Провели в марте у клиента — крупной федеральной промышленной компании — аудит документации по персональным данным на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик был уверен, что статусный исполнитель с убедительным портфолио проведет работы качественно и компетентно.
А что оказалось по итогу? Приведем лишь один пример из нашего отчета по аудиту. В рамках технического задания исполнитель подготовил новую редакцию Уведомления об обработке персональных данных для его подачи в Роскомнадзор. Кстати, для данного регулятора этот документ об операторе персональных данных является главным, основополагающим документом. Мы его часто называем «портретом оператора». И на наш взгляд, исполнитель заказчика сильно подвел: портрет оператора оказался как в «кривом зеркале».
Исполнитель, по его странному умозаключению, в первом разделе Уведомления: «Цель обработки персональных данных» в большинстве из 17 целей, которые он определил по бизнес-процессам, например, таких как «Подготовка, заключение и исполнение гражданско-правового договора», «Обеспечение соблюдения налогового законодательства», «Обеспечение соблюдения пенсионного законодательства», «Обеспечение соблюдения страхового законодательства», «Обеспечение пропускного режима», «Прохождение производственной и преддипломной практики», «Продвижение товаров, работ и услуг», указал в перечне категорий персональных данных специальную категорию «состояние здоровья», а в некоторых целях еще и «национальность».
На наш вопрос при проведении аудита «Почему исполнитель проекта указал данные категории ПДн по данным целям?» никто в компании не смог вразумительно ответить, даже в тех отделах, где формулировались цели обработки. Мы думаем, что исполнитель автоматически копировал перечень категорий ПДн по первой в их списке цели «Кадровый и бухгалтерский учет» и вставлял их в другие разделы. При этом кадровики и бухгалтеры в своих внутренних типовых формах могли фиксировать еще с давних времен «состояние здоровья» и «национальность» (а это уже другая, еще более штрафная, по ст. 13.11 КоАП РФ история — о законном основании обрабатывать эти специальные категории ПДн).
А что может быть за такую «вольную» информацию?
Во-первых, Роскомнадзор в каждом регионе группирует операторов в группы риска, и как следствие, затем регулятор исходя из групп риска формирует планы проверок на следующие годы. И если оператор ПДн указал в Уведомлении «специальную категорию», то в соответствии с показателями постановления Правительства № 1046 о госконтроле за обработкой персональных данных наш оператор из группы «Умеренного риска» автоматически перейдет в группу «Значительного риска», а это означает, что РКН может включить в план проверок компанию раз в 3 года, а не раз в 6 лет, как предусмотрено постановлением № 1046.
Во-вторых, в соответствии с вносимыми дополнениями в ст. 13.11 КоАП РФ о нарушениях законодательства по ПДн Государственная дума утвердила в феврале 2024 года новую ч. 10 ст. 13.11 именно по Уведомлению, когда такая «вольная» информация может стоить компании от 100 тыс. до 300 тыс. рублей штрафа.
В-третьих, в соответствии с Приказом Минцифры № 720 от 17.08.2023 г. о перечне индикаторов риска, три факта несоответствия информации в Уведомлении и в Политике по обработке персональных данных, а в тексте Политики компания эти специальные категории не указала, так как Политика — публичный документ, размещенный на сайте (Политику, кстати, также подготовил Исполнитель). А информация по целям обработки с перечнем категорий ПДн должна быть синхронизирована в Уведомлении и Политике. Если этого нет, то Роскомнадзор имеет право на внеплановую проверку.
Вот и получается, что компания, принимая проект от Исполнителя, не стала вникать, казалось бы, в такие мелочи, а в результате получила «медвежью услугу». Так что «доверяй, но проверяй!»