Полевые заметки: "Как Исполнитель проекта по персональным данным оказал Заказчику «медвежью услугу»"

   Провели в марте у клиента-крупной федеральной промышленной компании, аудит документации по персональным данным, на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик был уверен, что статусный исполнитель, с убедительным портфолио, проведет работы качественно и компетентно.
А что оказалось по итогу?
Приведем лишь один пример из нашего отчета по аудиту. В рамках технического задания, исполнитель подготовил новую редакцию Уведомления об обработке персональных данных, для его подачи в Роскомнадзор, кстати, для данного регулятора, этот документ об операторе персональных данных – главный, основополагающий документ. Мы его часто называем «Портретом оператора». И на наш взгляд, Исполнитель Заказчика сильно подвел, портрет оператора оказался как в «кривом зеркале».
    Исполнитель, по его странному умозаключению, в первом разделе Уведомления: «Цель обработки персональных данных» в большинстве из 17 целей, что он определил по бизнес процессам, в таких например, как «Подготовка, заключение и исполнение гражданско-правового договора», «Обеспечение соблюдения налогового законодательства», «Обеспечение соблюдение пенсионного законодательства», «Обеспечение соблюдение страхового законодательства», «Обеспечение пропускного режима», Прохождение производственной и преддипломной практики», «Продвижение товаров работ и услуг» указал в перечне категорий персональных данных,  специальную категорию «состояние здоровья» а в некоторых целях еще и «национальность».
На наш вопрос при проведении аудита «Почему исполнитель проекта указал данные категории ПДн по данным целям», никто в компании не смог вразумительно ответить, даже в тех отделах, по каким формулировались Цели обработки. Мы думаем, что Исполнитель автоматически копировал перечень категорий ПДн по первой в их списке цели «Кадровый и бухгалтерский учет» и вставлял их в другие разделы. При этом кадровики и бухгалтеры, в своих внутренних типовых формах, могли фиксировать, еще с давних времен, «состояние здоровья» и «национальность» (а это уже другая, еще более штрафная, по ст.13.11 КоАП РФ, история- о законном основании обрабатывать эти специальные категории ПДн).
А что может быть за такую «вольную» информацию?
Во-первых, Роскомнадзор, в каждом регионе группирует операторов, в группы риска, и как следствие, затем регулятор исходя из групп риска, формирует планы проверок на следующие годы. И если оператор ПДн указал в Уведомлении «специальную категорию», то в соответствии с показателями постановления Правительства №1046 о госконтроле за обработкой персональных данных, наш оператор из группы «Умеренного риска» автоматически перейдет в группу «Значительного риска», а это означает, что РКН может включать в план проверок компанию раз в 3 года, а не раз в 6 лет, как предусмотрено постановлением №1046.
Во-вторых, в соответствии с вносимыми дополнениями в ст.13.11 КоАП РФ о нарушениях законодательства по ПДн, Госдума утвердила в феврале 2024 года новую ч.10 ст.13.11 именно по Уведомлению, когда такая «вольная» информация, может стоить компании от 100 тыс. до 300 тыс. штрафа.
В-третьих, в соответствии с Приказом Минцифры №720 от 17.08.2023г. о перечне индикаторов риска, три факта несоответствия информации в Уведомлении и в Политике по обработке персональных данных, а в тексте Политики компания эти специальные категории не указала, т.к. Политика публичный документ, размещенный на сайте (Политику, кстати также подготовил Исполнитель). А информация по целям обработки с перечнем категорий ПДн должна быть синхронизирована в Уведомлении и Политике. Если этого нет, то Роскомнадзор имеет право на внеплановую проверку.
   Вот и получается, что компания, принимая проект от Исполнителя не стала вникать, казалось бы, в такие мелочи, а в результате получила «медвежью услугу».
   Так что «доверяя-проверяй»!