Управление персональными данными в интернете. Практическая психология безопасности: управление персональными данными в Интернете

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:

• фамилию, имя, отчество;
• адрес проживания;
• электронный адрес;
• номер телефона;
• дата рождения;
• место рождения;
• национальность;
• вероисповедание;
• место работы;
• должность;
• рост;
• и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

• сотрудников, работающих по трудовым договорам;
• работающих по договорам ГПХ;
• и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных , как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
   • Приказ о назначении ответственного за организацию обработки персональных данных;
   • Документ, определяющий политику оператора в отношении обработки персональных данных;
   • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
   • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
   • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
   • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
   • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
   • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
   • Документ о классификации информационных систем;
   • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
   • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

• По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/ .

• Ознакомит со своей Политикой в отношении персональных данных клиентов.
• Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

Что говорят суды о плохо защищенных персональных данных

• В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
• Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).

ТОП-5 нарушений, за которые штрафуют компании и руководителей

Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения:

1. Документы оставлены на столе

Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные. Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

. Необходимо разработать порядок работы с персональной информацией. В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.

2. Работнику не выдали документы с его персональными данными

Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных.

Штраф : для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб. (ст. 5.27 КоАП РФ).

Пример защиты персональных данных . Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения.

3. Забыли обновить данные работника

Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу.

4. Размещение личной информации в общедоступном месте

Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании. Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.

Штраф : для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.

5. Сообщение имени, адреса и телефона сотрудника третьим лицам

Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.

Наша компания ответственно относится к обработке и защите персональных данных – как своих сотрудников, так и клиентов.

В частности, компания 1C-WiseAdvice:

• включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);
• соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
• добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
• оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.

Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов.

Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!

Связаться с экспертом

С 1 июля 2017 года вступают в силу поправки, регламентирующие увеличение штрафов до 75.000 руб. и упрощение процесса проверки, что позволит инспектору Роскомнадзора (РКН) выписать штраф за зафиксированное нарушение, просто зайдя на сайт .

Нужно ли вам это?

• На вашем ресурсе присутствуют формы с запросом любых данных о посетителе (ФИО, телефон, email и т.д.)?
• Осуществляются продажи товаров или услуг через сайт (корзина, покупка в 1 клик, форма заказа и т.д.)?
• Имеется возможность пользования личным кабинетом на вашем сайте (регистрация, авторизация, восстановление пароля)?
• Существует возможность подписки на e-mail уведомления (рассылка новостей, уведомлений, информации и т.д.)?
• Присутствуют любые предложения, в которых необходимо связываться по e-mail?

Во всех случаях вы являетесь оператором по обработке персональных данных, что накладывает на вас обязательства по нормативам Роскомнадзора, в случае невыполнения которых могут возлагаться штрафы.

Что необходимо сделать?

Оформить все необходимые нормативные документы и грамотно представить их на сайте. Не знаете, как это сделать? Мы вам поможем!

Нами будут проведены следующие работы:

• Подготовим соглашение о конфиденциальности, условиям использования сайта и обработке персональных данных
• Добавим страницу «Соглашение об обработке персональных данных»
• Разместим ссылку на страницу «Соглашение об обработке персональных данных» на всех страницах сайта
• Добавим во все формы на сайте, в которых используются персональные данные, поле о согласии на их обработку с ссылкой на страницу «Соглашение об обработке персональных данных»
• Добавим всплывающее сообщение с Дисклеймером – предупреждение, в котором говорится, что на сайте собираются статистические данные
• Проверим, соответствуют ли условия хранения базы данных и дадим рекомендации
• Дадим рекомендации для подачи заявления в Роскомнадзор для регистрации вас как оператора (обращаем ваше внимание, что подача документов осуществляется самостоятельно)
• Проконсультируем по любым возникшим вопросам

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

-> Дополнительно

Под условиями использования в панели следует понимать набор документов, регламентирующий использование провайдером персональных данных клиентов. Полный набор существующих условий отображается на странице → "Условия использования" .

