Ошибки оператора при работе с персональными данными: Как избежать миллионных штрафов и проблем с законом

В наше время, когда внимание законодателя к вопросам обработки и защиты персональных данных (ПДн) постоянно растет, а штрафы за нарушения достигают астрономических сумм, уметь правильно работать с данными становится не просто желательным, а жизненно необходимым навыком для любого бизнеса. Уже недостаточно просто защитить данные от утечки – важно выстроить весь процесс их обработки в строгом соответствии с законом.

С момента принятия Федерального закона от 14.07.2022 № 266-ФЗ, внесшего существенные изменения в законодательство о персональных данных, тема организации обработки ПДн стала еще более актуальной и вызывает множество вопросов и дискуссий. Интерес к ней подогревается не только тем, что без обработки ПДн не может функционировать ни одна современная компания, но и неуклонным вниманием со стороны государства.

Государство, действуя в рамках защиты прав и интересов граждан, последовательно усиливает контроль в этой сфере, увеличивая ответственность как компаний, так и их руководителей, а также повышая размеры штрафов за невыполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и подзаконными актами. Например, активно обсуждается и уже принят в первом чтении законопроект об оборотных штрафах за утечки ПДн. Уже сейчас законодательством предусмотрено более десятка видов штрафов за нарушения, и их размер может достигать 18 миллионов рублей!

Все это убедительно доказывает: пришло время научиться не только обеспечивать информационную безопасность и предотвращать утечки (хотя это по-прежнему критично), но и грамотно организовывать сам процесс обработки ПДн, чтобы избежать штрафов на любом этапе.

Неслучайно в последние годы мы наблюдаем бурный рост спроса на специалистов в области права, которые разбираются в тонкостях обработки и защиты ПДн. Появились и новые роли, такие как DPO (Data Protection Officer) – ответственный за организацию обработки ПДн, а также активно развиваются услуги аутсорсинга этой функции.

Давайте рассмотрим типичные ошибки, которые операторы персональных данных допускают чаще всего, и выясним, как их избежать.

Ошибки, связанные с уведомлениями Роскомнадзора

Проблемы могут начаться еще до того, как вы фактически приступите к обработке ПДн. Согласно статье 22 Закона № 152-ФЗ, оператор обязан уведомить уполномоченный орган (Роскомнадзор) о своем намерении обрабатывать персональные данные ДО начала такой обработки.

Самая грубая и критичная ошибка – это полное отсутствие уведомления о начале обработки ПДн в территориальном органе Роскомнадзора. Если вы планируете трансграничную передачу данных, уведомление о таком намерении также должно быть направлено ДО начала этой деятельности.

Но даже если уведомление отправлено, есть другие распространенные ошибки:

• Неверное заполнение полей уведомления. Каждая деталь имеет значение.
• Предоставление неполных сведений. Уведомление должно содержать исчерпывающую информацию о вашей деятельности как оператора ПДн.
• Несвоевременное обновление сведений. Если что-то меняется в вашей работе с ПДн (цели, категории данных, меры защиты), информацию в уведомлении необходимо актуализировать.

Как избежать: Назначьте ответственного сотрудника, который будет следить за актуальностью направленных сведений. Заполняйте уведомление через специальную форму на сайте Роскомнадзора, выбирая данные из выпадающих списков – это минимизирует риск ошибок.

Отдельно стоит упомянуть ошибку, которая была актуальна после изменений, внесенных Законом № 266-ФЗ: отсутствие в уведомлении цели обработки ПДн работников, связанной с соблюдением трудового законодательства РФ. До 01.09.2022 года уведомление об обработке ПДн сотрудников не требовалось, но с этой даты оно стало обязательным. Проверьте, добавлена ли эта цель и соответствующий перечень ПДн в ваше уведомление.

Кстати, за непредоставление или предоставление неполных/недостоверных сведений в Роскомнадзор КоАП РФ (статья 19.7) предусматривает штрафы.

