Как не получить штраф за утечку персональных данных
Сейчас, согласно ч. 1 ст. 13.11 КоАП РФ, за утечку персональных данных организация может быть оштрафована на сумму от 60 до 100 тысяч рублей. Штраф не зависит от количества граждан, чьи ПДн оказались в открытом доступе или незаконно были переданы третьим лицам. Роскомнадзор проверяет, как компании хранят персональные данные сотрудников. Приехать с проверкой могут по жалобе или сообщениям в СМИ. В статье - свежие истории, как утекли персданные из организаций, и подсказки, как бухгалтеру не стать крайним, если его назначили ответственным за обработку личной информации сотрудников.
Документы оказались на свалке
В августе 2020г. в Подмосковье на одной из нелегальных свалок местные жители обнаружили документы Минфина с персональными данными сотрудников ведомства. Пресс-служба министерства, комментируя происшествие, сообщила, что документы на свалку попали по вине подрядчика.
Подобные истории происходят каждый месяц. Организации и учреждения случайно выбрасывают документы с личными данными сотрудников вместе с мусором. Вот сводка только за три последних месяца: 26 июля на свалке в Санкт-Петербурге найдены копии паспортов, медицинских книжек, номера телефонов и бухгалтерская отчетность жителей города (газета «Известия»). 2 июля, г. Курск: в лесополосе найдены ксерокопии паспортов, страховых и медицинских полисов, свидетельств о рождении жителей (Интерфакс). 7 июня, г. Сочи: на проезжей части обнаружены визовые анкеты с подробными персональными данными, номерами мобильных телефонов, фотографиями и ксерокопиями паспортов (канал «Sochi 24.tv»).
Почему документы попали на свалку, обычно выясняет полиция. Результаты расследования МВД отправляет в Роскомнадзор, который решает, как наказать компанию. За неправильное хранение личных данных, когда они становятся общедоступными, компанию могут оштрафовать на сумму от 25 000 до 50 000 руб. Штраф для должностных лиц — от 4000 до 10 000 руб. (п. 6 ст. 13.11 КоАП).
Роскомнадзор может и без предписания полиции проверить, почему компания нарушила порядок обработки перс. данных. С 2019 года основанием для проведения внеплановых проверок могут стать жалобы граждан и иная информация о нарушениях, например сообщения в СМИ (подп. «б» п. 54 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утв. постановлением Правительства от 13.02.2019 № 146). В этом случае решение о проведении внеплановой проверки принимает руководитель после рассмотрения докладной записки.
Как не остаться крайним. Сложно проследить за тем, как отделы избавляются от устаревших и ненужных документов. Чтобы организация не попала в заголовки СМИ, как это получилось у Минфина, и не пришлось искать крайнего, необходимо проследить, как отделы работают с документами, в которых содержится личная информация сотрудников и выбрать надежного подрядчика для проведения уничтожения документов содержащих персональные данные. Разработайте план для проведения внутреннего контроля обработки перс. данных (п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Создайте комиссию, которая будет анализировать документы, изучать процессы обработки личных данных и давать рекомендации по их защите и уничтожению.
Установите порядок уничтожения персональных данных. Разработайте локальный акт об уничтожении. В нем определите, какие способы уничтожения документов и носителей личной информации использовать. Документы, содержащие персональные данные, можно уничтожить в шредере. Можно заключить договор со специализированной организацией об уничтожении документов. Но учитывая, что в похожих ситуациях документы часто попадали на свалку, безопаснее не пользоваться услугами подрядчиков. Переложить на них ответственность за распространение персональных данных ваших сотрудников или клиентов не получится.
Уничтожением должна заниматься комиссия, которую приказом назначает руководитель. В ее состав включите председателя и не менее двух сотрудников. Одним из членов комиссии назначьте сотрудника отдела, в котором хранились и использовались документы с перс. данными. Комиссия должна составить перечень документов для уничтожения с учетом сроков их хранения. Уничтожение документов зарегистрируйте в специальном журнале или оформите об этом акт. Роскомнадзор разрешает организациям самим разработать типовые формы акта и журнала (информация Роскомнадзора от 25.09.2015).
Определенных правил, как организации уничтожать персональные данные сотрудников, пока нет. Но чиновники планируют это исправить. Минкомсвязи разработало поправки в Закон о персональных данных (ID проекта: 01/05/08-19/00093621). Правила по уничтожению документов будет утверждать Роскомнадзор.
Если информация "всплыла" в интернете
Персональные данные сотрудников в организации хранятся не только на бумаге, но и в базах данных компьютера. Их утечка может произойти по вине сотрудников организации и в результате хакерских атак. В последнее время взломы информационных баз компаний происходят все чаще. Самая громкая история этого года — когда личные данные почти всех сотрудников РЖД появились в Сети. 27 августа об утечке сообщил специалист по корпоративной защите данных, техдиректор DeviceLock Ашот Оганесян. По его словам, в Сеть попали личные данные 703 000 сотрудников, их Ф. И. О., даты рождения, адреса, номера СНИЛС, фотографии, должности, телефоны.
За какие персональные данные штрафуют
Ответственность за утечку цифровых персданных законом не установлена. Но наказать могут за нарушения требований к безопасности, из-за которых она произошла (ч. 6 ст. 13.11 КоАП). Пока штрафов за такие нарушения не много, рассказал журналу специалист по кибербезопасности.
Привлечь компанию к ответственности могут работники или клиенты, чьи данные попали в Сеть. Они вправе потребовать выплатить им компенсацию. Работодатель в этом случае может взыскать эти суммы с сотрудника, который допустил утечку персданных (ст. 241—243 ТК).
Как не остаться крайним. Ответственный за организацию обработки персональных данных назначается приказом руководителя (ч. 1 ст. 22.1 Закона № 152-ФЗ). Как правило, он отвечает за сохранность информации на бумажных носителях и в электронном виде. Часто в небольших компаниях ответственным назначают кадрового работника или того, кто выполняет его функции. Некоторые организации назначают двух ответственных. Один из них контролирует работу с персональными данными на бумажных носителях, например специалист отдела кадров. Другой — работу с персональными данными в электронном виде, например системный администратор или работник отдела безопасности.
Если организация небольшая и перс. данные хранятся только в компьютере бухгалтера или кадровика, то защищать надо их компьютеры. Например, все бухгалтерские программы, базу данных, а также пакет офисных программ, операционную систему, монитор и принтер.
Чтобы обеспечить такую защиту, мало просто установить антивирусную программу. Надо еще принять меры для защиты рабочего места и помещения, где стоят компьютеры. Требования к обработке перс. данных в информационных системах компании перечислены в постановлении Правительства от 01.11.2012 № 1119 и приказе ФСТЭК от 18.02.2013 № 21.
Надо разработать режим безопасности помещений, где стоят компьютеры с перс. данными. Назначить лиц, ответственных за такую безопасность. Чтобы обеспечить контроль защищенности, один раз в три года проводить контрольные проверки. На договорной основе к таким проверкам можно привлечь специализированные организации.
