7 нарушений при работе с персональными данными. Что исправить, чтобы не платить штраф?
Кадровик завел папку на нового сотрудника и положил туда ксерокопию паспорта. После покупки в интернет-магазине спамеры завалили навязчивыми звонками. В обеих ситуациях ничего необычного, правда? Но у них есть кое-что общее: обе нарушают требования закона ФЗ-152 «О персональных данных».
Расскажем о частых ошибках и том, как их избежать, в этой статье.
Содержание:
1. Оператор ПД не опубликовал политику конфиденциальности
2. Собрали лишние данные или то, что не имеет отношения к ситуации
3. Человеку не сообщили, зачем нужны его данные
4. Персональные данные опубликовали или передали без разрешения
5. Оператор не отчитался в Роскомнадзор об обработке данных
6. ПД не изменили, не заблокировали и не удалили по просьбе гражданина
7. Данные скопировали и распространили посторонние
1. Оператор ПД не опубликовал политику конфиденциальности
Или спрятал в неочевидном месте. Этот документ обязаны иметь все операторы, он должен быть размещен в общедоступном месте. На сайте – на отдельной страничке, куда можно легко попасть с любой формы заявки или меню. В офлайне – на стенде у входа, в журнале администратора или отдельно на каждом бумажном бланке согласия.
С публикацией Политики о ПД надо уложиться в 10 дней, чтобы не получить штраф от Роскомнадзора.
Кстати: Политика об обработке ПД и Пользовательское соглашение – разные документы, хотя часто их пункты объединяют.
Как исправить:
Подготовить документ Политики с юристом и разместить так, чтобы каждый мог свободно прочитать все пункты. Для сайтов стоит выбирать сервисы по созданию форм связи из реестра операторов ПД Роскомнадзора. В их формы уже включено соглашение об обработке ПД.
2. Собрали лишние данные или то, что не имеет отношения к ситуации
Таким иногда балуются недобросовестные онлайн-сервисы. Например, запрашивают полные паспортные данные при регистрации на портале, хотя достаточно только логина и пароля.
Как исправить:
Подумать, какие данные действительно нужны, и перестать собирать лишнее. Оператор должен быть готов к проверке Роскомнадзора и обосновать, зачем ему нужны фамилии, сведения о дате рождения или номер паспорта.
3. Человеку не сообщили, зачем нужны его данные
Пациент заполняет форму перед онлайн-приемом врача. Вбивает данные о росте и весе, напряженно вспоминает цифры давления. С удивлением доходит до вопросов о заработке и социальном положении. Стесняется спросить об этом напрямую на консультации, решив, что потом поищет ответы на самом сайте. Находит Политику конфиденциальности, но в ней не сказано, зачем понадобились сведения о его зарплате и где их будут хранить.
Как исправить:
Подробно разъяснить все в Соглашении об обработке так, чтобы у клиентов не осталось вопросов. Объясняйте прямо: сведения о росте и весе помогут узнать, есть ли риск гипертонии. А вот заработок пациента врача волновать не должен, этот пункт явно лишний. Зато он может потребоваться менеджерам автосалона, которые подготовят предложение о кредите.
4. Персональные данные опубликовали или передали без разрешения
Раньше это было повсеместно. Списки новоиспеченных мам с метриками малышей вывешивали в холле роддома, чтобы порадоваться могли все родственники. Сейчас такое представить сложно, но нарушения все же встречаются. Например, номер из базы банка слили конкурентам, которые навязчиво предлагают кредит.
Как исправить:
Перед любой передачей или публикацией данных спрашивать согласие. Обязательно в письменном виде. Галочка в окошке в форме на сайте напротив Соглашения о ПД считается таким согласием.
5. Оператор не отчитался в Роскомнадзор об обработке данных
РКН проводит как плановые проверки, так и внеплановые, по жалобам граждан. Если хоть один из десятков тысяч пользователей интернет-магазина посчитает, что его данные запросили зря, начнется проверка. Нарушением считается и информация об обработке ПД в урезанном или искаженном виде.
