Страницы

Стандартные грабли при проверке РКН по ПДн

Попалось мне на глаза одно предписание об устранении выявленного нарушения, и, т.к. нарушения в нем достаточно типовые, я решил его опубликовать.

На сегодняшний день Роскомнадзор уже набрал достаточный опыт, чтобы проводить быстрые и грамотные проверки условий обработки персональных данных в различных организациях. Они уже знают "больные места" выполнения требований 152-ФЗ "О персональных данных" и сразу запускают "сканер уязвимостей с сигнатурным анализом" при проверках.

Минусом такого подхода является "специализация" проверок - они, в основном, рассчитаны на отдел кадров и бухгалтерию (то, что есть в любой организации любого размера). Поэтому, из моего опыта, даже крупных операторов с миллионными базами ловят, в основном, на мелочах из собственного отдела кадров.

Ну ближе к делу...

1. Скан паспорта - биометрические персональные данные
От копий паспорта лучше отказаться везде, где только можно. В Краснодаре одна крупная компания ЖКХ собирала копии паспортов граждан потому что "девочка при вбивании данных в компьютер может ошибиться, тогда можно посмотреть ксерокс паспорта и все исправить".
Если вам все-таки нужны копии паспортов - закрывайте, заклеивайте или закрашивайте фломастером фотографию.

2. Сведения о родственниках
Любая организация, ведущая кадровый учёт, имеет право (и даже обязана) обрабатывать сведения о ближайших родственниках, но только степень родства, ФИО и год рождения. Уведомлять родственников в таких случаях не требуется (см. ч.4 ст.18 152-ФЗ "О персональных данных").

3. Поручение оператора в договоре с зарплатным банком
В договоре с зарплатным банком должен быть раздел "Конфиденциальность", в котором "должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19..." (см. ч.3 ст.6 152-ФЗ "О персональных данных"). 
Банки редко когда сами предлагают добавить этот пункт в договор, поэтому шевелиться в этом направлении должен именно оператор.

На этом список не заканчивается, но указанные нарушения встречаются чаще всего.

Собственно, как показывают события недавних дней, 152-ФЗ это отличный рычаг давления на любую организацию (особенно если увеличат штрафы до миллиона рублей), поэтому к исполнению законодательства о защите персональных данных нужно подходить очень внимательно и аккуратно. 

3 комментария:

  1. Год назад уже писал на эту тему.
    О том что наш, Краснодарский РКН, неверно трактует биометрические данные http://sborisov.blogspot.com/2011/09/blog-post_29.html

    Год прошел, но ничего не поменялось.

    ОтветитьУдалить
    Ответы
    1. много кто писал, не только ты.

      по мне так от копий паспортов 90% организаций могут вполне безболезненно отказаться.

      Удалить
    2. Ксерокопии паспортов - это обработка ПДн, не соответствующая целям обработки ПДн.
      А они трактуют как обработка биометрии без согласия пользователей.
      Я не согласен только с формулировкой нарушения.

      То что это нарушение - однозначно.

      Удалить