и безопасности полученных персональных данных;

требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 ФЗ-152;

обязанность компании по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со ст. 6 152-ФЗ;
требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ-152, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 152-ФЗ​.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. При проверке представители Роскомнадзора обязательно попросят копию договора для ознакомления.

Нарушение №4.
Согласие на обработку персональных данных составлено некорректно, не соответствует требованиям ст.9 ФЗ-152 «О персональных данных» либо вовсе отсутствует.

Комментарий: В случаях, предусмотренных федеральным законом, оператор обязан иметь письменное согласие субъекта на обработку его персональных данных. Самые распространенные из них:

обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
обработка биометрических персональных данных (обратите внимание, что фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
обработка персональных данных, разрешенных субъектом персональных данных для распространения;
поручение обработки персональных данных третьему лицу (иной организации).

Форма письменного согласия должна содержать следующие поля:
ФИО, адрес, паспортные данные субъекта персональных данных;
ФИО, адрес, паспортные данные представителя субъекта персональных данных (в случае, если родитель подписывает согласие за ребенка), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
наименование или ФИО и адрес оператора;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие;
наименование или ФИО и адрес оператора, которому будут переданы персональные данные для обработки по поручению;
перечень действий, осуществляемых с персональными данными (он не должен включать «распространение»), и общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, и способ его отзыва, если иное не установлено федеральным законом;
подпись субъекта персональных данных.

Одним из частных нарушений также является отсутствие на сайте уведомления об обработке персональных данных, осуществляемую посредством метрических программ, после ознакомления с которым все действия посетителя на сайте будут считаться конклюдентными и будут расцениваться как согласие субъекта персональных данных с данной обработкой.

Нарушение №5.
Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.

Комментарий: По требованиям законодательства необходимо обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к организации возникнут вопросы. И обязательно обеспечьте контролируемый доступ в помещения, в которых обрабатываются персональные данные.

Нарушение №6.
Невыполнение требований по обучению и ознакомлению сотрудников с порядком обработки, хранения персональных данных и ответственностью за нарушение требований законодательства при обработке персональных данных.

Комментарий: Часто при проверках выясняется, что сотрудники организации не ознакомлены с порядком обработки, хранения персональных данных и ответственностью за нарушение требований закона. Поэтому рекомендуем заранее собрать все необходимые подписи сотрудников, которые работают с персональными данными. Они должны ознакомиться под роспись с Политикой и иными локальными актами, регламентирующими обработку персональных данных в организации, а также подписать обязательство о соблюдении конфиденциальности и согласие на обработку своих персональных данных.  

Нарушение №7.
Обработка избыточных персональных данных субъекта, не соответствующих целям обработки.

Комментарий: Один из основополагающих принципов при обработке персональных данных гласит, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. То есть, прежде чем начать собирать и обрабатывать персональные данные, необходимо сначала установить, с какой целью, для чего будет вестись обработка персональных данных, не превышает ли перечень собираемых персональных данных заявленные цели.

Нарушение №8. 
Несоблюдение требований по локализации баз данных и трансграничной передаче персональных данных

Комментарий: При сборе персональных данных, в том числе посредством Интернета, операторы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2,3,4,8 ч. 1 ст. 6 ФЗ-152.
Так, например, если оператор осуществляет сбор персональных данных с помощью форм сбора данных он должен удостовериться, что базы данных используемых сервисов расположены на территории Российской Федерации. Сбор персональных данных посредством форм сбора иностранных сервисов, базы данных которых расположены за пределами Российской Федерации, будет считаться нарушением. Также будет считаться нарушением обработка персональных данных, осуществляемая посредством метрических программ (например, Google Analytics) в отсутствии правовых оснований.
Важно отметить, что до начала осуществления трансграничной передачи ПДн, оператор должен уведомить Роскомнадзор о своём намерении осуществить трансграничную передачу ПДн, направив уведомление на сайте ведомства. А также соблюдать требования, предусмотренные для трансграничной передачи в ст. 12 ФЗ-152.