ещё
свернуть
Все статьи номера
Не прочитано
6
Компания
Персональные данные

Топ-9 ошибок при работе с персональными данными

Елена Янина, Управляющий партнер «Янина и партнеры»

Чем поможет статья: найти ошибки в работе с персональными данными и сэкономить на штрафах.

Компания допустила ошибку в приказе о назначении сотрудника, который отвечает за персональные данные. Роскомнадзор вынес предписание, о котором нарушитель забыл. В итоге компанию оштрафовали на 70 тыс. руб. за игнорирование предписания и за само нарушение. В статье — девять самых распространенных ошибок при работе с персональными данными и советы, как их избежать.

1

Неверно составили приказ о назначении сотрудника, ответственного за обработку данных

Распространенная ошибка — в приказе нет обязанности работника, которого назначили ответственным за обработку персональных данных, соблюдать конфиденциальность такой информации. В документ также забывают включить требования к защите обрабатываемых персональных данных и обеспечить их безопасность.152ФЗ

За неправильный приказ проверяющие из Роскомнадзора вынесут предупреждение или наложат штраф. Должностных лиц оштрафуют на сумму от 5 до 10 тыс. руб., компанию — от 30 до 50 тыс. руб.КоАП

Что делать.

Издайте новый приказ директора. В документ добавьте обязанности ответственного сотрудника соблюдать конфиденциальность персональных данных и требования к защите обрабатываемых сведений, а также обеспечивать их безопасность.

2

Подготовили не все локальные акты по персональным данным

В законе нет точного списка обязательных документов, которые должна подготовить компания для работы с персональными данными. Тем не менее количество обязательных документов может доходить до сорока. Например, приказ о допуске к обработке данных, о назначении ответственных сотрудников, форма согласия на обработку.

За отсутствие хотя бы одного документа сотрудники Роскомнадзора оштрафуют директора на сумму от 5 до 10 тыс. руб. Компании выпишут штраф в размере от 30 до 50 тыс. руб. или вынесут предупреждение.КоАП-1

Что делать.

Изучите документы, которые есть в перечне актов из приказа Роскомнадзора от 13.12.2017 № 247. Когда контролеры выходят на проверку, то смотрят, как компания соблюдает правила, установленные документами из списка.

3

В документах на обработку персональных данных записали только условия для сотрудников

В документах записано, что компания работает с персональными данными сотрудников. Это ошибка. В бумагах еще нужно записать, что объекты обработки персональных данных — это также клиенты, партнеры и их сотрудники, кандидаты на вакансии и др. Если не записать — оштрафуют на 50 тыс. руб.КоАП-2

Посмотреть реестр операторов, осуществляющих обработку персональных данных, можно на pd.rkn.gov.ru

Что делать.

Проверьте документы на обработку данных. Если необходимо, включите в документы все категории субъектов, чьи персональные данные обрабатываете или планируете обрабатывать.

4

Не отреагировали на предписание Роскомнадзора

Не игнорируйте предписания Роскомнадзора устранить нарушение закона о персональных данных. По данным самого ведомства, в 75 процентах случаев штрафы компаниям выписывают именно за то, что они не исправляют нарушения по предписанию.

За нарушение Роскомнадзор выпишет два штрафа. Первый — за невыполнение самого предписания. В этом случае директора или другое должностное лицо оштрафуют на сумму от 1 до 2 тыс. руб. или дисквалифицируют на три года. Компании грозит штраф от 10 до 20 тыс. руб.КоАП-3

Второй штраф выпишут за нарушения, которые указаны в самом предписании. Например, компания могла забыть представить уведомление. Тогда ее оштрафуют на сумму от 3 до 5 тыс. руб., а должностное лицо — от 300 до 500 руб.КоАП-4

Что делать.

Устраните нарушения из предписания и отправьте ответ в Роскомнадзор в сроки, которые указаны в документе.

После того как отправите ответ, заплатите штраф только за нарушение из предписания. Роскомнадзор мог и не выписывать штраф, а ограничиться предупреждением. Например, если сотрудник компании не опубликовал политику обработки персональных данных.КоАП-5 Тогда штраф платить не нужно.

5

Не предоставили доступ к политике обработки персональных данных

Оператор персональных данных обязан опубликовать или обеспечить другими способами доступ к политике обработки персональных данных. Компанию, которая не предоставит доступ, контролеры предупредят или оштрафуют. Штраф для компании — от 15 до 30 тыс. руб., для предпринимателей — от 5 до 10 тыс. руб., для должностных лиц — от 3 до 6 тыс. руб.КоАП-6

Игнорировать ошибку опасно, Роскомнадзор активно штрафует общества, если не находит у них политику в общем доступе. Например, в Саратове Роскомнадзор обнаружил, что школа на своем сайте не опубликовала политику конфиденциальности. Раз данных нет в общем доступе, значит это нарушение, на директора школы наложили предупреждение.5–89

Что делать.

Проверьте политику компании о конфиденциальности персональных данных, она должна соответствовать рекомендациям Роскомнадзора. Например, пояснять цели и правовые основания для сбора личной информации. Рекомендации есть на сайте ведомства rkn.gov.ru в разделе «Персональные данные».

Политику разместите на сайте компании. Также распечатайте документ и положите его в общедоступном месте, чтобы клиенты могли с ним ознакомиться. Например, положить документ можно на ресепшене или в уголке потребителя.