Как избежать:
Все просто и одновременно сложно: быть готовым к проверке! Внимательно составить Соглашение о ПД с юристом или выбрать сервис с уже встроенными проработанными формулировками.
6. ПД не изменили, не заблокировали и не удалили по просьбе гражданина
Вы перестали пользоваться сервисом и попросили удалить учетную запись. Сменили фамилию и сообщили об этом в регистратуру клиники. Попросили удалить номер из рассылки магазина. Но во всех случаях просьбы так никто и не выполнил.
Как избежать:
Вовремя реагировать на требования пользователей и клиентов. Даже если их тысячи, и нет времени возиться с этим. Каждый имеет право поступать со своими данными так, как хочется.
7. Данные скопировали и распространили посторонние
Данные сотрудников передали в банк для оформления зарплатных карт, а те слили базу посторонним.
Воспитатель с разрешения родителей вывесила в группе список детей с показателями, кто как вырос за год. Одна из мам сфотографировала листок и опубликовала на своей открытой страничке в соцсети.
Бухгалтер оставила на столе зарплатную ведомость и вышла на минуту. Сотрудник сделал фото и разместил в местном городском паблике.
Во всех случаях нарушителям грозят штрафы.
Как избежать:
Офлайн: хранить данные в надежном месте, закрепить ответственного. Онлайн: следить за безопасностью на сайте, проводить профилактику утечек с помощью ПО, грамотно распределять права доступа сотрудников к CRM, метрикам, облачным хранилищам.
Эту статью мы начали с примера о приеме на работу. Часто кадровики уверены, что имеют право хранить ксерокопии паспортов неограниченное время. Но многие ли объяснят, зачем? Закон разрешает лишь переписать сведения из паспорта в карточку сотрудника. Хранение копий документов без обоснования – одно из самых частых нарушений, которое находят при проверке специалисты Роскомнадзора. Так что совет для обработки ПД офлайн: всегда держите наготове веское обоснование для РКН, зачем вы храните те или иные данные.
Владельцам сайтов будет непросто соблюдать закон, теперь штрафы подстерегают за каждое нарушение. Если вы готовы пройти весь путь оператора ПД самостоятельно, на это потребуется много времени, нервов и денег. Деньги пойдут на юристов и программистов, которые должны наладить обработку данных по новым правилам.
Но есть и более простой путь: выбрать надежного оператора и доверить ему работу с персональными данными.
Он должен соответствовать критериям:
- быть в реестре РКН,
- предоставлять весь пакет готовых и юридически проработанных документов (политику, соглашение и другие),
- хранить данные на территории России.
Круг сужается, ведь большинство операторов не сочетают все эти пункты. Среди российских операторов, которые соответствуют закону, стоит выделить сервис Qform. Это конструктор онлайн-форм, который избавит от лишних расходов на юриста и программиста. Сервис готов наладить обработку данных в компании любого уровня: частной, государственной, муниципальной, независимо от целей и количества сотрудников. Все данные будут храниться внутри страны, а значит, проблем с трансграничной передачей не будет.
Но это еще не все: сервис удобен еще и тем, что рассчитан на работу без программиста. Создавать формы и опросы можно без знания кода, для этого нужен всего лишь компьютер. Он позволяет управлять уровнями доступа: вы сами распределяете, кто из сотрудников отвечает за данные. Это тоже большой плюс как при проверке РКН, так и для удобства в организации.
Читать по теме:
- Никаких поблажек нарушителям: что ждет операторов персональных данных после изменений в законе 152-ФЗ
- Виды персональных данных: зачем кому-то знать ваше имя, вес и номер телефона?
- Вы оператор персональных данных — как избежать неприятностей?
компании
.png.a3d6120d4f3859dac1c837eec83c1f25.jpg){kind=logo}
.jpg.a3d6120d4f3859dac1c837eec83c1f25.jpg)
.jpg.a3d6120d4f3859dac1c837eec83c1f25.jpg)
Все права защищены
Всего комментариев: 0
Оставить отзыв