Проблемы с Политикой обработки персональных данных

По статистике Роскомнадзора, одним из самых частых нарушений является отсутствие политики обработки персональных данных в свободном доступе [Источник: данные статистики Роскомнадзора из исходной статьи]. А ведь часть 2 статьи 18.1 Закона № 152-ФЗ прямо обязывает оператора опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.

Важно: Если вы собираете ПДн на своем сайте (например, через формы обратной связи, подписки), ссылка на вашу Политику должна быть размещена на ВСЕХ страницах сайта, где осуществляется сбор данных. Часть 2 статьи 18.1 также требует публикации сведений о реализуемых оператором требованиях к защите ПДн. Этот перечень может быть частью Политики или отдельным документом.

Роскомнадзор выделяет следующие типичные ошибки при работе с Политикой:

• Документ отсутствует или размещен не везде, где собираются данные.
• Ссылка ведет на другой, не относящийся к политике документ.
• Используется чужая Политика с упоминанием другой организации. (Копировать нужно очень осторожно, адаптируя под свою деятельность!).
• В документе отсутствуют обязательные сведения, предусмотренные пунктом 2 части 1 статьи 18.1 Закона № 152-ФЗ, или они не соответствуют реальной деятельности оператора.
• Политика полностью дублирует положения Закона № 152-ФЗ, не конкретизируя деятельность оператора.

Чтобы ваша Политика была корректной, она должна содержать (как минимум, согласно пункту 2 части 1 статьи 18.1 Закона № 152-ФЗ и рекомендациям Роскомнадзора):

• Информацию об операторе.
• Цели обработки ПДн.
• Категории и перечень обрабатываемых данных.
• Категории субъектов ПДн.
• Способы и сроки обработки и хранения ПДн.
• Порядок уничтожения ПДн.
• Правовые основания обработки ПДн.
• Меры, которые оператор принимает для выполнения обязанностей по Закону № 152-ФЗ.
• Способы связи с оператором (адрес, email и т.д.).

Документ должен быть не просто формальностью, а реально отражать ваши процессы работы с данными.

Неактуальные или отсутствующие локальные нормативные акты (ЛНА)

Политика – это, по сути, верхнеуровневый документ. Для детального регулирования процессов обработки ПДн оператор должен разработать комплект локальных нормативных актов. И здесь тоже есть свои подводные камни.

Одна из частых ошибок – использование устаревшей терминологии в ЛНА. Закон № 152-ФЗ действует с 2006 года, и с тех пор законодательство менялось. Например, в ЛНА, касающихся обработки ПДн работников, до сих пор можно встретить определение персональных данных работника из старой редакции статьи 85 Трудового кодекса РФ, утратившей силу еще в 2013 году. Актуальное определение ПДн содержится в пункте 1 статьи 3 Закона № 152-ФЗ: "Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)".

Помимо устаревших терминов, встречается отсутствие или неактуальность других ЛНА, регламентирующих различные аспекты работы с ПДн.

Важно: Непроведение оператором мероприятий внутреннего контроля и/или аудита соответствия обработки ПДн требованиям законодательства – это еще одна типичная ошибка, выявляемая Роскомнадзором при проверках. В ходе аудита (который можно провести самостоятельно или с привлечением сертифицированных экспертов) обязательно включите ревизию ваших ЛНА на актуальность и соответствие законодательству.

Ошибки при обработке персональных данных работников

Обработка ПДн сотрудников – это отдельный большой блок, где операторы совершают множество ошибок.