6

Не уведомили Роскомнадзор, что начали обработку персональных данных

Компания вправе лишь в некоторых случаях не уведомлять Роскомнадзор о том, что начала обработку персональных данных. Например, если обрабатывает общедоступные персональные данные или полученные в связи с заключением договора и не передает их третьим лицам.152ФЗ-1 В остальных случаях общество должно направить в Роскомнадзор специальное уведомление.152ФЗ-2

Компанию оштрафуют, если она в срок не подаст уведомление о начале обработки персональных данных. Штраф для должностных лиц составляет от 300 до 500 руб., для компании — от 3 до 5 тыс. руб.КоАП-7

176
сайтов заблокировал Роскомнадзор в 2017 году за незаконный доступ к персональным данным

Что делать.

Проверьте, что компания соблюдает требования по безопасности персональных данных, организационные и технические требования. В этом помогут три вопроса:

1. Назначили ответственное лицо по работе с персональными данными и наладили процессы передачи персональных данных и ответы на запросы?

2. Приняли технические меры, чтобы обеспечить безопасную работу с персональными данными?

3. Локальные акты по работе с персональными данными соответствуют закону?

Если на все вопросы ответили да, то отправляйте уведомление. Если же хотя бы на один из вопросов ответили нет, то отправлять уведомление небезопасно — компания не выполнила все требования закона о персональных данных.

В случае уведомления Роскомнадзора ведомство включит общество в план проверок. Тогда контролеры смогут найти и другие нарушения, штрафы за которые могут доходить до 290 тыс. руб. Поэтому безопаснее не отправлять уведомление, заплатить за это максимальный штраф 5 тыс. руб., исправить нарушения и затем предупредить Роскомнадзор.

7

Использовали устаревшие документы

Бумаги нужно обновлять по мере появления новых правил и требований в законе или изменений старых. За устаревшие документы должностных лиц оштрафуют на сумму до 10 тыс. руб., компанию — до 50 тыс. руб.КоАП-8

Что делать.

Мониторьте законодательство и адаптируйте документы под новые требования минимум раз в месяц.

8

Получили неверное согласие на обработку персональных данных

Общество могло получить согласие на обработку персональных данных, которое не соответствует закону. Например, способы обработки или состав собираемых персональных данных не соответствуют целям обработки.

Компании иногда добавляют в договор пункт о том, что клиент согласен на передачу персональных данных третьим лицам. Нарушением будет, если в контракте не пояснить, зачем компания передает информацию в третьи руки и как это связано с тем, по какой причине она собирает данные.А65

Пункт о письменном согласии не пишите мелким шрифтом, иначе клиент не сможет прочитать документ. Тогда суд решит, что общество вообще не взяло согласие на обработку.

Что делать.

Каждый раз берите письменное согласие об обработке персональных данных, когда это необходимо. Например, если собираете физические и биометрические сведения: сканируете паспорт объекта персональных данных, используете систему распознавания лиц.152ФЗ-3

Включайте в текст согласия цели обработки и перечень обрабатываемых персональных данных. Список должен соответствовать цели, для которой собираете информацию.

Объект персональных данных может не подписывать собственноручно согласие. Заверить документ можно, например, с помощью факсимиле или электронной подписью, отпечатком пальца на экране терминала и т. п.ГК, 149ФЗ Правда, все возможные варианты нужно установить в отдельном документе и ознакомить с ним клиента под подпись.

9

Незаконно передали персональные данные третьим лицам

Компания может передать персональные данные третьим лицам, например банку для оформления зарплатной карты. Чтобы передать сведения, нужно взять на это согласие.

Что делать.

Запишите в тексте согласия, кому передаете персональные данные. Не лишним будет указать их ИНН, адрес регистрации и другую дополнительную информацию. В согласии также перечислите договоры, которые третьи лица заключили с оператором. Добавьте в документ пояснения, как договоры третьих сторон связаны с исполнением договора с субъектом персональных данных.

Чтобы сформировать Рабочую группу, директор должен издать приказ. Обычно рабочая группа подчиняется ответственному по связям с общественностью или ответственному за организацию обработки персональных данных.
Чтобы сформировать Рабочую группу, директор должен издать приказ. Обычно рабочая группа подчиняется ответственному по связям с общественностью или ответственному за организацию обработки персональных данных.
Принципы работы, обязанности Рабочей группы, порядок ее формирования могут быть определены в Положении о Рабочей группе или в Положении о раскрытии информации оператором персональных данных.
Принципы работы, обязанности Рабочей группы, порядок ее формирования могут быть определены в Положении о Рабочей группе или в Положении о раскрытии информации оператором персональных данных.
Чтобы сформировать Рабочую группу, нужно составить список сотрудников, которые в нее войдут. Обычно применяют такие требования к членам Рабочей группы: стаж работы в организации не менее двух лет; отсутствие выговоров и иных взысканий; знание Федерального закона «О персональных данных», Положения об обработке персональных сведений и других локальных актов компании в области защиты личной информации.
Чтобы сформировать Рабочую группу, нужно составить список сотрудников, которые в нее войдут. Обычно применяют такие требования к членам Рабочей группы: стаж работы в организации не менее двух лет; отсутствие выговоров и иных взысканий; знание Федерального закона «О персональных данных», Положения об обработке персональных сведений и других локальных актов компании в области защиты личной информации.