Всем привет! Сегодня хотел бы поговорить о частых нарушениях, которые появляются в ходе проверок Роскомнадзора по защите персональных данных, о том, как этого избежать и что для этого необходимо делать.
Проанализировав отчеты о проверках Роскомнадзора я пришел к выводу, что нарушения из года в год повторяются, а значит операторы ПДн не делают выводов и не относятся к этому серьезно. Если учесть, что РКН пытается поднять штрафы за нарушение требований по ПДн, то становиться совсем как-то грустно, но об этом в конце статьи.
Итак, пройдемся по самым частым нарушениям, выявленным Роскомнадзором по ПДн за 2019 год.
1. Не предоставление уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения.
Для тех, кто сомневается стоит ли им подавать уведомление или нет, в ФЗ-152 есть статья 22 п. 2, где прописывается, когда не нужно уведомлять РКН, во всех же других случаях отправлять уведомление обязательно (если у вас имеется ИСПДн и вы оператор, то вы в обязательном порядке должны направить уведомление).
2. Не выполнение требований конфиденциальности при обработки персональных данных.
Давайте разберемся, что же относится к данному пункту. Если вы оператор или иное лицо, получившее доступ к ПДн, то вы обязаны не раскрывать третьим лицам и не распространять сведения без согласия субъекта. Есть исключения, они прописаны в статье 7 ФЗ 152. Кстати, в 2020 году РКН выкатил свои поправки в КОАП по штрафам, и данный пункт также туда попал. Штрафы мы рассмотрим более подробно в конце статьи.
3. Оператор не принял меры по опубликованию или обеспечению неограниченного доступа к положению по обработке персональных данных.
Согласно ФЗ-152 статье 18.1 п.2 оператор обязан опубликовать данный документ или же предоставить неограниченный доступ. Если у вас есть сайт организации и в нем идет сбор и обработка ПДн (например заявок), то вы обязаны разместить данный документ там.
4. Оператор не принял меры, необходимых для обеспечения выполнения обязанностей, предусмотренных ФЗ 152.
В данном пункте речь идет опять-таки о статье 18.1 и 19 ФЗ 152. Перечислим типы нарушений:
В большинстве случаев у многих организаций именно этот пункт преобладает в нарушениях. Организации требуют избыточные ПДн сами этого не понимая, там, где не нужны паспортные данные они их запрашивают, запрашивают сведения о доходах итд. Также организации любят запрашивать фото клиента или же нового сотрудника, не осознавая, что тем самым они начинают обрабатывать уже специальную категорию персональных данных, где требования к защите намного выше.
6. Отсутствие у оператора места хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих доступ к ним.
Итак, мы рассмотрели основные нарушения операторов ПДн, а теперь я хотел бы в вкратце пробежаться по пунктам самооценки для операторов (мини опросник), что мы проверяем в своей организации в первую очередь:
Для тех, кто только начинает приведение в соответствие своей организации по требованиям ФЗ-152 и не знает какие нормативные акты требуются, предлагаю рассмотреть пошаговый опрос:
Итак, если сотрудник неправильно обрабатывает ПДн, то для него штраф – 5-10 тысяч рублей, для его фирмы 30-40 тысяч рублей. Если фирма не разработала положение по обработке ПДн и не разместила в открытом доступе, штраф на ответственного – 3-6 тысяч рублей, для фирмы 15-30 тысяч рублей. Если фирма обрабатывает ПДн клиента без согласия на обработку или же передала ПДн третьим лицам, для сотрудника – 10-20 тысяч рублей, для фирмы 15-75 тысяч рублей.
Подводим итоги. Мы рассмотрели типовые нарушения операторов в ходе проверок Роскомнадзора, подготовили мини опросник и рекомендации для людей которые только начинают приводить в соответствие свои организации в части защиты персональных данных. Создаётся впечатление, что операторы относятся халатно к данным проверкам и не реализуют хотя бы минимум требований по защите персональных данных, я уже не говорю, про реализацию требований ФСТЭК и ФСБ. При проверке Роскомнадзор выписывает штрафы, но как видим по статистике нарушений, не очень это и помогло. На данный момент идут внесения новых поправок в КОАП. Роскомнадзор внес предложение за невыполнение обязанности по соблюдению конфиденциальности ввести штраф в размере 500000 рублей. Видимо единственным решением РКН видит подъём штрафов. Наверное, в данной ситуации я полностью согласен с ними, если учесть огромное количество утечек персональных данных.
Проанализировав отчеты о проверках Роскомнадзора я пришел к выводу, что нарушения из года в год повторяются, а значит операторы ПДн не делают выводов и не относятся к этому серьезно. Если учесть, что РКН пытается поднять штрафы за нарушение требований по ПДн, то становиться совсем как-то грустно, но об этом в конце статьи.
Итак, пройдемся по самым частым нарушениям, выявленным Роскомнадзором по ПДн за 2019 год.
1. Не предоставление уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения.
Для тех, кто сомневается стоит ли им подавать уведомление или нет, в ФЗ-152 есть статья 22 п. 2, где прописывается, когда не нужно уведомлять РКН, во всех же других случаях отправлять уведомление обязательно (если у вас имеется ИСПДн и вы оператор, то вы в обязательном порядке должны направить уведомление).
2. Не выполнение требований конфиденциальности при обработки персональных данных.
