Сейчас практически в любой бизнес-среде точками коммуникации с потребителями услуг являются сайты компаний в сети интернет. Наряду с наиболее частым нарушением по версии РКН - предоставление уведомления об обработке персональных данных с неполными или недостоверными сведениями, вторыми по популярности нарушениями являются - ошибки при работе с персональными данными на интернет-ресурсе. Более того операторы персональных данных бывает и не задумываются, какой угрозе подвергает себя компания, сохраняя резюме кандидатов не пришедших на собеседование при отсутствии согласия на обработку персональных данных (ПДн).
Команда "ПДМастер" собрала для Вас самые частые мифы, которые дорого обошлись кошельку и нервной системе оператора персональных данных.
Иллюзия 1: "Персональные данные хранятся в облаке, соответствующем 152-ФЗ. Теперь сервис-провайдер отвечает за соблюдение закона и штрафы"
Обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться полностью от ответственности.
Отдавая на аутсорсинг хранение персональных данных, сервис-провайдер отвечает только за хранение и уничтожение персональных данных. За остальные операции: сбор, запись, систематизация, накопление, уточнение и др. отвечают компании, которые осуществляют эти операции через сайты в сети интернет (при проведении маркетинговых исследований, при сборе лидов через формы обратной связи, сборе и хранении резюме соискателей вакансий и др.)
"Иллюзия 2: Бухгалтерия на аутсорсе – обязанность по обеспечению мер безопасности передачи персональных данных на контрагенте"
При ведении бухгалтерии на аутсорсе, действует тот же принцип, что и при передаче на аутсорс хранение данных сервис-провайдерам. На что мы действительно рекомендуем обратить внимание – это хранение резюме соискателей кадровым отделом. В случае с получением от соискателя резюме на вакантную должность, нужно пригласить кандидата на собеседование, либо получить согласие субъекта на обработку персональных данных. В ином случае резюме компания обязана утилизировать. Подробнее ситуацию с получением согласия на обработку персональных данных Команда "ПДМастер" рассматривала в цикле вебинаров на тему: «HR и персональные данные работников и соискателей. Играем по правилам РКН»
Иллюзия 3: "Антивируса достаточно для соблюдения 152-ФЗ о персональных данных"
Соблюдение 152-ФЗ начинается не с антивируса и защиты информационных систем и серверов, а с большого кол-ва организационных вопросов, касающихся правового основания обработки персональных данных и правил обработки персональных данных. Роскомнадзор при проведении проверки в первую очередь обратит внимание на фиксацию процессов обработки персональных данных в соответствующих организационно-распорядительных документах. Не стоит недооценивать и такой процесс как: актуализация процессов работы с персональными данными при малейших их изменениях. По наблюдениям Команды "ПДМастер" организации на протяжении пяти лет не вносят изменения в документацию.
Иллюзия 4: "Уведомление об обработке персональных данных в РКН надо направлять всегда"
Компании часто заблуждаются на этот счет. В ч.2 ст. 22 152-ФЗ есть ряд исключений из правил, когда уведомлять Роскомнадзор нет необходимости:
1. Обработка ПДн осуществляется в соответствии с ТК РФ
2. Обработка ПДн, полученных оператором, осуществляется только в целях заключенного договора и не передаются третьим лицам
3. Обработка ПДн осуществляется религиозной организацией, участником которой является субьект ПДн
4. ПДн субъекта персональных данных являются общедоступными
5. ПДн включают в себя только ФИО субъектов персональных данных
6. Обработка ПДн необходима в целях выписки однократного пропуска на территорию, на которой находится оператор
7. ПДн включены в информационные системы персональных данных, имеющие в соответствии статус государственных автоматизированных информационных систем
8. ПДн обрабатываются без использования средств
9. ПДн обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности
Берегите себя и персональные данные ваших клиентов и соискателей!
Будьте в курсе последних изменений в сфере защиты персональных данных с Командой "ПДМастер"👉 подписаться на канал