1. Неознакомление работников с документами по ПДн. Пункт 6 части 1 статьи 18.1 Закона № 152-ФЗ требует ознакомления сотрудников, непосредственно обрабатывающих ПДн, с положениями законодательства о ПДн, требованиями к их защите, а также с внутренними документами оператора (Политикой, ЛНА). Инспекторы Роскомнадзора активно проверяют этот момент. Ознакомление должно быть проведено ДО того, как сотрудник начнет работать с ПДн. Решение: включите все необходимые ЛНА в список документов, с которыми работник знакомится при приеме на работу под подпись (или фиксируйте факт ознакомления в электронном виде).
2. Передача ПДн работника без письменного согласия. Любая передача ПДн третьим лицам (например, для оформления полиса ДМС, в банк для зарплатного проекта, в аффилированную компанию) требует получения письменного согласия работника. Если вы передаете данные контрагентам, убедитесь, что в договоре с ними прописаны их обязанности по обеспечению безопасности обработки ПДн, и что контрагент действительно принимает необходимые меры. Также используйте защищенные каналы связи для передачи данных. Пункт 3 статьи 6 Закона № 152-ФЗ требует не только согласия субъекта, но и наличия у третьего лица собственного соглашения или иного правового основания на обработку этих данных. Отсутствие согласия и/или такого основания у третьего лица – прямой путь к штрафам.
3. Отсутствие перечня лиц с доступом к ПДн. Необходимо утвердить список сотрудников (лучше привязать его к должностям), которым в силу их трудовых обязанностей необходим доступ к ПДн для выполнения конкретных функций (статья 88 Трудового кодекса РФ). Помимо этого, отдельными приказами должны быть назначены ответственный за организацию обработки ПДн и должностное лицо, ответственное за обеспечение безопасности ПДн в информационных системах (особенно если требуется 3-й или более высокий уровень защищенности согласно Постановлению Правительства РФ от 01.11.2012 № 1119).
4. Хранение избыточных документов. Часть 5 статьи 5 Закона № 152-ФЗ гласит: обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям обработки. Это означает, что копии паспорта, СНИЛС, диплома, свидетельств о браке/рождении детей и т.п., полученные от сотрудника, после их использования для достижения конкретной цели (например, оформления личной карточки Т-2), должны быть уничтожены (в том числе в электронном виде) или возвращены работнику. Роскомнадзор считает хранение таких избыточных копий нарушением.
5. Неправомерная обработка специальных категорий ПДн (здоровье, судимость). Сведения о состоянии здоровья (справки об инвалидности и т.п.) и судимости относятся к специальным категориям ПДн и могут обрабатываться только в строго предусмотренных законом случаях. Например, если это напрямую связано с выполнением трудовой функции (водители) или предусмотрено нормативно-правовыми актами (например, сведения о судимости для определенных должностей в соответствии с Положением Банка России от 27.12.2017 № 625-П). Обработка таких данных "на всякий случай" или без четкого законного основания недопустима.
6. Отсутствие норм об ответственности сотрудников за нарушения. Оператор несет ответственность за нарушения, но важно, чтобы и сотрудники осознавали свою ответственность. Включение в должностные инструкции или ЛНА положений о дисциплинарной, материальной и иных видах ответственности работников за невыполнение обязанностей по защите и обработке ПДн является хорошей практикой. Важно письменно ознакомить работника с этими нормами.
7. Отсутствие документа о неразглашении ПДн. Пункт 7 статьи 86 ТК РФ обязывает работодателя защищать ПДн работников от неправомерного использования. Постановление Пленума Верховного суда РФ от 17.03.2004 № 2 разъясняет, что привлечь сотрудника к ответственности за разглашение данных другого работника можно, если информация стала ему известна при исполнении трудовых обязанностей И он дал обязательство о неразглашении. Отсутствие такого обязательства может быть расценено как нарушение как ТК РФ, так и Закона № 152-ФЗ. Оформление документа о неразглашении – принципиально важный шаг.

Обработка избыточных персональных данных

Проблема избыточности данных касается не только сотрудников, но и клиентов. Собирать и хранить данные "на всякий случай", "а вдруг пригодится" – типичная и опасная ошибка. Обрабатываемые ПДн должны соответствовать заявленным целям обработки и не быть избыточными (часть 5 статьи 5 Закона № 152-ФЗ).

Простой принцип: Собирайте только те данные, которые действительно необходимы для предоставления услуги, выполнения договора или соблюдения требований законодательства (например, регуляторной отчетности). Все остальное – избыточно.

Отдельная проблема – хранение так называемых "исторических" данных. Определите четкие сроки хранения данных для разных категорий и целей. Зачем хранить данные клиента, который давно перестал пользоваться вашими услугами, если это не требуется законом?

