Топ-5 ошибок при работе с персональными данными: за что наказывают бизнес

25.04.2017

Ваша компания нанимает сотрудников, собирает информацию о клиентах, а на сайте есть форма обратной связи? Тогда у вас проблемы. Для государства такая компания – оператор персональных данных, который несет ответственность за обеспечение законности их обработки. Пока что за нарушения грозит штраф до 10 тыс. руб., однако с 1 июля 2017 года он увеличивается в семь раз. Другой повод для беспокойства: в статью 13.11 КоАП РФ введут новые основания для штрафа (Федеральный закон от 07.02.2017 №13-ФЗ). Например, невыполнение требований по обезличиванию, уничтожению персональных данных, игнорирование запроса субъекта, отсутствие политики конфиденциальности. Рассмотрим пять основных ошибок, за которые грозят штрафы.

politika-konfidencialnosti.jpg

Ошибка №1. Форма обратной связи без политики конфиденциальности

Специалисты Роскомнадзора обнаружили, что компания «ТГЮК» разместила на сайте форму обратной связи. При этом документ о политике конфиденциальности в отношении обработки персональных данных на сайте отсутствовал. Компанию оштрафовали на 1 тыс. руб. (ст. 13.11 КоАП РФ), и она обратилась в суд. По ее мнению, идентифицировать человека невозможно, поскольку форма содержала всего три элемента: имя, тема и текст сообщения. Причем графа «имя» для заполнения необязательна. Однако эти доводы суд не убедили, и штраф отменить не удалось (постановление Тамбовского областного суда от 04.10.2016 по делу №4А-288).

Как избежать штрафа. Размещение формы обратной связи на сайте расценивается как сбор информации о гражданах. Значит, компания должна выполнить обязанности оператора персональных данных. А именно: уведомить Роскомнадзор о намерении собирать и обрабатывать персональные данные, получить согласие субъекта, разработать политику конфиденциальности и обеспечить неограниченный доступ к ней. С 1 июля 2017 года отсутствие такой политики обойдется компании в 30 тыс. руб. При разработке формы обратной связи реализуйте функцию получения согласия: поставить соответствующую отметку до отправки анкеты.

Ошибка №2. Передача личных сведений посторонним лицам

Гражданин задолжал банку по кредиту. Банк заключил агентский договор с коллекторской фирмой «Морган энд Стаут». По условиям договора банк передал персональные данные заемщика, и коллекторы начали звонить ему и его родным, требуя погасить долг. Однако согласие на обработку и передачу своих данных третьим лицам должник не давал. Он потребовал прекратить незаконные действия и уничтожить личные сведения, но ничего не добился. Тогда гражданин обратился в суд и потребовал компенсировать моральный ущерб. Он заявил, что требования погасить долг поступали в грубой форме и ему пришлось переживать за жизнь и здоровье близких. Суд обязал коллекторов уничтожить персональные данные должника, признал действия банка незаконными и взыскал с обеих организаций компенсацию морального вреда (определение Ярославского областного суда от 05.03.2012 по делу №33-939/2012).

Как избежать штрафа. Передавать персональные данные можно только с согласия субъекта. Исключение: если компания продает долг по договору переуступки. В этом случае уже новый кредитор обязан уведомить владельца персональных данных о получении личной информации.

Ошибка №3. Обработка персональных данных без согласия

Во время внеплановой проверки компании контролеры Роскомнадзора обнаружили, что в листе кандидата на должность нет поля для отметки о согласии на обработку персональных данных. Генеральному Директору вынесли предупреждение, которое он решил обжаловать в суде. Руководитель пояснил, что на предприятии создана комиссия, ответственная за обработку персональных данных. Необходимые меры по соблюдению порядка сбора, хранения и использования персональных данных соблюдаются. Личные карточки работников заполняются в их присутствии. Кроме того, трудовой договор содержит положение о согласии работника на обработку персональных данных. Однако суд решил, что эти доводы не могут быть основанием для отмены административного наказания (постановление Самарского областного суда от 22.08.2016 №4а-907/2016).

Как избежать штрафа. В каждой типовой форме документов, которая предполагает включение персональных данных, должно быть поле для согласия на обработку. Поручите провести аудит кадровых документов и убедитесь, что они содержат соответствующую отметку.

Ошибка №4. Игнорирование отказа клиента от получения рекламных сообщений

Клиент Сбербанка отозвал свое согласие на обработку персональных данных через «Почту России». Однако примерно через месяц получил на телефон сообщение рекламного характера с предложением кредита. Клиент подал иск о незаконной обработке персональных данных. В суде банк упирал на то, что в сообщении содержалась не реклама, а индивидуальное предложение. Кроме того, в тексте не указывалась информация о клиенте, на основании которой можно идентифицировать конкретное лицо. Значит, персональные данные не использовались. Однако суд согласился с доводами клиента – банк знал его телефонный номер, фамилию, имя и отчество – и обязал ответчика выплатить 100 тыс. руб. в качестве компенсации морального вреда (определение Новосибирского областного суда от 02.04.2015 по делу №33-2662/2015).

