Топ-10 ошибок в документах по обработке персональных данных

Суммы штрафов за нарушения в области обработки персональных данных (ПДн) регулярно растут. Последний раз это произошло в декабре 2023 года – тогда по некоторым нарушениям их увеличили в два раза. При самом неудачном раскладе штраф достигает 18 миллионов рублей.

В статье разберем наиболее частые ошибки компаний в обработке ПДн, расскажем о штрафах с пятью (и шестью!) нулями, а также о том, что не все так плохо – сразу паниковать не стоит.





  1. В политике по обработке ПДн не определены категории и перечень ПДн, обрабатываемых для каждой цели обработки.

    Если целей обработки персональных данных несколько, то для каждой из них важно прописать свои категории и перечень обрабатываемых персональных данных.

    В случае нарушения штраф для ответственного за обработку ПДн – от 6,000 до 12,000 рублей, для компании – от 30,000 до 60,000 рублей.


  2. В политике пропущены основные нюансы работы с ПДн

    Проверьте, что в ваших документах указаны:

  • Цели обработки ПДн;

  • Для каждой цели:

  • категории субъектов;

  • перечень ПДн;

  • способы обработки;

  • сроки обработки и хранения.

  • Порядок уничтожения ПДн;

  • Информация об обеспечении безопасности.


Если что-то пропустили, есть риск получить штраф для ответственного за обработку ПДн от 10,000 до 20,000 рублей, а для компании от 60,000 до 100,000 рублей.


  1. Некорректно описан перечень обрабатываемых ПДн.

    Перечень ПДн, которые обрабатывает оператор, должен быть закрытым. Так, например, формулировка «иные данные» недопустима.

    Важно указывать точный перечень ПДн, иначе – штраф для ответственного за обработку ПДн от 10,000 до 20,000 рублей, а для компании от 60,000 до 100,000 рублей.


  1. ПДн обрабатываются за рубежом

Если вы будете обрабатывать персональные данные без использования баз данных, находящихся в России, для записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ, то вначале их необходимо внести в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу.

Компании, которые осуществляют трансграничную передачу ПДн, должны уведомлять об этом Роскомнадзор. Передавать ПДн в страны, не обеспечивающие адекватную защиту ПДн, можно только с разрешения Роскомнадзора.

Если запись, систематизация, накопление, хранение, уточнение (обновление, изменение),  извлечение ПДн происходит в базах данных за границей, то можно получить штраф на компанию  от 1,000,000  до 6,000,000 рублей за первое нарушение и от 6,000,000 до 18,000,000 за повторное.

  1. Положение по обработке ПДн распространяется только на работников компании

    Однако такой документ нужен не только для работников, но и для кандидатов на работу. Мы рекомендуем разработать и утвердить новое положение, чтобы оно распространялось и на соискателей.

    Это снизит риски штрафов со стороны Роскомнадзора, которые достигают 12,000 рублей для ответственного за обработку ПДн и 60,000 рублей для компании.


  1. Согласие на обработку ПДн дано для нескольких целей обработки сразу.

    Важно помнить, что в согласии должна быть указана только одна цель.

    Иначе – штраф на ответственного за обработку ПДн от 20,000 до 40,000 рублей и штраф на компанию от 30,000 до 150,000 рублей.


  1. В согласии, получаемом в письменной форме, не указаны все обязательные данные о субъекте ПДн.

 

Проверьте, что в вашем документе есть следующие данные:

  • ФИО;

  • адрес субъекта ПДн;

  • номер документа, удостоверяющего его личность;

  • сведения о дате выдачи указанного документа и выдавшем его органе;

  • адрес субъекта персональных данных.


В случае нарушения предусмотрен штраф на ответственного за обработку ПДн от 20,000 до 40,000 рублей и штраф на компанию от 30,000 до 150,000 рублей.


  1. В согласии некорректно указан срок его действия.


В согласии на обработку ПДн нельзя указывать автопролонгацию. Также нельзя писать, что оно действует «до отзыва согласия» – такой срок признается неправомерным.


Укажите точный срок, чтобы избежать штрафа от 10,000 до 20,000 рублей на ответственного за обработку ПДн или от 60,000 до 100,000 рублей на компанию.

  1. В согласии на обработку ПДн указано больше ПДн, чем в положении об обработке ПДн.

    Важно помнить, что согласие не может противоречить положению, нужно соблюдать единообразие.

    В таких ситуациях мы всегда рекомендуем привести согласие в соответствие с положением, чтобы избежать штрафа на ответственного за обработку ПДн от 20,000 до 40,000 рублей и от 30,000 до 150,000 рублей на компанию.


  1. На сайте нет политики по обработке ПДн

    С учетом размеров и количества штрафов кажется, что проще вообще не размещать политику на сайт. Однако и за это предусмотрен штраф. Ссылка на политику должна быть на всех страницах сайта, где может быть сбор ПДн. Проще всего поместить ссылку в подвал, одинаковый на каждой странице.

    Если забыли – за отсутствие политики по обработке ПДн в свободном доступе можно получить штраф от 30,000 до 60,000 рублей для компании.





И главное.

Помните, что суммы штрафов за первое нарушение невелики – законодатель дает возможность пересмотреть подход компании к обработке ПДн. При корректном оформлении документов и следованию понятным правилам риск получения штрафа минимален.


Свяжитесь с нами


info@runetlex.ru

Москва,
Летниковская, 16

Социальные сети

Youtube
Telegram

Договоры
Оферты
Кадровые документы
Конфликты
Абонентская поддержка
Дизайн
Регистрация
Маркировка рекламы
Оставить заявку