Типичные нарушения бизнеса в сфере защиты персональных данных

Национальный центр защиты персональных данных (НЦЗПД) провел в прошлом году довольно много контрольных мероприятий. Частые нарушения субъектов хозяйствования в этой сфере – это горький опыт, который другим субъектам хозяйствования желательно изучать, учитывать и не повторять.

В 2023 г. центр провел более 200 плановых, внеплановых, камеральных проверок, иных контрольных мероприятий, сообщается в отчете о деятельности регулятора.

По результатам таких мероприятий организациям были направлены требования (предписания), рекомендации об устранении выявленных нарушений. Кроме того, 18 материалов НЦЗПД передал в органы внутренних дел для решения вопроса о привлечении виновных лиц и организаций к административной ответственности.

Отметим также, что в некоторых случаях центр пошел на крайнюю меру и принял решения о приостановлении (прекращении) обработки персональных данных в информационных ресурсах (системах) двух организаций.

Иногда такое наказание чревато даже прекращением ведения бизнеса коммерческой организации, например, посредством сайта, поскольку не позволяет обрабатывать персональные данные, а значит, и принимать заказы клиентов, направлять рассылку и совершать иные важные действия в интересах компании.

В обозримом будущем вероятно усиление ответственности бизнеса за нарушения в сфере персональных данных. Во всяком случае, такую задачу регулятор ставит на текущий год.

Поэтому субъектам хозяйствования желательно понимать, какие распространенные нарушения организации допускают, чтобы не повторять их ошибки.

НЦЗПД в своем отчете перечислил ряд типичных нарушений, выявленных в ходе контрольных мероприятий.

Такие нарушения выражаются, во-первых, в фактическом неосуществлении внутреннего контроля за обработкой персональных данных, что подтверждается отсутствием у компании соответствующих документов. Другое типичное нарушение – возложение обязанностей по осуществлению внутреннего контроля на одного из работников, который не имеет объективной возможности выполнять соответствующие функции (с учетом уже имеющихся у него должностных обязанностей).

Центр также обращает внимание на издание фактически бесполезных документов по обеспечению защиты персональных данных, которые на практике не реализуются.

Среди иных выявленных нарушений – отсутствие эффективного обучения работников по вопросам защиты персональных данных и обработка данных без наличия правового основания.

Каждое нарушение по вопросам персональных данных выражается в конкретных кейсах. «ЭГ» попросила эксперта рассказать, что делать бизнесу, когда проверка по вопросам защиты персональных данных оказалась неизбежной.

Юлия Бурмистрова, ведущий юрист REVERA law group:

– Одним из распространенных нарушений является неверный выбор сотрудника, который назначается ответственным за осуществление внутреннего контроля за обработкой персональных данных.

Часто выполнять такую функцию поручают бухгалтерам, кадровикам или руководителям структурных подразделений. Это автоматически приводит к конфликту интересов и неэффективному контролю, поскольку ответственное лицо в таком случае совмещает функции контролера и контролируемого.

Другое распространенное нарушение – организации не поддерживают в актуальном состоянии, а также не обеспечивают неограниченный доступ к документам, определяющим политику в отношении обработки персональных данных. Зачастую такие документы написаны сложным языком и не отражают всех бизнес-процессов, в рамках которых упомянутые сведения обрабатываются.

Еще одной частой проблемой является сбор избыточной персональной информации о потенциальных или существующих клиентах. Некоторые организации собирают такие данные «на всякий случай», не имея правового основания на получение и обработку.

Распространено также следующее нарушение: организации хранят персональные данные своих клиентов, например, в маркетинговых и рекламных целях слишком долгий период (5, 10 и более лет). Практика показывает, что оптимальным сроком хранения данных для рекламных и маркетинговых целей является период, не превышающий 3 лет, например, с момента оформления подписки на рассылку. И этого правила, на наш взгляд, стоит придерживаться.

Что делать компании, когда становится известно о грядущей проверке по вопросам защиты персональных данных?

Напомним, центр в ходе проверки вправе требовать у проверяемой организации в т.ч. предоставить документы (их копии) и/или сведения, связанные с обработкой персональных данных, доступ, в т.ч. удаленный, к использованию информационных ресурсов (систем).

Поэтому субъектам хозяйствования первостепенно необходимо изучить, все ли соответствующие документы в надлежащем виде, актуализировать их в случае необходимости или разработать недостающие, чтобы была возможность оперативно предоставить их проверяющему органу.

Кроме того, следует удостовериться, что сотрудники организации действительно соблюдают законодательство о персональных данных и понимают процессы их обработки.

Также не стоит забывать о возможности НЦЗПД проводить камеральные проверки. Например, если у организации есть сайт, посредством которого собираются персональные данные (регистрация на сайте, заполнение форм «Обратная связь», «Подпишись на рассылку» и т.д.), то в рамках камеральной проверки регулятор может проанализировать такой сайт на предмет соответствия требованиям, предъявляемым к обработке персональных данных.

Поэтому важно следить за тем, чтобы ваш сайт также соответствовал всем требованиям законодательства о персональных данных.

В целом, анализ всех(!) бизнес-процессов, связанных с обработкой персональных данных, их юридическое оформление, – это довольно кропотливая работа, а стремление сделать ее формально часто заканчивается нарушениями, которые выявляются регулятором.

Подводя итог, хочется отметить, что несмотря на рост количества проверок, бизнес в 2023 г. стал гораздо больше внимания уделять вопросам защиты персональных данных и, предполагаем, такой тренд сохранится.