Давайте разберемся, что же относится к данному пункту. Если вы оператор или иное лицо, получившее доступ к ПДн, то вы обязаны не раскрывать третьим лицам и не распространять сведения без согласия субъекта. Есть исключения, они прописаны в статье 7 ФЗ 152. Кстати, в 2020 году РКН выкатил свои поправки в КОАП по штрафам, и данный пункт также туда попал. Штрафы мы рассмотрим более подробно в конце статьи.
3. Оператор не принял меры по опубликованию или обеспечению неограниченного доступа к положению по обработке персональных данных.
Согласно ФЗ-152 статье 18.1 п.2 оператор обязан опубликовать данный документ или же предоставить неограниченный доступ. Если у вас есть сайт организации и в нем идет сбор и обработка ПДн (например заявок), то вы обязаны разместить данный документ там.
4. Оператор не принял меры, необходимых для обеспечения выполнения обязанностей, предусмотренных ФЗ 152.
В данном пункте речь идет опять-таки о статье 18.1 и 19 ФЗ 152. Перечислим типы нарушений:
- Отсутствие ответственного (не назначили ответственного или же наоборот назначили нескольких ответственных, о указано в должностной инструкции ответственного полномочий, установленных в статье 22.1 ФЗ-152)
- Не разработаны и не утверждены руководителем ОРД по вопросам обработки ПДн
- Отсутствует внутренний контроль (нет плана проведения внутреннего аудита)
- Не ознакомлены сотрудники организации с нормативными документами по ПДн.
- Не определены угрозы безопасности (Модель угроз)
- Не проведен учет машинных носителей в организации.
В большинстве случаев у многих организаций именно этот пункт преобладает в нарушениях. Организации требуют избыточные ПДн сами этого не понимая, там, где не нужны паспортные данные они их запрашивают, запрашивают сведения о доходах итд. Также организации любят запрашивать фото клиента или же нового сотрудника, не осознавая, что тем самым они начинают обрабатывать уже специальную категорию персональных данных, где требования к защите намного выше.
6. Отсутствие у оператора места хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих доступ к ним.
Итак, мы рассмотрели основные нарушения операторов ПДн, а теперь я хотел бы в вкратце пробежаться по пунктам самооценки для операторов (мини опросник), что мы проверяем в своей организации в первую очередь:
- Наличие положения по обработке ПДн
- Назначен ли ответственный за обработку ПДн
- Отправлено ли уведомление в РКН
- Готов ли полный комплект документов по ПДн
- Имеются ли листы ознакомления с документами
- Имеются ли и заполнены все журналы
- Имеется ли согласие на обработку ПДн
- Прописаны ли правила доступа пользователей к ПДн
- Реализован ли порядок хранения материальных носителей
Для тех, кто только начинает приведение в соответствие своей организации по требованиям ФЗ-152 и не знает какие нормативные акты требуются, предлагаю рассмотреть пошаговый опрос:
- Начинаем с ФЗ-152, мы являемся оператором ИСПДн? Если нет, то все вопросы к оператору. Если да, то идем ниже.
- Мы головное отделение или филиал? Если филиал, то за обеспечение безопасности персональных данных мы не отвечаем. Если головной офис, то идем ниже.
- Есть ли нормативные документы по защите ПДн? Если нет, то нужно разработать
- Идет ли обработка персональных данных на бумаге? Если да, то 687 ПП
- Персональные данные обрабатываются в ГИС? Если да, то приказ ФСТЭК №17
- Передаются ли персональные данные? Если да, то приказ ФСБ 387
- В итоге получается: ФЗ-152, ПП1119, 21 приказ ФСТЭК и остальные если в пунктах выше у вас ответы – да.
- Приказ ФСТЭК №21 вышел в 2013 году, все шаблоны, сделанные ранее не годятся
- Пакет документов маленький, в хорошем доков от 30 штук
- Изменение в КОАП произошли в 2017 году, если видите старые штрафы, то доки не годятся
- Если в тексте указан класс ИСПДн, то документы старые, в новых уровень защищенности ПДн, по ПП 1119
- По части ГИС, с 2017 года убрали 4 класс защищенности.
- Если в списке нормативной базы имеются законодательные акты, утратившие силу
Итак, если сотрудник неправильно обрабатывает ПДн, то для него штраф – 5-10 тысяч рублей, для его фирмы 30-40 тысяч рублей. Если фирма не разработала положение по обработке ПДн и не разместила в открытом доступе, штраф на ответственного – 3-6 тысяч рублей, для фирмы 15-30 тысяч рублей. Если фирма обрабатывает ПДн клиента без согласия на обработку или же передала ПДн третьим лицам, для сотрудника – 10-20 тысяч рублей, для фирмы 15-75 тысяч рублей.
Подводим итоги. Мы рассмотрели типовые нарушения операторов в ходе проверок Роскомнадзора, подготовили мини опросник и рекомендации для людей которые только начинают приводить в соответствие свои организации в части защиты персональных данных. Создаётся впечатление, что операторы относятся халатно к данным проверкам и не реализуют хотя бы минимум требований по защите персональных данных, я уже не говорю, про реализацию требований ФСТЭК и ФСБ. При проверке Роскомнадзор выписывает штрафы, но как видим по статистике нарушений, не очень это и помогло. На данный момент идут внесения новых поправок в КОАП. Роскомнадзор внес предложение за невыполнение обязанности по соблюдению конфиденциальности ввести штраф в размере 500000 рублей. Видимо единственным решением РКН видит подъём штрафов. Наверное, в данной ситуации я полностью согласен с ними, если учесть огромное количество утечек персональных данных.