"Какие сейчас видны нарушения по результатам проведенных проверок использования персональных данных юрлицами? Не разрабатывается политика, связанная с обработкой персональных данных, не назначаются внутри организации люди, отвечающие за работу с персональными данными. Имеют место случаи, связанные с отсутствием принятия обязательных мер по защите данных: криптографическая и техническая защита информации. К сожалению, нередко встречаются случаи, связанные с избыточной обработкой персональных данных, когда для входа в здание организации, где не требуется каких-либо сверхмер, начинают собираться биометрические данные (отпечатки пальцев) просто для того, чтобы прийти на работу. И это несмотря на то, что организована охрана и турникеты", - рассказал Андрей Гаев. Он отметил, что бывают вопросы отбора данных о родственниках сотрудников в случаях, когда в этом нет необходимости. Для некоторых должностей такие меры предусматриваются, но в целом для рядового сотрудника обычной компании обработка данных о ближайших родственниках избыточна и является нарушением.
По словам директора, если для целей, связанных с заключением договора, оказывается какая-то услуга, то дополнительного согласия не требуется. Заключения договора достаточно, чтобы эта услуга была оказана. Если говорить о рекламной рассылке (предоставлении информации иным структурам), то на это необходимо брать отдельное согласие человека.
Центр занимается разъяснительной деятельностью, в том числе проводит тематические семинары, где рассказывает сотрудникам различных структур об эффективных методах защиты персональных данных и правовой базе гражданина в этой сфере. Итогом этой работы стала разработка портфелей операторов. В них включены образцы документов, которые нужны для того, чтобы надлежащим образом защищать персональные данные: образцы порядка доступа работников к персональным данным, документы, связанные с организацией внутри юридических лиц, и другие. "В самое ближайшее время этот пакет документов будет размещен на сайте Национального центра по защите персональных данных и будет доступен для всеобщего использования. Разъяснительная работа на этих мероприятиях не закончится - она будет носить секторальный характер. В ближайшее время мы будем встречаться с представителями системы здравоохранения, образования. Заканчиваем отработку комплексных вопросов в сфере страхования, работаем с банковской сферой. В целом работа будет носить плановый характер, который вытекает из закона о защите персональных данных, в том числе проверочные мероприятия и аудиты. Организации могут обращаться к нам в центр и заказывать проведение оценочных мероприятий для проверки работы с персональными данными работников", - пояснил Андрей Гаев.
По его словам, в 2022 году проверки запланированы в отношении 6 организаций, представляющих банковскую сферу, ретейл, телекоммуникации, жилищно-коммунальное хозяйство и иные направления. "Мы проводим проверочные мероприятия также в связи с поступающими в центр обращениями граждан. По результатам обращений уже произведено около 20 проверок. Они проводятся без выезда на место, через изучение необходимых документов и направление рекомендаций для устранения возникающих нарушений, - сказал директор. - Мы говорим о балансе, который должен быть достигнут в интересах операторов (как правило, юрлиц, обрабатывающих персональные данные) и граждан, чьи данные используются. За незаконное распространение персональных данных предусмотрена жесткая ответственность - до 5 лет лишения свободы".По материалам БЕЛТА