При обновлении панели до версии 5.153 произойдёт автоматическая конвертация имеющихся ссылок из раздела "Настройки" → "Настройки бренда" → "Авторское право" на политику конфиденциальности и условия использования в документы раздела "Условия использования" . В разделе будет создано два обязательных условия (документа): "User agreement" и "Privacy policy" . Ссылки на документы не изменятся. Если в настройках бренда ссылки на политику конфиденциальности и условия использования не были указаны, то при обновлении конвертация не выполняется.

Условия могут быть двух типов:

• политика конфиденциальности;
• пользовательское соглашение;

Условия на стороне администратора

Параметры условия

Настройка условия выполняется на странице "Управление персональными данными" → "Условия использования" → выделить условие → кнопка "Изменить" :

Редактирование документа

Тип условия - тип условия использования. Может принимать значения:

• Политика конфиденциальности - согласие клиента с условием такого типа означает, что он принимает политику конфиденциальности провайдера;
• Пользовательское соглашение - согласие клиента с условием такого типа означает, что он принимает условия пользовательского соглашения провайдера.

Название документа - локализованное наименование условия (документа). Отображается в полном списке существующих условий использования.

Описание условия - локализованное описание условия. Отображается на выбранных формах: опции "Отображать на форме регистрации" и "Отображать после авторизации".

Дата вступления в силу - дата вступления документа в силу. Условие не будет доступно клиентам, пока документ не вступил в силу.

Локализация - локализации, на которых доступен данный документ.

Обязательное согласие - флаг для принятия условия появится на форме после авторизации. Без согласия с таким условием невозможно продолжить работу в панели.

Отображать после авторизации - флаг будет отображаться для зарегистрированных пользователей при первой авторизации после внесения изменений в настройки конфиденциальности провайдера. Становится активным и блокируется для изменения, если активен флаг "Обязательное согласие".

Отображать в предупреждениях - флаг для отображения ссылок на документы над полями, где происходит указание персональной информации.

Журнал

Действия, совершённые пользователем и относящиеся к условиям использования персональных данных, логируются и отображаются в разделе "Управление персональными данными" → "Журнал" :

Каждая запись в журнале содержит:

• тип действия (согласие или отказ);
• имя пользователя;
• IP-адрес, с которого выполнялось действие;
• дату и время действия.

Условия на стороне пользователя

Форма после авторизации

Все активные условия с включённой опцией "Отображать после авторизации" будут отображаться пользователя при первой авторизации после внесения изменений в настройки конфиденциальности.

Информация о сборе и обработке данных

В разделе "Настройки" → "Настройки пользователя" пользователь может ознакомиться с документами о сборе и обработке персональных данных, с журналом согласий и отказов, а также запросить информацию об используемых персональных данных. Также пользователь может создать запрос на экспорт данных в CSV файл, удаление и ограничение использования персональных данных:

Эта форма - не обращение в поддержку.
Мы не можем идентифицировать вас и ответить на ваше сообщение.

25 мая 2018 года регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступает в силу в полном объеме, он касается любой компании в мире, занимающейся обработкой и хранением персональных данных лиц, проживающих в ЕС. Новый акт предоставляет людям больше прав касательно управления их персональными данными (Personally Identifiable Information, PII), осуществляемого компаниями. Также он предусматривает крупные штрафы за его неисполнение и нарушение конфиденциальности данных - до 4% годового дохода компании. Кроме того, компании должны в течение 72 часов предоставлять отчеты об утечках данных. (См. подробную информацию о данном регулирующем акте в «Требованиях, нормативных сроках и фактах “Общих положений о защите данных (GDPR) "».)

Даже если вы не ведете бизнес с ЕС, вероятнее всего, новый закон окажет влияние на стандарты обеспечения глобальной безопасности в перспективе. Поэтому компании, работающие в ЕС или с данными, на которые распространяется действие GDPR, пытаются быстро и заблаговременно обеспечить соответствие этому документу. Службам безопасности необходимо будет убедиться в том, что данные, идентифицирующие личность, надлежащим образом защищены и соответствующие процедуры отчетности имеются.

