Сейчас наверное нет тех, кто хотя бы «краем уха» не слышал про персональные данные и то, что юридическим лицам необходимо каким то образом их защищать.
Давайте разберем эту тему подробнее и, надеюсь, ответим на самые важные вопросы.
Почти десять лет назад был принят Федеральный закон N 152-ФЗ «О персональных данных» и учитывая обширное определение персональных данных в нем: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», по сути вопрос защиты персональных данных касается абсолютно всех юридических лиц. Все обрабатывают персонифицированные сведения о сотрудниках, клиентах, своих контрагентах, служба охраны может вести учет посетителей и т.д. Применение в СКУД для идентификации сотрудников биометрических данных или снятие копий паспортов посетителей без принятия мер, предусмотренных Законом о персональных данных, вообще становится «серьезным преступлением». Так что «отсидеться» не удастся никому.
Конечно регулятор не будет «карать провинившихся» сразу, а даст время на исправление. Но, как правило, данных сроков недостаточно для создания системы защиты персональных данных «с нуля», да и стоимость проектов по защите в сжатые сроки возрастает в геометрической прогрессии. Необходимо озадачиться вопросом защиты персональных данных заранее, а не дожидаться прихода регулятора с проверкой, ведь в конечном счете последствия могут быть катастрофические.
К примеру бизнес, связанный с интернетом: онлайн-магазины, сайты компаний, в случае претензий со стороны регуляторов могут быть заблокированы. А ведь закрытие сайта, даже на время, приводит к паузе в продажах, потери клиентов, а это означает потерю доли рынка.
Для офлайн-бизнеса появление компании в «черном списке» нарушителей закона о персональных данных влечет за собой репутационные риски.
Таким образом защита персональных данных затрагивает все виды деятельности и игнорирование требований 152-ФЗ не сулит ничего хорошего.
Закон «О персональных данных» затрагивает и российские представительства иностранных компаний, и компании, имеющих иностранных партнеров.
В соответствии с пунктом 3 статьи 12 152-ФЗ «Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных».
С принятием Федерального закона от 21.07.2014 N 242-ФЗ (ред. от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, должны находиться на территории Российской Федерации. Многие международные и экспортные компаниях не в состоянии отказаться от распределенной инфраструктуры.
Но соблюсти требования законодательства и обрабатывать персональные данные россиян на территории России необходимо. Рассмотрим несколько вариантов:
1) Самым простым вариантом решения проблемы будет физический перенос информационной системы, содержащий персональные данные граждан РФ, на территорию РФ. Данный вариант может оказаться дорогостоящим и не простым в реализации как с технической стороны, так и с точки зрения бизнес-процессов.
2) Если же перенести информационные системы на территорию России не удается, то необходимо создать копию такой информационной системы на территории РФ, организовать одностороннюю репликацию персональных данных из российской копии и исключить возможность модификации персональных данных в информационной системе, находящейся за границей.
В любом случае, в соответствии с законодательством РФ, персональные данные необходимо защищать и от этого уйти не получиться.
Построение системы защиты персональных данных в компании это процесс со многими составляющими (IT, внешний и внутренний документооборот, регламенты и т.д.). Ограничиться закупкой и установкой сертифицированных средств защиты и надежных сейфов не удастся.
Почти все бизнес-процессы в компании, включают обработку персональных данных. Это работа с контрагентами, кадровые процессы, а так же предоставление работникам доступа к ИТ-инфраструктуре, выдача доверенностей и т.д. В любой компании много точек входа персональных данных: отделы продаж, маркетинг, HR, закупочные комиссии и другие подразделения. Обработка персональных данных может вестись где угодно от бумажных до машинных носителей (картотеки,жесткие диски, флэшки, компакт-диски и прочее). Необходимо учесть все хранилища данных, попадающие под определение информационной системы персональных данных. Например, могут храниться персонифицированная информация о поставщиках на складе, или же служба безопасности организовала учет всех входящих на территорию.
При размещении персональных данных в ЦОД, необходимо включать в договор об оказании услуг предоставления серверных мощностей пункт о конфиденциальности и соблюдении законодательства РФ в рамках персональных данных.
При передачи персональных данных за пределы территории РФ необходимо проверить принятие страной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или нахождения страны в перечне стран, не являющихся сторонами Конвенции, но, вместе с тем, обеспечивающих адекватную защиту прав субъектов персональных данных. В противном случае необходимо соблюдение требований законодательства РФ при обработке персональных данных россиян.
Если персональные данные передаются подрядчику в рамках аутсорсинга, то нести ответственность за утечки персональных данных от сторонний организации будете Вы.
Таким образом оценить все процессы обработки и движения персональных данных в компании можно только проведя обследование информационных систем персональных данных. Это первый этап проекта по защите персональных данных.
Теги: ЗПДн аналитика