Попалось мне на глаза одно предписание об устранении выявленного нарушения, и, т.к. нарушения в нем достаточно типовые, я решил его опубликовать.
name='more'>
На сегодняшний день Роскомнадзор уже набрал достаточный опыт, чтобы проводить быстрые и грамотные проверки условий обработки персональных данных в различных организациях. Они уже знают "больные места" выполнения требований 152-ФЗ "О персональных данных" и сразу запускают "сканер уязвимостей с сигнатурным анализом" при проверках.
Минусом такого подхода является "специализация" проверок - они, в основном, рассчитаны на отдел кадров и бухгалтерию (то, что есть в любой организации любого размера). Поэтому, из моего опыта, даже крупных операторов с миллионными базами ловят, в основном, на мелочах из собственного отдела кадров.
Ну ближе к делу...
От копий паспорта лучше отказаться везде, где только можно. В Краснодаре одна крупная компания ЖКХ собирала копии паспортов граждан потому что "девочка при вбивании данных в компьютер может ошибиться, тогда можно посмотреть ксерокс паспорта и все исправить".
Если вам все-таки нужны копии паспортов - закрывайте, заклеивайте или закрашивайте фломастером фотографию.
2. Сведения о родственниках
Любая организация, ведущая кадровый учёт, имеет право (и даже обязана) обрабатывать сведения о ближайших родственниках , но только степень родства, ФИО и год рождения. Уведомлять родственников в таких случаях не требуется (см. ч.4 ст.18 152-ФЗ "О персональных данных").
3. Поручение оператора в договоре с зарплатным банком
В договоре с зарплатным банком должен быть раздел "Конфиденциальность", в котором "должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19..." (см. ч.3 ст.6 152-ФЗ "О персональных данных").
Банки редко когда сами предлагают добавить этот пункт в договор, поэтому шевелиться в этом направлении должен именно оператор.
На этом список не заканчивается, но указанные нарушения встречаются чаще всего.
Собственно, как показывают события недавних дней , 152-ФЗ это отличный рычаг давления на любую организацию (особенно если увеличат штрафы до миллиона рублей), поэтому к исполнению законодательства о защите персональных данных нужно подходить очень внимательно и аккуратно.