По словам Брайана Вечи, технического евангелиста компании Varonis, которая специализируется на разработке систем по контролю и управлению правами доступа к распределенным файловым ресурсам, большинство компаний совсем не готовы к работе в новых условиях. Есть американские компании, которые подпадают под действие этого нового документа о конфиденциальности лишь потому, что кто-то из ЕС подписался на их информационную рассылку. И если в вашей организации имеются персональные данные гражданина одной из 28 стран - членов Сообщества, то этот акт касается и вас.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

Оливье ван Хуф, менеджер по предварительным продажам в Европе бельгийской компании Collibra, разрабатывающей ПО, считает, что GDPR начинается с управления данными: «Вы должны установить платформу управления данными прежде, чем вы действительно сможете начать защищать данные. Это значительно больше, чем просто техническая защита данных. Большинство организаций начинают с рассмотрения своих бизнес-процессов, затем переходят к рассмотрению логических процессов, используемых при сборе данных, и затем - к самим физическим данным. GDPR - это также понимание того, что данные действительно принадлежат личности. Вы же в действительности лишь размещаете у себя эти данные».

Что GDPR подразумевает под персональными данными?

Определение персональных данных в GDPR значительно шире, чем ранее существовавшие. Оно включает в себя любую информацию, касающуюся конкретного человека, будь то личные, публичные или профессиональные данные. Это не только имена, адреса и финансовая информации, но и все то, что может идентифицировать личность (например, IP-адреса, идентификация пользователей при регистрации для входа в систему, данные биометрической идентификации, данные о географическом местоположении, видеоматериалы, статистика лояльности клиента, посты и фото в социальных сетях).

Обеспечение соответствия GDPR означает, что вы не только должны обеспечивать защиту большего числа видов данных в будущем, но и затрачивать больше усилий на идентификацию существующих данных.

Страны, затрагиваемые GDPR, должны будут идентифицировать в силу своих возможностей информацию, которая не отслеживалась или не индексировалась ранее. Например, записанный звонок в службу поддержки клиентов, возможно, необходимо будет локализовать, защитить, отследить и внести в отчет.

Каковы новые права пользователей в сфере персональных данных?

Документально оформленное добровольное согласие лица на использование информации должно даваться каждым человеком (или его официальным представителем). Согласие должно однозначно определять собираемые данные, цель их использования и длительность их хранения. Пользователи могут отозвать свое согласие в любое время и отправить запрос на удаление их персональных данных (при условии, что они укажут обоснованную причину).

В соответствии с GDPR физические лица могут также контролировать, что происходит с их персональными данными. Они могут рассчитывать на исправление фактических ошибок, видеть, какая информация о них хранится, и даже экспортировать ее для своего персонального просмотра и использования. Эти важные права являются новыми для большинства организаций.

Большинству компаний сначала просто нужно понять, какие положения GDPR у них уже выполняются. Им необходимо выяснить, где хранятся эти данные и подпадают ли они под действие GDPR. Затем им необходимо обеспечить их защиту по принципу минимальных привилегий и отслеживание их изменений. Компания Varonis так и делала с самого начала. Она специализируется не только на поиске данных, но и на определении, кто к чему имеет доступ и нужен ли им доступ к этим данным. Прежние нормативные документы, касающиеся защиты данных, требовали обеспечивать защиту данных от доступа извне. Теперь их необходимо лучше защищать изнутри, поскольку статья 25 GDPR гласит, что данные должны быть защищены по принципу минимальных привилегий намеренно и по умолчанию. И вы не можете сделать это, не понимая, где они находятся и кто может получить к ним доступ.

Каким образом GDPR влияет на структуру служб безопасности?

GDPR дает определение многочисленных функций участников процесса, прописывает правила и обязанности каждого из них. Субъект данных - это лицо, чьи персональные данные собираются. Управляющий данными - это организация, собирающая данные. Обработчик - это организация, обрабатывающая данные по поручению управляющего данными. Управляющие и обработчики обязаны вести письменный учет того, какие данные были собраны, каким образом они были собраны, как они были использованы, когда они были удалены.