Почему хранение избыточных и устаревших данных опасно? Во-первых, это прямое нарушение Закона № 152-ФЗ. Во-вторых, в случае утечки пострадает гораздо больший объем информации, что приведет к более серьезным последствиям и штрафам. В-третьих, устаревшие данные могут быть использованы мошенниками. И, наконец, даже без утечки, "исторические" базы могут неправомерно использоваться (например, для "холодных" звонков или рассылок), что приведет к жалобам в Роскомнадзор или Роспотребнадзор и последующим проверкам и штрафам.

Ошибки при уничтожении персональных данных

Уничтожение ПДн – это процесс, который также строго регламентируется, и нарушения в этой области выявляются Роскомнадзором достаточно часто.

Основные ошибки при уничтожении ПДн:

• Несоблюдение сроков уничтожения. Для многих категорий ПДн установлены четкие сроки хранения, после которых данные должны быть уничтожены. Игнорирование этих сроков – нарушение.
• Отсутствие или некорректное оформление документов, подтверждающих уничтожение. Недостаточно просто "удалить" данные. Факт уничтожения должен быть зафиксирован документально в соответствии с требованиями Приказа Роскомнадзора от 28.10.2022 № 179.
• Неправильное определение сроков хранения для различных категорий документов. Здесь часто возникают сложности, особенно в специфических сферах, таких как банковская деятельность. Например, если вы привыкли хранить "клиентские досье" 5 лет в соответствии с Законом № 115-ФЗ (о противодействии легализации), то для некоторых документов, содержащих ПДн, Положение Росархива № 1, Банка России № 801-П от 12.07.2022 устанавливает иные сроки. Например, сведения о квалифицированных инвесторах могут храниться постоянно, а кредитные дела заемщиков с судебным решением – 35 лет. Это требует тщательной ревизии и организации процесса раздельного хранения и уничтожения.

Как избежать: Изучите нормативные акты, устанавливающие сроки хранения документов для вашей сферы деятельности. Разработайте внутренние регламенты по уничтожению ПДн, назначьте ответственных и строго следуйте требованиям Приказа Роскомнадзора № 179 к оформлению актов об уничтожении.

Нарушения, связанные с трансграничной передачей данных

С 01.03.2023 года изменились требования к трансграничной передаче ПДн (передача данных на территорию иностранного государства). Многие операторы до сих пор не привели свои процессы в соответствие.

Типичный пример ошибки – использование метрических программ (например, Google Analytics) без соблюдения требований. Использование таких сервисов веб-аналитики может подпадать под определение трансграничной передачи, поскольку данные пользователей сайта обрабатываются на серверах за пределами РФ.

Если вы используете метрические программы на сайте:

• Необходимо проинформировать об этом пользователей при первом посещении сайта и получить их согласие на обработку ПДн, собираемых этими программами.
• Четко указать, какие именно программы используются.
• Включить соответствующую информацию в Политику конфиденциальности.

Важно: Проверьте не только сам факт использования метрических программ, но и упоминание их в ваших документах, опубликованных на сайте (Политике, документах о cookies и т.п.).

Кстати, говоря о сайте, во избежание проблем с cookies и трансграничной передачей данных через них, разместите всплывающий баннер о cookies, который появляется сразу при входе на сайт. Пользователь должен иметь возможность принять или отклонить сбор cookies. В идеале, дайте возможность управлять категориями cookies (обязательные/технические vs рекламные/аналитические), объяснив, что отключение необязательных cookies может повлиять на функциональность сайта.

Еще один критичный момент, связанный с трансграничной передачей: местонахождение баз данных. Согласно закону, базы данных, в которых хранится и обрабатывается первичная информация о гражданах РФ, должны находиться на территории России. Отсутствие основного хранилища данных в РФ влечет за собой огромные штрафы: от 1 до 6 млн руб. для юридических лиц за первое нарушение, и от 6 до 18 млн руб. за повторное (части 8 и 9 статьи 13.11 КоАП РФ).