Как избежать штрафа. Не игнорируйте обращения физических лиц – субъектов персональных данных: с 1 июля 2017 года за это нарушение оштрафуют на сумму до 40 тыс. руб. Помимо отзыва согласия на обработку гражданин вправе получить информацию о лицах, имеющих доступ к его персональным данным, о целях, способах и сроках обработки, о том, какие именно сведения о нем хранятся. Определите сотрудника, который предоставляет информацию по запросам клиентов. Его контакты должны находиться в открытом доступе.

Ошибка №5. Сбор сведений о гражданах без локализации

В ходе мониторинга нарушений в интернете специалисты Роскомнадзора выявили, что популярная деловая соцсеть LinkedIn не обеспечивает запись, систематизацию, накопление, хранение и извлечение персональных данных граждан России. Контролеры направили требование об устранении нарушений, однако компания его не исполнила. Она сослалась на то, что обработка и хранение данных производится за рубежом. Но суд отметил, что у сайта есть русскоязычная версия, он собирает личные данные граждан России, значит, обязан соблюдать требования российского законодательства. В результате деятельность интернет-ресурса признали незаконной, доступ к нему ограничили, а компанию внесли в реестр нарушителей прав субъектов персональных данных (определение Московского городского суда от 10.11.2016 по делу №33-38783/2016).

Как избежать штрафа. Оператор при сборе информации обязан обеспечить локализацию персональных данных граждан. Соответствующий закон вступил в силу еще 1 сентября 2015 года. Проведите инвентаризацию информационных систем/баз данных, определите их местонахождение и составьте список. Обязательное требование о локализации персональных данных распространяется на первичный сбор информации. Обработка и хранение данных может производиться за рубежом.

Экспертное мнение

В 2016 году Роскомнадзор увеличил количество плановых проверок на предмет соблюдения требований о защите персональных данных на 70%. Бизнес все чаще обращается к услугам сертифицированных компаний. Так, число обращений к нам за последний год выросло вдвое. Однако организация может обеспечить соблюдение законодательства о персональных данных и без привлечения сторонних специалистов. Требования законодательства распространяются на организации любой формы собственности, обрабатывающие персональные данные работников, клиентов и иных физических и юридических лиц.

1. Аудит текущей ситуации. Почти все бизнес-процессы в компании включают обработку персональных данных через отдел кадров, службу продаж, маркетинг, службу доставки и другие подразделения. Проанализируйте потоки движения и средства обработки персональных данных: от бумажных до компьютерных носителей. Выясните уровень защищенности информационной системы на предприятии, который зависит от категории обрабатываемых персональных данных, количества субъектов, а также типа информационных угроз. После этого разработайте модель угроз – документ, определяющий виды возможных нарушителей и возможные угрозы безопасности с расчетом их актуальности. Базовая модель угроз размещена на сайте ФСТЭК России (http://fstec.ru/component/attachments/download/289). Также понадобится пакет организационно-распорядительных документов (приказы, регламенты, журналы, политики, положения и т. д.), перечень которых строго не регламентирован. В основной перечень входят документ о согласии на обработку персональных данных, порядок их передачи третьим лицам, список сотрудников, допущенных к их обработке, порядок их уничтожения и т. п. 

2. Проектирование технического решения. При хранении и обработке персональных данных в информационных системах ограничиться одним пакетом документов не получится. Нужен целый комплекс технических мер, обеспечивающий требуемый уровень защиты. Например, это подсистемы, реализующие следующие функции: ограничение программной среды, защита носителей информации, управление доступом, выявление инцидентов и др. Данную задачу следует поручить специалисту по информационной безопасности.

3. Подготовка процесса по защите персональных данных. Составьте список ответственных за обработку персональных данных, установите уровни доступа к ним. Сформируйте расчет затрат, требования к уровню защиты, календарный план проекта, определите технические и организационные риски.

4. Внедрение технического решения. Внедрение системы безопасности включает покупку, установку и настройку необходимого оборудования и программного обеспечения, проведение пуско-наладочных работ и приемочных испытаний, разработку эксплуатационной документации. Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России.

5. Проведение аттестации. Аттестация информационных систем на соответствие требованиям безопасности информации обязательна в случае отнесения персональных данных к государственному информационному ресурсу. Для частных компаний она добровольна. Проводить аттестацию уполномочены организации, обладающие лицензией ФСТЭК России на техническую защиту конфиденциальной информации. 

6. Запуск процесса по защите персональных данных. Этот этап – цель всего проекта. Защиту персональных данных нельзя обеспечить раз и навсегда. Это непрерывный процесс, который зависит от изменений в законодательстве, а также от изменений внутри самой организации. Так, если Вы приобретаете новое оборудование, программы, расширяете бизнес, не забывайте вносить изменения в разработанный комплект документов, внедрять дополнительные средства защиты.

Ильдар Багаутдинов


Возврат к списку

Проблемы

Возникли претензии правоохранительных или государственных органов

Подробнее

Проекты

2015

Проект по подбору персонала на вакансию менеджер по работе с клиентами в компанию по производству и продаже бытовой техники премиум класса.

Подробнее

Новости

Еженедельный ДАЙДЖЕСТ 22.03.2024 года

Еженедельный дайджест для клиентов и партнеров Холдинга "Люди Дела - BPC group"

Подробнее

Статьи

Видео. Версия защиты

Из видео вы узнаете о победах с использованием стратегии версии защиты

Подробнее