Типовые нарушения в сфере защиты персональных данных в 2024 году, по результатам деятельности РКН.

⁉️   За что могут и будут штрафовать, согласно изменениям регуляторики по ПДн, которые принесли компаниям увеличение штрафов за утечки персональных данных

РКН выделяет типовые нарушения в сфере защиты персональных данных в 2024 году:

1️⃣  Обработка персональных данных в случаях непредусмотренных законодательством.

2️⃣  Несоблюдение требований по обеспечению возможности выражения волеизъявления субъектом ПДн при осуществлении Оператором сбора ПДн в сети «Интернет».

3️⃣ Несоответствие документа, определяющего политику в отношении обработки ПДн требованиям ФЗ-152. Несоблюдение требований по опубликованию или обеспечению неограниченного доступа к политике, в том числе на страницах сайта.

4️⃣ Обработка персональных данных в отсутствие указания сроков обработки ПДн.

Размер штрафа варьируется в зависимости от количества пострадавших субъектов и может достигать 15 миллионов рублей.

 ⁉️Что сделать чтобы избежать штрафов  

 💡 Правовые основания обработки должны однозначно соответствовать целям обработки. Объем данных не должен превышать определенный в законодательстве, а цели обработки, заявленные в согласиях, должны однозначно соответствовать объему обрабатываемых ПДн. 

  Пример, обработка в рамках ТК РФ не предусматривает обработку данных соискателей вакантных должностей, этот процесс требует отдельного согласия. 

💡 Для каждой цели должен быть определен свой состав ПДн. Рекомендуется формировать согласие под каждую отдельную цель обработки, либо использовать модульную структуру согласий.

  Пример: рамках ТР РФ нельзя обрабатывать полную дату рождения близких родственников. Форма Т-2 предполагает сбор только ФИО, степени родства и года рождения, для иных данных требуется отдельное согласие.  Сбор полной даты рождения является частой ошибкой.

💡 При осуществлении сбора ПДн через информационные ресурсы в сети «Интернет» - веб-сайты, оператор обязан получить однозначное и сознательное согласие. Бездействие субъекта не может являться согласием.

  Пример, является недопустимым заполнять чек-бокс согласия за субъекта ПДн. Также чек-бокс должен содержать ссылку на согласие субъекта ПДн. Не допускается объединение чек-бокса согласия на обработку ПДн с иными согласиями, либо подтверждениями ознакомления.

 💡 Политика, размещённая на сайте оператора ПДн, должна быть доступна на всех страницах, на которых осуществляется сбор ПДн. При формировании политики следует использовать типовые формы, разработанные Роскомнадзором. Требования к формированию политики – тема для отдельного поста, так что к этому вопросу мы еще вернемся. 

 💡 В теле согласий на обработку ПДн рекомендуется фиксировать сроки обработки ПДн и условия, при которых оператор может продолжать обрабатывать ПДн без согласия. Соответствующие сведения должны быть закреплены в ОРД оператора.

Бессрочная обработка ПДн недопустима. Оператор должен прекратить обработку, а ПДн уничтожить, по достижению целей обработки, либо при отзыве согласия субъекта, если иное не предусмотрено законодательством. Это же касается и автоматизированной обработки ПДн и удалению данных из систем.