Службам безопасности предстоит не только защищать данные от традиционных угроз, но и делать это так, чтобы процесс был прозрачным, документально оформленным и пригодным для возможного использования в отношении большого количества субъектов данных, и все это при строгом обеспечении безопасности данных. Каждому члену службы компьютерной безопасности необходимо разъяснить методы обеспечения соответствия требованиям GDPR.

Многие предприятия-участники, частные и государственные, должны иметь ответственного за защиту данных (data protection officer, DPO). Руководитель по защите данных должен обладать техническими знаниями или иметь персонал для защиты данных и обеспечения преемственности бизнеса. В ЕС считают, что позиция DPO настолько важна, что разработали отдельный, подробный 18-страничный документ о данной позиции.

Может показаться, что позиция по защите данных больше всего подходит руководителю информационной безопасности, однако руководитель по защите данных должен четко понимать требования к конфиденциальности и обеспечению соответствия, что обычно лучше понимают директора по вопросам конфиденциальности (chief privacy officer, CPO) или другие защитники конфиденциальности, однако они могут не понимать технической стороны вещей. В малом бизнесе все может закончиться назначением «наиболее подходящего» работника в качестве управляющего данными или даже выбором внешнего руководителя по защите информации. В любом случае GDPR требует, чтобы такой руководитель был независимым аудитором соответствия требованиям и был доступен для субъектов данных, для организации, следующей предписаниям данного акта, и для инспекторов GDPR.

Ван Хуф отмечает, что большинство европейских компаний уже наняли директоров по защите данных.

Отчеты о защите и обработке данных должны храниться и предоставляться для текущих и регулярных проверок не только аудиторам, но и субъектам данных. Каким образом организация обеспечит доступ к отчетам для индивидуальной частной проверки и в то же время защитит их от несанкционированного просмотра? Потребуется ли для каждого отдельного субъекта новая система сопровождения управления идентичностью и контроля доступа с учетом того, что потенциально возможных субъектов данных миллионы? Может ли организация соответствовать требованиям GDPR, просто распечатывая личные отчеты и рассылая пользователям бумажные копии? Это важные моменты, которые должны проработать директора по защите данных, руководящий состав и служба безопасности.

Национальные органы управления защитой данных

Каждая страна - член Сообщества имеет национальный орган управления защитой данных (data protection authority, DPA). DPA несут ответственность за установление соответствия и проведение в жизнь соответствующих законов на национальном уровне, но обязаны быть независимыми даже от контроля со стороны собственного национального правительства.

Страны - члены Сообщества могут иметь один или более органов управления. Каждая организация может выбрать один DPA, который контролирует соответствие GDPR для организации в целом. Единый надзорный орган имеет возможность контролировать обработку и защиту данных, обеспечиваемые в других странах-членах. Критики справедливо отмечают, что компании, работающие в нескольких странах - членах Сообщества, могут выбрать для работы наиболее гибкий DPA подобно тому, что они уже сегодня делают для снижения налогов и организационной независимости.

DPA созданы в рамках предыдущего закона ЕС о защите данных, но были значительно усилены в регулирующем акте. DPA фактически являются официальными государственными регулирующими и надзорными органами в структуре GDPR. Орган управления защитой данных помогает принимать решения в правовых вопросах и может расследовать деятельность компаний в случае нарушений и приостанавливать работу управляющих данными и обработчиков, несущих юридическую ответственность за нарушения GDPR, и определять штрафные санкции. Кроме того, он решает, может ли организация передавать данные за пределы ЕС, и если да, то какие механизмы защиты следует применить. В конкретной организации основным лицом, поддерживающим связь с DPA, вероятно, будет руководитель по защите данных.

Если субъект данных понимает, что произошло нарушение, он может связаться либо с DPO, либо с DPA, который был выбран данной компанией и контакты которого были переданы субъекту. На практике это может быть очень неудобно, поскольку DPO или DPA компании, управляющей данными или обрабатывающей их, может не находиться в той же стране.

