Кто-то считает дни до прихода проверяющих из Роскомнадзора, к кому-то они уже приходили. И у кое-кого кое-где выявили кое-какие нарушения кое-какого законодательства о персональных данных. Оставим пока законодательство в стороне, не будем бросать камни в кривое зеркало колодец, просто посмотрим, какие нарушения находят проверяющие. Не буду называть название компании, не известно, что еще у нас найдут проверяющие (тьфу-тьфу-тьфу, не к ночи будут помянуты), желающие сами смогут найти на сайте Роскомнадзора. Нарушения были следующие:
- В типовом договоре на оказание ... услуг, заключённому между компанией А (Заказчик) и компанией Б (Исполнитель), отсутствует существенное условие договора, а именно, обязанность обеспечения оператором и третьими лицами конфиденциальности и безопасности персональных данных при их обработке.
- Персональные данные получателей услуг поступают Компанию А от компаний В, Г, ... Я в виде списков (реестра). На момент проведения проверки документы, подтверждающие получение субъектами персональных данных информации не представлены.
- На момент проведения проверки не представлены документы, определяющие места хранения персональных данных, а так же перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
- На момент проведения проверки установлено, что в компании А не определен перечень мер, необходимых для соблюдения условий, обеспечивающих сохранность персональных данных и исключающий несанкционированный доступ к ним, а также перечень лиц, ответственных за реализацию указанных мер.
По результатам проверки компании А вынесены предписания об устранении вышеуказанных нарушений действующего законодательства в области обработки персональных данных. Также материалы переданы в прокуратуру N-ской области для принятия мер прокурорского реагирования. Не фунт изюму, доложу я вам...
Создается впечатление, что проверяющих интересовало скорее наличие неких формальных атрибутов защиты, нежели адекватность усилий оператора по защите персональных данных ни в чем не повинных и ничего не подозревающих субъектов. Или же регулятор и вправду считает, что наличие оговорки в договоре, пожарный комплект документов, приказ о назначении мальчиков отпущения ответственных - все эти ритуалы способны обеспечить магическую защиту персональных данных и, что еще лучше, способны навести порчу на похитителей душ персональных данных? Судя по тому, что в отечественный закон не вошли такие краеугольные положения Евроконвенции, как баланс интересов операторов и субъектов ПДн, а так же принцип адекватности стоимости системы защиты причиненному ущербу.
Так что пока наших регуляторов интересуют, как бы помягче сказать, "шашечки", а не "ехать". Когда же поедем, и поедем ли вообще?