Общие нарушения, выявляемые Роскомнадзором

В своих обзорах Роскомнадзор также отмечает ряд общих нарушений, характерных для многих операторов:

• Обработка ПДн без законных оснований. Каждая операция с ПДн должна опираться на одно из оснований, перечисленных в пунктах 2 - 11 части 1 статьи 6 Закона № 152-ФЗ (согласие субъекта, исполнение договора, требования закона и т.п.). Обработка "просто так" запрещена.
• Отсутствие мест хранения материальных носителей ПДн. Если вы ведете бумажный документооборот с ПДн, должно быть четко определено, где эти документы хранятся.
• Отсутствие требований по информированию сотрудников, обрабатывающих ПДн без автоматизации. Даже если сотрудники работают с бумажными документами, содержащими ПДn, они должны быть проинформированы о правилах такой работы и требованиях к защите данных.
• Несоблюдение требований к ведению журналов, содержащих ПДн. Ведение некоторых журналов, связанных с обработкой ПДн, является обязательным и регламентируется подзаконными актами. Нарушения в их ведении также могут быть выявлены при проверке.

Роскомнадзор регулярно публикует обзоры нарушений и методические рекомендации на своем сайте. Изучение этих материалов – отличный способ заранее выявить и исправить потенциальные проблемы в своей работе.

Как избежать ошибок: Внутренний контроль и аудит

Все перечисленные ошибки и нарушения можно (и нужно!) выявлять и устранять самостоятельно. Именно для этого Закон № 152-ФЗ относит проведение мероприятий внутреннего контроля и/или аудита соответствия обработки ПДн законодательству к числу мер, которые оператор обязан принять (статья 18.1).

Внутренний аудит позволяет получить объективную картину реального положения дел, выявить "узкие места" в процессах, проверить актуальность документов и соответствие фактической деятельности законодательству. Проводить аудит можно силами собственных сотрудников (при наличии необходимых компетенций) или с привлечением внешних экспертов.

Рекомендация: Включите в план внутреннего аудита проверку всех перечисленных в этой статье аспектов: корректность уведомлений, полноту и доступность Политики, актуальность ЛНА, правильность обработки данных работников и клиентов, соблюдение правил уничтожения и трансграничной передачи, наличие законных оснований для обработки. Уделите особое внимание процессам, которые выявлялись как источник операционного риска.

Грамотная организация работы с персональными данными – это не только способ избежать многомиллионных штрафов и претензий регуляторов, но и залог доверия ваших клиентов и партнеров. Инвестиции в эти процессы окупаются спокойствием и стабильностью вашего бизнеса.

Часто задаваемые вопросы (FAQ)

Нужно ли уведомлять Роскомнадзор, если мы обрабатываем только персональные данные наших сотрудников?

Да, с 01.09.2022 обработка персональных данных работников для целей соблюдения трудового законодательства РФ также требует направления уведомления в Роскомнадзор в соответствии с Федеральным законом № 266-ФЗ и Законом № 152-ФЗ.

Где именно должна быть размещена Политика обработки персональных данных на сайте?

Ссылка на Политику должна быть доступна с любой страницы сайта, на которой осуществляется сбор персональных данных. Обычно ее размещают в "подвале" сайта или в непосредственной близости от форм сбора данных.

Можем ли мы хранить копии паспортов и других документов сотрудников "на всякий случай"?

Нет, хранение копий документов (паспортов, дипломов, СНИЛС и т.п.) после достижения цели их получения (например, оформления личной карточки) является избыточной обработкой и нарушением части 5 статьи 5 Закона № 152-ФЗ. Копии должны быть уничтожены или возвращены сотруднику.

Что такое трансграничная передача персональных данных?

Это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (статья 3 Закона № 152-ФЗ). Она требует соблюдения ряда дополнительных условий и, как правило, предварительного уведомления Роскомнадзора.

Что будет, если базу данных с персональными данными граждан РФ хранить на сервере за границей?

Это является грубым нарушением Закона № 152-ФЗ и влечет за собой значительные оборотные штрафы в соответствии с частями 8 и 9 статьи 13.11 КоАП РФ.