SOS
ещё
свернуть
Все статьи номера
19
Октябрь 2019года
Кадровая работа
Защита персональных данных

Реальные истории про штрафы за нелепую утечку персональных сведений

Роскомнадзор по-новому проверяет, как компании хранят персональные данные сотрудников. Приехать с проверкой могут по жалобе или сообщениям в СМИ. В статье — свежие истории, как утекли персданные из организаций, и подсказки, как бухгалтеру не стать крайним, если его назначили ответственным за обработку личной информации сотрудников.

Документы оказались на свалке

Опасно

За неправильное хранение личных данных, когда они становятся общедоступными, компанию могут оштрафовать.

В августе в Подмосковье на одной из нелегальных свалок местные жители обнаружили документы Минфина с персональными данными сотрудников ведомства. Пресс-служба министерства, комментируя происшествие, сообщила, что документы на свалку попали по вине подрядчика.

Подобные истории происходят каждый месяц. Организации и учреждения случайно выбрасывают документы с личными данными сотрудников вместе с мусором. Вот сводка только за три последних месяца: 26 июля на свалке в Санкт-Петербурге найдены копии паспортов, медицинских книжек, номера телефонов и бухгалтерская отчетность жителей города (газета «Известия»). 2 июля, г. Курск: в лесополосе найдены ксерокопии паспортов, страховых и медицинских полисов, свидетельств о рождении жителей (Интерфакс). 7 июня, г. Сочи: на проезжей части обнаружены визовые анкеты с подробными персональными данными, номерами мобильных телефонов, фотографиями и ксерокопиями паспортов (канал «Sochi 24.tv»).

Почему документы попали на свалку, обычно выясняет полиция. Результаты расследования МВД отправляет в Роскомнадзор, который решает, как наказать компанию. За неправильное хранение личных данных, когда они становятся общедоступными, компанию могут оштрафовать на сумму от 25 000 до 50 000 руб. Штраф для должностных лиц — от 4000 до 10 000 руб. (п. 6 ст. 13.11 КоАП).

Роскомнадзор может и без предписания полиции проверить, почему компания нарушила порядок обработки персданных. С 2019 года основанием для проведения внеплановых проверок могут стать жалобы граждан и иная информация о нарушениях, например сообщения в СМИ (подп. «б» п. 54 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утв. постановлением Правительства от 13.02.2019 № 146). В этом случае решение о проведении внеплановой проверки принимает руководитель после рассмотрения докладной записки.

Как не остаться крайним. Сложно проследить за тем, как отделы избавляются от устаревших и ненужных документов. Чтобы организация не попала в заголовки СМИ, как это получилось у Минфина, и не пришлось искать крайнего, необходимо проследить, как отделы работают с документами, в которых содержится личная информация сотрудников. Разработайте план для проведения внутреннего контроля обработки персданных (п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Создайте комиссию, которая будет анализировать документы, изучать процессы обработки личных данных и давать рекомендации по их защите и уничтожению.

Установите порядок уничтожения персональных данных. Разработайте локальный акт об уничтожении. В нем определите, какие способы уничтожения документов и носителей личной информации использовать. Документы, содержащие персональные данные, можно уничтожить в шредере. Можно заключить договор со специализированной организацией об уничтожении документов. Но учитывая, что в похожих ситуациях документы часто попадали на свалку, безопаснее не пользоваться услугами подрядчиков. Переложить на них ответственность за распространение персональных данных ваших сотрудников или клиентов не получится.

Важно

Уничтожением персональных данных должна заниматься комиссия, которую приказом назначает руководитель.

Уничтожением должна заниматься комиссия, которую приказом назначает руководитель. В ее состав включите председателя и не менее двух сотрудников. Одним из членов комиссии назначьте сотрудника отдела, в котором хранились и использовались документы с персданными. Комиссия должна составить перечень документов для уничтожения с учетом сроков их хранения. Уничтожение документов зарегистрируйте в специальном журнале или оформите об этом акт. Роскомнадзор разрешает организациям самим разработать типовые формы акта и журнала (информация Роскомнадзора от 25.09.2015).

Определенных правил, как организации уничтожать персональные данные сотрудников, пока нет. Но чиновники планируют это исправить. Минкомсвязи разработало поправки в Закон о персональных данных (ID проекта: 01/05/08-19/00093621). Правила по уничтожению документов будет утверждать Роскомнадзор.

