В РКН рассказали о нарушениях в сфере обработки персональных данных
В первом полугодии 2017 года территориальными Управлениями Роскомнадзора (РКН) нарушения обязательных требований законодательства Российской Федерации в области персональных данных выявлены по результатам 65% плановых проверок в сфере персональных данных (ПД).
Одним из наиболее частых нарушений, выявленных при проведении сотрудниками РКН плановых мероприятий, стало представление операторами уведомления об обработке ПД, содержащего неполные и (или) недостоверные сведения. Указанное нарушение составляет 11 % от общего количества нарушений. Например, указываются неполные контактные данные ответственного за организацию обработки ПД.
Об этом рассказала старший государственный инспектор отдела организации контроля и надзора за соответствием обработки персональных данных Роскомнадзора Анастасия Клочкова.
7 % нарушений от общего количества выявлено в части несоответствия типовых форм документов, характер информации в которых предполагает или допускает включение в них ПД, требованиям законодательства РФ.
Такие шаблоны должны содержать сведения о цели обработки ПД, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПД, источник получения ПД, сроки обработки ПД, перечень действий с ПД, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПД.
Если у оператора меняются цели обработки ПД, состав обрабатываемых ПД и другие данные, связанные с обработкой персональных данных, а также компания прекращает обработку персональных данных, она обязана уведомить об этом уполномоченный орган по защите прав субъектов ПД в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПД.
Нарушения о непредоставлении сведений о прекращении обработки личных данных или об изменении информации, содержащейся в уведомлении об обработке ПД, составляют 7 % от общего их числа.
Стоит отметить, что с 1 сентября 2015 года ФЗ от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» закрепил в ч. 3 ст. 22 ФЗ № 152 необходимость указывать сведения о местоположении базы данных информации, содержащей ПД граждан РФ. К этим данным относится страна и адрес нахождения базы данных оператора.
Уполномоченный орган в первом полугодии 2017 года зафиксировал 6% нарушений от общего их количества, связанных с отсутствием у оператора мест хранения ПД (материальных носителей) и перечня лиц, осуществляющих обработку ПД без использования средств автоматизации, либо имеющих к ним доступ.
В РКН обращают внимание операторов, что указанная норма предполагает закрепление перечня конкретных мест хранения, а не только указание адреса территории компании или способа хранения.
В первом полугодии 2017 года нарушения операторов в части несоответствия содержания письменного согласия субъекта ПД на обработку информации требованиям законодательства РФ составляют 6 % от общего количества нарушений. В соответствии с ч. 4 ст. 9 ФЗ № 152 обработка ПД осуществляется только с согласия субъекта ПД в письменной форме. Это необходимо в некоторых случаях – при трансграничной передаче в страну, не обеспечивающей адекватную защиту ПД, обработке специальных категорий, биометрических ПД, в случаях, предусмотренных ст. 88 ТК РФ.