Персональные данные

Политика обработки ПДн на сайте еще не означает, что компания управляет этими персональными данными. Согласие может закрывать один сценарий, а данные уже живут дальше — в Excel-выгрузке, тестовой базе, подрядном сервисе, ИИ-пилоте или межведомственном обмене. Так появляется разрыв между документами и реальным маршрутом данных. IT-World попросил экспертов посмотреть на персональные данные со стороны ИТ, ИБ, юридического сопровождения и госсектора.

Евгений Царев:
Для многих руководителей и ИТ-директоров комплаенс в сфере персональных данных (ПДн) — что-то вроде оберега. Повесили на сайт политику конфиденциальности, внедрили галочку «Согласен на обработку», собрали подписи с сотрудников — и можно спать спокойно.

Знакомая ситуация? А сейчас расскажем, почему оберег не всегда работает. Проблемы с Роскомнадзором и судами возникают не потому, что нет бумажки. Они случаются, если компания собирает тонны лишней информации, путает цели ее использования или годами не обновляет документы. Здесь разберем главные иллюзии безопасности и «красные флаги», о которых важно помнить операторам ПДн.

Иллюзия 1. Возьмем согласие на всякий случай Бизнес любит запасаться бумажками, а в сфере ПДн часто исходит из принципа «чем больше согласий мы соберем, тем безопаснее». Это серьезная ошибка. Согласно ст. 6 152-ФЗ, согласие нужно только тогда, когда иные основания неприменимы для данной цели. Что это означает на практике? В качестве примера возьмем оформление командировки. Организация проезда и проживания — это прямая обязанность работодателя по Трудовому кодексу (ст. 168 ТК РФ). Данные передаются в рамках исполнения договора. Но кадры упорно берут с сотрудника отдельное согласие «на всякий случай». В итоге лишняя бумага из средства защиты превращается в повод для штрафа за некорректно выбранное правовое основание.

Иллюзия 2. Если есть согласие, лучше собрать максимум данных Даже абсолютно добровольное согласие не дает права нарушать принцип минимизации данных. Если для покупки авиабилета сотруднику нужны только ФИО и паспорт, а в кадровой анкете «на всякий» требуют СНИЛС, ИНН, контакты супруга, знак зодиака и размер одежды для будущего мерча — нарушается закон. Обработка избыточных данных нелегальна по умолчанию, подпись человека ее не легализует.

Иллюзия 3. Одно согласие работает для всех То же самое касается передачи данных третьим лицам. Отель или транспортная компания не начнут законно обрабатывать данные вашего сотрудника только потому, что он подписал вам согласие. Между вашей компанией и контрагентом должен быть договор поручения обработки. Без него вы автоматически становитесь виновными в незаконном распространении ПДн. Шаблонные документы по ПДн, скачанные из Интернета или составленные юристом общего профиля пять лет назад, не работают. Реальная безопасность — это прозрачная архитектура данных, жесткая минимизация сбора и четкие договоры с теми, кому вы эти данные доверяете. Даже если все настроено и работает отлично, периодически стоит проводить проверку. Чтобы понять, что документы устарели и не соответствуют реальности, нужно искать конкретные «красные флаги». Ниже предлагаем рабочий чек-лист. Эта таблица поможет провести быструю проверку. Утвердительный ответ на любой из вопросов — сигнал того, что имеется нарушение, которое необходимо как можно скорее устранить.

Источник: ИТ Клуб

Предоставлю подробную консультацию

Предложу актуальное и наиболее выгодное решение Вашей проблемы.