Об утечках данных следует сообщать незамедлительно

Об утечках персональных данных следует сообщать немедленно или по крайней мере в течение 72 часов в единый надзорный орган - DPA. Лица, которых это коснулось, должны быть оповещены, если ожидаются негативные последствия. Однако если эти данные соответствующим образом зашифрованы или обезличены и эта критичная защита не была взломана, то людей оповещать не следует.

Службы безопасности, вероятно, будут испытывать больше давления, поскольку должны убедиться в том, что все персональные данные надлежащим образом зашифрованы или обезличены. Ранее шифрование в основном было направлено на защиту портативных устройств. Обеспечение соответствия GDPR, скорее всего, приведет к большому спросу на еще большее шифрование данных во всей компании.

Также службы безопасности будут подвергаться повышенному давлению из-за необходимости быстрее, чем раньше, определить, явилась ли утечка данных событием, требующим отчетности. 72 часа - слишком малое время для многих организаций, особенно если пытаться понять, может ли какой-либо факт предотвратить необходимость сообщать об утечке затронутым субъектам данных или в прессу.

Руководство компаний не готово к GDPR

Руководство компаний излишне самоуверенно и недостаточно серьезно готовится к вступлению в силу регулирующего акта Евросоюза GDPR.

Согласно результатам опроса Trend Micro, руководство компаний знает о принципах, которые заложены в документе, более того, 85% подробно изучили его требования, а 79% компаний уверены, что их данные находятся в полной безопасности.

Несмотря на высокий уровень осведомленности, руководство не всегда знает, какие именно персональные данные должны быть защищены: 64% не знали, что дата рождения клиентов относится к категории персональных данных, 42% респондентов не относят к этой категории маркетинговые базы данных адресов электронной почты, 32% таковыми не считают физические адреса, а 21% - почтовые адреса клиентов.

66% респондентов спокойно относятся к сумме штрафа за отсутствие требуемых мер по защите данных. Только 33% признают, что эта сумма может составить до 4% их годового оборота. Большинство опрошенных считают, что ущерб репутации является самым серьезным последствием утечки данных.

Как подготовиться

Любой сотрудник компаний, подпадающих под действие GDPR, занятый сбором, хранением, обработкой данных, уже должен знать основы регулирующего акта. Необходимо сформировать группы людей, которые будут заниматься подготовкой к введению GDPR в действие и обеспечением его выполнения. Наиболее важные сотрудники должны пройти обучение по GDPR с проверкой их знаний. При необходимости назначьте или наймите сотрудника, ответственного за обеспечение соответствия данных требованиям GDPR.

Оцените готовность вашей компании выполнить требования GDPR (например, персонал, инструменты и процессы), отметив области, требующие наибольшего внимания. Простое определение имеющихся данных, уже соответствующих требованиям GDPR, будет серьезной первоначальной задачей. Большинство компаний столкнутся с необходимостью создать новые системы для отслеживания изменений данных в соответствии с нормами GDPR или изменить существующие системы.

Заранее определите, что вашей компании придется делать в случае утечки персональных данных. С кем вы будете связываться? Какую информацию вы должны передать? Кто определяет, следует ли уведомить субъектов данных?

GDPR - это новый стандарт по защите конфиденциальности персональных данных. Он призван дать субъектам данных больше возможностей по контролю данных и обеспечить прозрачность операций и защиту. Это отличная вещь для защиты конфиденциальности, но масса работы для тех, кто должен выполнять требования этого акта.

***

Многие компании видят в GDPR лишь еще одну обузу, дополнительные расходы. Но, может быть, следует его рассматривать как возможность? Часто бывает, что компании собирают данные в течение длительного времени и даже не уверены, нужны ли они им. А GDPR заставит их пересмотреть причину сбора этих данных, срок их хранения, способ их обработки. Это шанс оптимизировать не только данные, но и работу, связанную с этими данными.

− Roger A. Grimes. How to protect personally identifiable information under GDPR. CSO. August 14, 2017