Что имеем — не так храним
Конфиденциальная информация граждан требует более надежной защиты
В первом полугодии 2017 года территориальными Управлениями Роскомнадзора (РКН) нарушения обязательных требований законодательства Российской Федерации в области персональных данных выявлены по результатам 65% плановых проверок в сфере персональных данных (ПД). Об этом RSpectr рассказала старший государственный инспектор отдела организации контроля и надзора за соответствием обработки персональных данных РКН Анастасия Клочкова.
Особое внимание к уведомлениям
Одним из наиболее частых нарушений, выявленных при проведении сотрудниками РКН плановых мероприятий, стало представление операторами уведомления об обработке ПД, содержащего неполные и (или) недостоверные сведения. Указанное нарушение составляет 11 % от общего количества нарушений.
Согласно ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее ФЗ № 152) оператор до начала обработки ПД обязан уведомить уполномоченный орган о своем намерении осуществлять обработку ПД, за исключением случаев, предусмотренных частью 2 настоящей статьи.
По словам А. Клочковой, при проведении проверок территориальные органы Роскомнадзора сталкиваются с непониманием операторами действия ч. 2 ст. 22 ФЗ № 152. В ней закреплены исключения, которые позволяют оператору осуществлять деятельность без подачи уведомления об обработке ПД.
Оператору необходимо знать, что если он подал уведомление или обязан подать его в соответствии с ч. 1 ст. 22 ФЗ № 152, эта норма не освобождает от указания в своём уведомлении сведений, закреплённых в ч. 3 ст. 22 ФЗ № 152, даже если они связаны с видами деятельности по обработке ПД, закрепленными в качестве исключений в ч. 2 ст. 22 ФЗ №152.
Наиболее типичными несоответствиями, выявляемыми сотрудниками РКН при анализе уведомления, являются:
- указание неполного перечня обрабатываемых ПД;
- указание неполного перечня категорий субъектов ПД;
- не учитываются правовые основания обработки, не связанные с выполнением оператором функций и полномочий, закреплённых за ними законодательством РФ;
- указываются неполные контактные данные ответственного за организацию обработки ПД.
Операторам при подаче уведомления необходимо учитывать информацию, содержащуюся в локальных актах по вопросам обработки ПД.
Меры — на усмотрение оператора
9% нарушений от общего количества, выявленных в первом полугодии 2017 года, касаются непринятия оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Согласно ч. 1 ст. 18.1 ФЗ № 152 Оператор самостоятельно определяет состав и перечень мер.
К таким мерам могут, в частности, относиться:
- назначение оператором, являющегося юридическим лицом, ответственного за организацию обработки ПД;
- издание оператором, являющегося юридическим лицом, документов, определяющих его политику в отношении обработки ПД, локальных актов по вопросам обработки ПД, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер по обеспечению безопасности ПД в соответствии со ст.19 ФЗ № 152;
- осуществление внутреннего контроля и (или) аудита соответствия обработки ПД ФЗ и НПА, требованиям к защите ПД, политике оператора в отношении обработки ПД, локальным актам компании;
- оценка вреда, который может быть причинен субъектам ПД в случае нарушения ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ;
- ознакомление работников оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о ПД, в том числе требованиями к защите ПД, документами, определяющими политику предприятия в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных работников.
При определении набора мер в соответствии с указанной нормой оператору необходимо ориентироваться на особенности своей деятельности. При этом необходимо отметить, что в данном вопросе необходимо учитывать обработку ПД всех категорий субъектов ПД.
Действуй по шаблону
7 % нарушений от общего количества выявлено в части несоответствия типовых форм документов, характер информации в которых предполагает или допускает включение в них ПД, требованиям законодательства РФ.
Согласно п.7 Положения об особенностях обработки ПД, осуществляемой без использования средств автоматизации, утвержденного постановлением правительства РФ от 15.09.2008 № 687 (далее — Положение об особенностях обработки ПД), при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПД (далее — типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПД, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПД, источник получения ПД, сроки обработки ПД, перечень действий с ПД, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПД.
б) типовая форма должна предусматривать поле, в котором субъект ПД может поставить отметку о своем согласии на обработку ПД, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку ПД.
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПД, содержащихся в документе, имел возможность ознакомиться со своими ПД, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПД.
г) типовая форма должна исключать объединение полей, предназначенных для внесения ПД, цели обработки которых заведомо не совместимы.
А.Клочкова обращает внимание на пп. а п. 7 этого документа. В ходе проведения проверки территориальные органы РКН сталкиваются с тем, что операторы в основном не указывают в типовых формах перечень действий с ПД, общие способы обработки ПД и сроки обработки ПД. Также встречаются ситуации, в которых операторы не предоставляют связанные с типовой формой документы (инструкция по ее заполнению, карточки, реестры и журналы), в которых выполнены условия, закрепленные в указанном подпункте.
Во избежание нарушения п.7 данного Положения операторам необходимо уделять особое внимание перечню сведений, закрепляемых в типовой форме, а также в ходе проверки предоставлять территориальным органам указанные документы в комплекте для исключения случаев необъективной оценки.
Данные должны иметь адрес
Если у оператора меняются цели обработки ПД, состав обрабатываемых ПД и другие данные, связанные с обработкой персональных данных, а также компания прекращает обработку персональных данных, она обязана уведомить об этом уполномоченный орган по защите прав субъектов ПД в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПД.
Нарушения о непредоставлении сведений о прекращении обработки личных данных или об изменении информации, содержащейся в уведомлении об обработке ПД, составляют 7 % от общего их числа.
Стоит отметить, что с 1 сентября 2015 года ФЗ от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» закрепил в ч. 3 ст. 22 ФЗ № 152 необходимость указывать сведения о местоположении базы данных информации, содержащей ПД граждан РФ. К этим данным относится страна и адрес нахождения базы данных оператора.
Не стоит забывать, что при вводе в эксплуатацию новой информационной системы ПД и любых иных изменений в деятельности оператору необходимо оценить информацию, указанную в уведомлении. В случае, если сведения поменялись, то в срок, установленный в ч. 7 ст. 22 ФЗ № 152, ему нужно внести изменения в своё уведомление.
Согласно п. 23 Административного регламента РКН по предоставлению государственной услуги «ведение реестра операторов, осуществляющих обработку персональных данных», утвержденного приказом Минкомсвязи России от 21 декабря 2011 г. № 346, документом для рассмотрения вопроса о внесении изменений в сведения об операторе в Реестре является информационное письмо оператора.
Без использования средств автоматизации
Уполномоченный орган в первом полугодии 2017 года зафиксировал 6% нарушений от общего их количества, связанных с отсутствием у оператора мест хранения ПД (материальных носителей) и перечня лиц, осуществляющих обработку ПД без использования средств автоматизации, либо имеющих к ним доступ.
Согласно п. 13 упоминаемого ранее Положения об особенностях обработки ПД, работа с ПД без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории ПД можно было определить как места их хранения, так и установить перечень лиц, имеющим к ним доступ.
В РКН обращают внимание операторов, что указанная норма предполагает закрепление перечня конкретных мест хранения, а не только указание адреса территории компании или способа хранения.
Кроме того, операторы ПД не всегда в полной мере информируют лиц, осуществляющих обработку ПД без использования средств автоматизации. 6% нарушений от общего числа зафиксировано РКН в первом полугодии 2017 года.
Согласно п. 6 Положения об особенностях обработки ПД, осуществляемой без использования средств автоматизации, лица, осуществляющие обработку ПД без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими ПД таким способом. Они должны быть информированы о категориях обрабатываемых ПД, а также об особенностях и правилах осуществления такой обработки, установленных как федеральными, так и локальными НПА (при их наличии).
То есть во время проверки оператору необходимо предоставить материалы, подтверждающие выполнение оператором указанной нормы.
В письменной форме
В первом полугодии 2017 года нарушения операторов в части несоответствия содержания письменного согласия субъекта ПД на обработку информации требованиям законодательства РФ составляют 6 % от общего количества нарушений.
В соответствии с ч. 4 ст. 9 ФЗ № 152 обработка ПД осуществляется только с согласия субъекта ПД в письменной форме. Это необходимо в некоторых случаях – при трансграничной передаче в страну, не обеспечивающей адекватную защиту ПД, обработке специальных категорий, биометрических ПД, в случаях, предусмотренных ст. 88 ТК РФ.
Анализ материалов проверок показал, что представленные в качестве основания обработки ПД субъектов ПД не соответствуют ч. 4 ст. 9 ФЗ № 152 в части неуказания:
- цели обработки ПД;
- перечня ПД, на обработку которых дается согласие субъекта ПД,;
- срока, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено законом.
Не все данные нуждаются в обработке
Нарушение обработки ПД в случаях, непредусмотренных ФЗ № 152, составило
6 % от общего количества.
В РКН отмечают, что случаи, при которых допускается обработка ПД, установлены в ч. 1 ст. 6 ФЗ № 152.
В целях недопущения нарушения требований законодательства РФ в области ПД операторам нужно помнить, что согласно ч. 3 ст. 9 этого закона обязанность предоставить доказательство получения согласия субъекта ПД на обработку его ПД или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ№ 152, возлагается на оператора.
Таким образом, в ходе проведения проверки при обосновании правовых оснований обработки тех или иных категорий ПД необходимо или ссылаться на конкретную норму законодательства РФ, возлагающую те или иные обязанности, полномочия, функции на оператора, или представлять копии материалов, подтверждающие правовые основания обработки.
При применении указанной статьи необходимо помнить, что ФЗ № 152 действует в комплексе. Таким образом, до начала осуществления любого вида обработки ПД необходимо учесть, выполняются ли принципы обработки ПД, закрепленные в ст. 5 данного закона.
Изображение: lori.ru
