Какие ошибки чаще всего находит Роскомнадзор при проверках хранения персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор при проверках особое внимание уделяет хранению персональных данных. Нарушения в этой сфере встречаются часто, и большинство из них связано не столько с отсутствием документов, сколько с несоответствием реальных процессов установленным регламентам.

Чаще всего выявляются следующие ошибки:

• Нет перечня мест хранения ПДн — организация не зафиксировала, где именно хранятся базы данных, архивы, бумажные дела.
• Несоответствие документов фактическому порядку — в положении прописано хранение только в сейфах, а по факту папки лежат в открытых шкафах.
• Отсутствие или формальное ведение журналов — журналы доступа и передачи ПДн существуют, но не ведутся регулярно, записи вносятся задним числом.
• Слишком длинные сроки хранения — данные остаются в архиве даже после окончания целей обработки, без актов об уничтожении.
• Неправильная организация электронного хранения — базы не защищены паролями, резервные копии не шифруются, сотрудники хранят ПДн на личных ноутбуках.
• Нет актов об уничтожении ПДн — документы уничтожаются, но подтверждающие акты не оформляются.
• Доступ у слишком большого числа сотрудников — нет ограничений доступа, в том числе к архивам и базам.
• Отсутствие инструкций для работников — сотрудники не знают, как правильно хранить и уничтожать ПДн, что ведёт к утечкам.

Обоснование по законодательству

• ФЗ-152, ст. 19 — оператор обязан обеспечивать сохранность ПДн и предотвращать несанкционированный доступ.
• Постановление Правительства № 1119 — требует документально подтверждать организационные и технические меры защиты.
• Приказ Роскомнадзора № 996 — указывает, что проверке подлежит как документация, так и фактическое выполнение требований.

Примеры из практики проверок

В одной компании РКН нашёл, что доступ к архиву с личными делами сотрудников был у всех работников офиса — это признали нарушением режима хранения. В другой организации базы ПДн хранились на ноутбуках менеджеров без пароля и антивируса — вынесли предписание об устранении.

Часто штрафы назначают за то, что данные не уничтожаются вовремя, хотя формально политика хранения была утверждена.

Что важно учесть организациям

• Документы должны соответствовать реальным процессам.
• Журналы и акты нужно вести регулярно и корректно.
• Хранение должно быть организовано как для бумажных, так и для электронных носителей.
• Ответственный за ПДн обязан контролировать фактическое соблюдение регламентов.

Рекомендации и выводы

Чтобы избежать штрафов и предписаний, организациям нужно не только разработать пакет документов, но и реально внедрить процедуры хранения ПДн. Это позволит пройти проверку без претензий и снизить риск утечек.

Компания ICTech поможет вашей организации выявить слабые места, подготовить документы и наладить практическое исполнение требований по хранению ПДн.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге