Защита персональных данных в компании: как избежать штрафов

Вопросы, связанные с обеспечения защиты персональных данных в организациях, встают все более остро. С одной стороны, это связано с большим разнообразием ИТ-систем и приложений, которые использует бизнес, появлением более продвинутых хакерских инструментов, с другой — с усилением государственного регулирования, ростом проверок и многократным увеличением штрафов за нарушения. Так, с 1 июля 2017 года вступили в силу поправки к статье 13.11. Кодекса РФ об административных правонарушениях «Нарушение законодательства Российской Федерации в области персональных данных». В новой редакции расширен перечень составов соответствующих правонарушений, а также значительно увеличены размеры штрафов — в среднем в три-семь раз.

Основными болевыми точками среднего и крупного бизнеса в части соблюдения требований российского законодательства в сфере защиты персональных данных (ПДн) являются четыре вопроса:

  • Безопасность обработки ПДн с помощью облачных технологий.
  • Трансграничная передача персональных данных.
  • Обработки и хранения ПДн на сайтах и в мобильных приложениях компаний.
  • Прохождение проверок государственных регуляторов.

Облачные технологии: сложности или возможности?

Облачные технологии достаточно плотно вошли в жизнь российских компаний. Все чаще в облака переносят приложения, хранящие и/или обрабатывающие персональные данные. Речь идет как об использовании ресурсов коммерческих ЦОД, так и о собственной облачной инфраструктуре. В то же время недоверие к облаку, сомнения в том, что оно позволяет защитить информацию на уровне классических ИТ-систем, выполнив в том числе требования государственных и отраслевых регуляторов, – ключевое препятствие на пути развития этих технологий.

На самом деле сегодня в облаке, частном или публичном, можно хранить любые данные, за исключением государственной тайны. Никаких препятствий для обеспечения надлежащей защиты персональных данных в облаке нет. Более того, в ряде случаев мы даже рекомендуем в качестве более экономически выгодного решения перенос части информационных систем в облако внешних провайдеров, сертифицированное и аттестованное под требования закона 152-ФЗ.

Что касается создания «собственного облака», то есть много нюансов и особенностей, которые нужно учесть для обеспечения его безопасности. В зависимости от категорий информации и ее критичности будут отличаться требования и подходы к защите. Главное не увлекаться только техническими мерами защиты, а уделить особое значение организационно-распорядительным мерам и документам. Так, основные риски, с которыми мы чаще всего сталкиваемся, в том числе в крупных организациях, – это неправомерный доступ пользователей к данным как следствие непродуманности всех аспектов взаимодействия пользователей и администраторов с облаком. В организации защиты облака, как, впрочем, и в любом ИБ-проекте, важен комплексный подход с детальным изучением всех моментов.

Хранение и обработка персональных данных за рубежом

С выходом закона о локализации персональных данных россиян на территории России (№ 242-ФЗ) многие организации, особенно представительства международных компаний, столкнулись с проблемой его соблюдения. Им пришлось пойти на значительные затраты, чтобы перенести ИТ-систему в нашу страну из-за рубежа или согласиться с убытками, связанными с блокировкой веб-ресурсов в России.

В то же время для соблюдения данного закона далеко не всегда требуется полный перенос систем с персональными данными в Россию или иные кардинальные меры. В большинстве случаев будет вполне достаточно обеспечить, чтобы первичный сбор информации, содержащей ПДн россиян, происходил на территории РФ, а уже дальнейшая обработка и хранение данных, полностью или частично, может осуществляться за рубежом: главное, чтобы при этом полностью соблюдались требования законодательства к трансграничной передаче персональных данных.

Наш опыт показывает, что привлечение профессиональной компании для консультаций и реализации проекта, связанного с трансграничной передачей ПДн, включая подготовку полного пакета организационно-распорядительной документации и последующее сопровождение прохождения проверок регуляторов, поможет сэкономить бизнесу и деньги, и нервы, а также избежать ошибок и лишних итераций.

Веб-сайты и мобильные приложения под контролем Роскомнадзора

Сегодня Роскомнадзор уделяет пристальное внимание интернет-сайтам компаний, с которыми взаимодействуют пользователи. Это может быть интернет-магазин, сервис заказа услуг, краудсорсинговый ресурс, социальная сеть или информационный портал, обычный корпоративный сайт и даже сайт-визитка, на котором есть форма обратной связи или личный кабинет, используются счетчики веб-аналитики, отслеживающие поведение посетителей сайта. Любое мобильное приложение компании, как и сайт, также должно соответствовать требованиям российского законодательства.

Документы по обработке и хранению персональных данных на веб-ресурсах компаний должны содержать множество сведений, в том числе:

  • Какие ПДн обрабатываются и хранятся на корпоративных ресурсах.
  • Описание функций регистрации и личного кабинета пользователя, сервисов интернет-рассылок, сервисов онлайн-заказов и оплаты.
  • Описание функций установленных счетчиков аналитики, например, Google Analytics или «Яндекс.Метрика», применение куки-файлов.
  • Обоснование прав доступа в мобильных приложениях.
  • Кто является владельцем, администратором, разработчиком каждого сайта или приложения.
  • Где расположены базы данных ресурса.

На каждом сайте должна быть размещена и доступна для пользователей политика конфиденциальности, описывающая все процессы обработки и хранения ПДн на данном ресурсе. Сегодня отсутствие такой политики обойдется компании-владельцу сайта в 30 тыс. рублей.

Несмотря на достаточное предложение в интернете образцов всех документов, требуемых регуляторами, готовых шаблонов, полностью описывающих конкретный сайт или приложение, не существует. Каждый веб-ресурс по-своему уникален и требует индивидуальной проработки описания в документации. Организации, ведущие бизнес по продаже товаров или услуг в интернете, а также владеющие несколькими веб-ресурсами, как правило, обращаются за помощью в специализированную ИТ-компанию. Обеспечение защиты веб-ресурсов и разработка пакета документации, как правило, проводятся в рамках комплексных проектов по обеспечению защиты персональных данных в организации.

Для малой компании с одним сайтом можно попробовать реализовать все самостоятельно, досконально изучив политики других подобных сайтов, все процессы и функционал собственного сайта, либо воспользовавшись предлагаемыми в интернете шаблонами. Да и вероятность проверки малой компании крайне мала.

С повышенными требованиями к веб-ресурсам мы сталкиваемся в последний год, равно как и с тем, что представители компаний-заказчиков, да и многие специалисты из ИБ-компаний испытывают сложности в данном, достаточно новом, вопросе.


Прохождение проверок госрегуляторов

Защиту персональных данных нельзя обеспечить раз и навсегда. Это непрерывный процесс, который необходимо поддерживать с учетом изменений в законодательстве, а также изменений внутри организации.


Проверки со стороны государственных регуляторов бывают плановые, в соответствии с планом проверок на год, который публикуется на официальных сайтах, так и внеплановыми – по жалобам граждан (клиентов, подписчиков, сотрудников). Также, начиная с 2016 года Роскомнадзор начал активно проводить мероприятия систематического наблюдения, в рамках которых интернет-сайты выборочно проверяются по таким параметрам, как наличие политики в отношении обработки персональных данных, или размещение личных данных сотрудников/клиентов (ФИО, фотографий и другой информации).

О плановой проверке Роскомнадзора организация узнает заблаговременно, получив официальное уведомление не менее, чем за три дня. Понятное дело, что подготовить всю документацию с нуля за это время невозможно. И не получится спешно привести все в порядок, если ранее было выдано соответствующее предписание. Проект по обеспечению защиты персональных данных нужно реализовать в спокойном режиме, а все изменения – вносить сразу в организационно-распорядительную документацию. В ходе проверки придется не только предоставить пакет документации, но и ответить на множество вопросов и запросов инспекторов, как уточняющего характера, так и связанных с возможными несоответствиями и нарушениями. То есть важно понимать все описанные в документации процессы.

Безболезненно и успешно пройти все этапы контроля помогут специалисты в области защиты ПДн, участвовавшие в реализации проекта, досконально знающие как требования регуляторов, так и составленную документацию по процессам в организации. Они помогут разъяснить многие вопросы и закрыть их сразу, либо оперативно внести требуемые изменения и пройти проверку без штрафов и прочих карательных мер. Это могут быть как штатные эксперты, так и внешние.

* * *

Масштаб проекта в области защиты ПДн определяет не размер компании, а объем и категории обрабатываемых персональных данных, сложность и уникальность бизнес-процессов и ИТ-систем, в которых происходит обработка ПДн. Чем сложнее задачи – тем целесообразнее привлечение профильных ИТ-компаний как на реализацию проекта, так и на дальнейшую поддержку по модели аутсорсинга.

Персональные данные можно безопасно хранить и обрабатывать, используя облачные технологии и трансграничную передачу данных. Вопросы безопасности следует проработать на старте проекта по созданию/переносу ИТ-систем и учесть при оценке и выборе технологий и вариантов IT-инфраструктуры.

Важно понимать, что безопасное хранение и обработку персональных данных нужно обеспечивать не только с целью избежания штрафов и прочих наказаний, но и для того, чтобы обезопасить сотрудников и клиентов, чьи данные хранятся в организации, от действий злоумышленников, а также для того, чтобы поддерживать хорошую репутацию компании на рынке.
Комментарии
Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Mini img 20190725 141844
ERP
Дмитрий Ляшенко
В том то и дело, что пилюлю хотят, а фармацевты не могут собрать ингредиенты, потому как рецепта...
Все дискуссии
HR-новости
Эксперты: 4-дневная рабочая неделя приведет к снижению зарплат

Закон не препятствует пропорциональному снижению ФОТ при переходе на четырехдневную рабочую неделю.

75% россиян не верят в пенсии

Три четверти россиян не верят в пенсии, показал опрос Райффайзенбанка. А те кто верят, полагают, что она составит всего 10-20 тыс. руб.

Японцы доказали, что при четырехдневной рабочей неделе производительность растет. В Microsoft сообщили о росте на 40%

Японское подразделение Microsoft подвело положительные итоги месячного эксперимента по переходу на четырехдневную рабочую неделю.

 
Кто счастлив в России?

Самыми счастливыми оказались - медики, госслужащие и HR-ы. Об этом сообщается в исследовании Headhunter.