Роскомнадзор подвел итоги осуществления государственного контроля в сфере защиты прав субъектов персональных данных за первое полугодие 2018 года, в связи с чем эксперты «КСБ-СОФТ» решили подсчитать, во сколько могут обойтись организации самые часто допускаемые ошибки в сфере обработки ПДн.
В период с января по июнь включительно Роскомнадзором было проведено 1505 контрольно-надзорных мероприятий в области защиты прав субъектов персональных данных, в ходе которых было выдано 327 предписаний и зафиксировано 259 нарушений в области персональных данных при анализе содержания интернет-сайтов операторов. По фактам выявленных нарушений инспекторами было составлено 3317 административных протоколов.
Наиболее распространённые нарушения по результатам проверок комментирует руководитель службы технической поддержки сервиса «АльфаДок» Максим Шляпкин:
- непредоставление доступа к политике по обработке персональных данных и иным документам, регламентирующим порядок и условия обработки персональных данных;
В соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» от 27.07.2006 политика по обработке ПДн должна быть опубликована в общедоступных источниках (на сайте, на информационном стенде в организации и т.п.). Нарушение этого требования грозит организации штрафом в размере 30 000 рублей.
- отсутствие у оператора утвержденных мест хранения персональных данных, перечня лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;
Все места хранения носителей ПДн (бумаг, дисков, флешек и пр.) должны быть утверждены организацией в рамках распорядительного документа (приказ, распоряжение постановление). Распорядительный документ также должен определять, кто из сотрудников обладает правом доступа к данным носителям и правом осуществлять непосредственную обработку ПДн. Это нарушение может обойтись юридическому лицу штрафом в размере до 50 000 рублей.
- несоблюдение оператором требований по информированию лиц, осуществляющих обработку без средств автоматизации;
Все сотрудники организации, осуществляющие обработку персональных данных, должны быть об этом проинформированы, до них также должно быть доведено, как обрабатывать ПДн и как обеспечить безопасность этих данных. В ходе проверок государственные инспектора Роскомнадзора анализируют документацию организации на предмет того, что сотрудник знает, что он обрабатывает ПДн, ознакомлен с правилами их обработки и требованиями безопасности. Невыполнение этих требований грозит штрафом до 50 000 рублей.
- обработка персональных данных субъекта по достижении цели обработки;
Ст. 21 152-ФЗ гласит, что по достижению цели обработки необходимо ее прекратить и обеспечить уничтожение персональных данных, что подразумевает удаление данных из системы без возможности восстановления и/или уничтожение носителей ПДн. Комиссия по уничтожению персональных данных (назначается Приказом) отбирает документы на уничтожение и вносит запись в Акт об уничтожении персональных данных. В противном случае это является нарушением, штраф за которое может составлять до 45 000 рублей.
- неуведомление уполномоченного органа об осуществлении обработки персональных данных и непредставление информации по соответствующему запросу.
Организации обязаны отправлять уведомления в Роскомнадзор об осуществлении обработки персональных данных, в том числе в случае, если цель обработки ПДн меняется. Зачастую сотрудники просто не успевают актуализировать данные, что является прямым нарушением требований законодательства и облагается штрафом в размере 5 000 рублей.
Таким образом, общая сумма штрафа за неустранение перечисленных нарушений в срок может составлять 180 000 рублей. Стоит отметить, что от указанных проблем гарантированно избавлен любой пользователь «АльфаДок», разработка и актуализация документации по защите ПДн в котором происходит автоматически, а качество разрабатываемой документации позволяет пройти проверку Роскомнадзора без штрафов и замечаний.