Блицответы

Что рассказали «Главбуху» в Роскомнадзоре о защите персональных данных

1. Какие нарушения самые частые?
Не получают разрешения на обработку персональных данных. Не утверждают перечень лиц, которые имеют доступ к этим данным. Не уничтожают носители личных данных после того, как достигли целей обработки. Направляют в Роскомнадзор неверные сведения.		2. Сколько компаний и индивидуальных предпринимателей Роскомнадзор проверил в 2019 году?
Проверяющие провели 560 плановых ревизий операторов, осуществляющих обработку персональных данных. В итоге выявили 1697 нарушений. Выписали штрафы на сумму 2 254 600 руб.		3. Приходилось ли в 2019 году выезжать в компании с проверкой по жалобам работников?
В Роскомнадзор поступило более 23 000 жалоб граждан на действия операторов, осуществляющих обработку персональных данных. Внеплановые проверки по жалобам в 2019 году не проводились.

Информация всплыла в интернете

Персональные данные сотрудников в организации хранятся не только на бумаге, но и в базах данных компьютера. Их утечка может произойти по вине сотрудников организации и в результате хакерских атак. В последнее время взломы информационных баз компаний происходят все чаще. Самая громкая история этого года — когда личные данные почти всех сотрудников РЖД появились в Сети. 27 августа об утечке сообщил специалист по корпоративной защите данных, техдиректор DeviceLock Ашот Оганесян. По его словам, в Сеть попали личные данные 703 000 сотрудников, их Ф. И. О., даты рождения, адреса, номера СНИЛС, фотографии, должности, телефоны.

Ответственность за утечку цифровых персданных законом не установлена. Но наказать могут за нарушения требований к безопасности, из-за которых она произошла (ч. 6 ст. 13.11 КоАП). Пока штрафов за такие нарушения не много, рассказал журналу специалист по кибербезопасности.

Привлечь компанию к ответственности могут работники или клиенты, чьи данные попали в Сеть. Они вправе потребовать выплатить им компенсацию. Работодатель в этом случае может взыскать эти суммы с сотрудника, который допустил утечку персданных (ст. 241—243 ТК).

Как не остаться крайним. Ответственный за организацию обработки персональных данных назначается приказом руководителя (ч. 1 ст. 22.1 Закона № 152-ФЗ). Как правило, он отвечает за сохранность информации на бумажных носителях и в электронном виде. Часто в небольших компаниях ответственным назначают кадрового работника или того, кто выполняет его функции. Некоторые организации назначают двух ответственных. Один из них контролирует работу с персональными данными на бумажных носителях, например специалист отдела кадров. Другой — работу с персональными данными в электронном виде, например системный администратор или работник отдела безопасности.

Если организация небольшая и персданные хранятся только в компьютере бухгалтера или кадровика, то защищать надо их компьютеры. Например, все бухгалтерские программы, базу данных, а также пакет офисных программ, операционную систему, монитор и принтер.

Чтобы обеспечить такую защиту, мало просто установить антивирусную программу. Надо еще принять меры для защиты рабочего места и помещения, где стоят компьютеры. Требования к обработке персданных в информационных системах компании перечислены в постановлении Правительства от 01.11.2012 № 1119 и приказе ФСТЭК от 18.02.2013 № 21.

Надо разработать режим безопасности помещений, где стоят компьютеры с персданными. Назначить лиц, ответственных за такую безопасность. Чтобы обеспечить контроль защищенности, один раз в три года проводить контрольные проверки. На договорной основе к таким проверкам можно привлечь специализированные организации.

Штрафы — не конечная цель Роскомнадзора.
Эту позицию ведомство озвучивает на публичных
мероприятиях. Даже если в компании есть нарушения
законодательства о защите персданных, ей дают время,
чтобы их устранить и отчитаться. Обычно это 3—4 месяца.

ИЛЬЯ ШАЛЕНКОВ,
руководитель группы по оказанию услуг
в области защиты информации и кибербезопасности КПМГ в России и СНГ
 
Звезда
за правильный ответ
Тест
Неправильно
Правильно!
Насколько оштрафуют компанию, которая нарушала правила хранения личных данных сотрудников и они появились в интернете?
За неправильное хранение личных данных работников, когда они становятся общедоступными, компанию могут оштрафовать на сумму от 25 000 до 50 000 рублей. Штраф для должностных лиц — от 4 000 до 10 000 руб. (п. 6 ст. 13.11 КоАП).
75 000 руб.
50 000 руб.
100 000 руб.
Перечитать статью и сдать тест еще раз
Микрообучение
Тест  0  / 5
Журнал №1 для бухгалтера в новом формате
О журнале
Архив номеров с 2008 года, правовая база, книги и быстрый поиск
Способы подписки
Позвоните по номеру 8 (800) 505-87-17
или подпишитесь в интернет-магазине
Подписаться
Ознакомительный номер
Все материалы номера открыты
для просмотра без регистрации
Читать