Информационная безопасность – что важно знать каждой компании о персональных данных?

Одно из основных конкурентных преимуществ бизнеса – владение коммерческой информацией. И защищать ее – дело самой компании. Хотите защищайте, не хотите не защищайте. По статистике 70% компаний сталкиваются с утечками, воровством такой информации. В такой ситуации компания несет убытки, но никаких санкций со стороны государства не возникает.

А вот с персональными данными, все регулируется законодательством, в том числе ответственность. Сами меры по защите персональных данных вырабатывает компания. Перечень и достаточность этих мер также определяет компания, но, с учетом рисков ущерба, который может быть потенциально нанесен если произойдет такая утечка данных.

Согласно «Доктрине информационной безопасности», утвержденной указом Президента, одна из глобальных задач – построение системы безопасности обработки персональных данных. С учетом сегодняшней политической ситуации все ужесточения происходят в области возможной утечки данных за рубеж.

Даже если посмотреть на проекты по санкциям:
• Оборотные штрафы за утечку (планово - июль 2023), то есть штрафы в % от размеров доходов организации,
• Штрафы за нарушения в порядке распространения персональных данных, в том числе биометрических данных (фото, видео),
• Штрафы за использование иностранных мессенджеров для отдельных компаний (Телеграмм, Ватцап и т.д.)
Основные ограничения и правовые риски уже введены в части:
• Нахождения сервера на котором хранятся персональные данные за пределами страны,
• Трансграничная передача персональных данных (передача за рубеж) с нарушением порядка уведомления Роскомнадзора:
• при отправке работников в командировки,
• на обучение,
• при доступе к базам данных иностранных лиц
• Удаленный доступ из за рубежа к базам данных (дистанционные работники и лица, работающие по ГПХ из за рубежа).

Что необходимо сделать сейчас в 2023 году (проверить):

1. Назначение ответственного должностного лица в компании, его обучение,
2. Подачу уведомления в Роскомнадзор об обработке персональных данных работников, кандидатов, родственников,
3. Создание карты (матрицы и т.д.) обработки персональных данных с четкой градацией по целям обработки,
4. Оформление акта об оценке потенциального вреда (с марта 2023),
5. Организация нового порядка уничтожения персональных данных (с марта 2023),
6. Корректировка локальных актов (с учетом новых требований с 01.09.2022),
7. Корректировка согласий на обработку ПД (с учетом новых требований с 01.09.2022),
8. Построение системы контроля за соблюдением законодательства по защите ПД.

Как исключить проведение в организации внеплановой проверки Роскомнадзора?
Проверить:
1. уведомление на его актуальность (сроки подачи – не ранее, чем с декабря 2022),
2. наличие Политики на сайте,
3. наличие Политики на страницах где осуществляется сбор персональных данных,
4. наличие сведений о субъектах в сети интернет,
5. наличие согласий на распространение персональных данных по лицам, по которым есть информация на сайте, в интернете и др.
6. наличие согласий на передачу данных третьим лицам (банкам в «зарплатном проекте», страховым компаниям по ДМС, при отправке работника на тренинги, обучение и т.д.)

По нашей практике, объем работы по построению и системе поддержки требований по защите персональных данных, «тянет» не просто на должностное лицо, ответственное за обработку персональных данных, а на небольшой отдел, а то и большой, в зависимости от объемов обработки персональных данных и численности работников компании.

В среднем в проекте по нормированию мы вышли на «500 работников - 1 человек на защиту». И это при том, что это «средняя температура по больнице».
На расчет такого норматива влияет:
• Структура компании (наличие обособленных подразделений),
• Распределение обязанностей (вовлечение в часть работ руководителей структурных подразделений),
• Категории обрабатываемых персональных данных (есть ли биометрия, специальные категории данных),
• Способы обработки данных,
• И др.