Полевые заметки: «Знания юриста в области персональных данных – всё»!

Мы открываем новый раздел под названием "Полевые заметки". Короткие истории из наших проектов по обработке персональных данных , защите информации и обучении в области ИБ.

 

«Знания юриста в области персональных данных – всё»!

В день вручения Оскара вспомнилась крылатая фраза из советского оскароносного фильма «Москва слезам не верит»: «… Ну, уж если вы в Моссовете не замужем…». И возникла аналогия с юристами, которых сегодня часто назначают ответственными за работу с персональными данными компании. Ведь юрист фирмы, в сознании многих, - это всезнающий знаток права.

Однако всегда ли это так в случае с персональными данными?

Практика показывает, что нет.

И вот пример из нашей практики. В начале марта мы проводили аудит обработки персональных данных в одной крупной управляющей компании, обслуживающей более 100 тыс. собственников жилья. Начальник юридического отдела накануне встречи с нашим специалистом отдела защиты информации самостоятельно заполнил Анкету для обследования процессов обработки персональных данных по их цели в юр.отделе: «Участие в гражданском, административном, арбитражном судопроизводстве и претензионной работе» и указал всего 4 категории персональных данных, которые, якобы, обрабатываются по всем участникам этого процесса.

Однако, когда наш специалист отдела защиты информации вместе с начальником юридического отдела проводил обследование, анализировал их бизнес-процессы, то оказалось, что по факту по данной цели обрабатывается 14 категорий персональных данных. Для регулятора - отличие принципиальное!

Сейчас многие компании самостоятельно проводят внутренний аудит обработки и защиты персональных данных, и их подразделения предоставляют информацию ответственному за организацию обработки персональных данных. А ответственный по полученной информации должен обновлять Уведомление в Роскомнадзор и размещать на корпоративном сайте «Политику по обработке и защите персональных данных», в том числе - отдельный раздел «Цели обработки персональных данных». Поэтому может оказаться так, что поданная вашей фирмой неточная информация в Уведомлении приведет к штрафу в размере от 100 тыс. рублей. Это - новые изменения в ч.10 ст.13.11 КоАП РФ, которые Государственная дума утвердила в первом чтении в феврале 2024 года. А если возьмем во внимание Приказ Минцифры № 1187 с дополнениями от 17.08.2023 г.,об индикатора риска нарушения обязательных требований в области персональных данных, то три и более факта несоответствия информации в форме Уведомления, будут означать, что Управление Роскомнадзора вправе провести внеплановую проверку организации.

Так что «статус юриста в этой ситуации - ничто, а вот его знания в области персональных данных – всё!»