Вы, наверное, уже в курсе. С 30 мая в среднем в полтора-два раза выросли штрафы за утечки персональных данных для физических, юридических, должностных лиц и ИП. Максимальный штраф за повторную утечку может достигать 500 миллионов рублей.
О том, как снижает риски для граждан и бизнеса система 1С:Документооборот, рассказывает консультант компании 1С-КПД Арина Широбокова.
1. В зоне риска
Криминальная хроника пестрит сообщениями о потерях граждан: для кого-то кража персональных данных обернулась кражей всех накоплений с банковской карты, на кого-то злоумышленники оформили крупный кредит, кто-то подвергся шантажу, стал жертвой массовых обзвонов аферистов, потерял контроль над почтой, соцсетями, и т.д.
— Но в зоне риска — и бизнес, — напоминает Арина Широбокова. — Ведь для повышения эффективности своих процессов бизнес собирает наборы данных, позволяющие однозначно идентифицировать граждан. Например — ФИО, номер телефона, паспортные, биометрические данные, сведения о родственниках, зарплате, судимостях и т.д. Нескольких пунктов может оказаться достаточно, чтобы определить человека и нанести ему ущерб.
В СМИ регулярно появляются публикации об организациях, должностных лицах, ИП, самозанятых, которые не смогли уберечь от злоумышленников персональные данные своих клиентов, партнеров или собственных сотрудников.
Например, один из крупнейших вузов подвергся штрафу за утечку сканов паспортов некоторых выпускников и сотрудников.
Крупная страховая компания понесла потери из-за хищения киберпреступниками персональных данных около полумиллиона клиентов.
С серьезными репутационными и финансовыми издержками столкнулся автодилер, данные клиентов которого хакеры выложили в открытый доступ.
Теперь последствия за подобные «проколы» станут еще серьезнее.
Более того, бизнесу следует иметь в виду: многие правонарушения в сфере персональных данных — длящиеся. Это означает, что срок давности по ним для привлечения к ответственности будет считаться не по дате совершения, а по дате обнаружения инспектором Роскомнадзора.
2. Общие меры защиты: важные, но не решающие
Большинство компаний уже знакомо с базовыми принципами кибербезопасности: антивирусы, брандмауэры, шифрование, ограничение доступа, резервные копии. Но практика показывает: наличие этих средств само по себе не гарантирует защиту. Причина проста — данные часто «утекают» не из-за отсутствия технической защиты, а из-за человеческого фактора или слабого контроля за процессами.
Даже самая дорогая система безопасности не поможет, если сотрудники хранят сканы паспортов в личных облаках или пересылают договоры по незащищённым каналам. Регламенты, обучение, чёткое распределение ответственности — важны, но работают только при системной дисциплине и постоянном контроле. Именно это чаще всего «проседает» в компаниях.
Нарушение может быть неочевидным: забытый доступ к архивам у уволенного сотрудника, незащищённый внешний диск с базой клиентов или забытое согласие на обработку ПДн, срок которого истёк. А за любой из таких инцидентов компания может понести огромные убытки — и штрафами, и падением доверия со стороны клиентов.
Проблема усложняется тем, что руководители и уполномоченные сотрудники отвечают за соблюдение закона персонально. Даже если формально меры приняты, но контроль за исполнением не обеспечен, ответственность останется.
— Поэтому всё больше компаний стремятся перевести управление ПДн в цифровую систему — с полной прозрачностью, фиксированием действий и понятной зоной ответственности, — говорит консультант 1С-КПД Арина Широбокова.
3. Как помогает 1С:Документооборот
1С:Документооборот позволяет выстроить системную защиту персональных данных не только технически, но и управленчески. Основной плюс — автоматизация процессов, которые завязаны на дисциплину конкретных людей.
В системе можно настроить ролевую модель доступа: кто, что и когда может видеть или изменять. Это значит, что к документам с персональными данными получат доступ только те, кому он действительно необходим. Все действия пользователей при этом фиксируются — от просмотра до удаления.
Важный элемент — регистрация согласий на обработку ПДн. Система позволяет не просто хранить эти документы, но и отслеживать, когда согласие выдано, на какой срок, и когда его нужно обновить или отозвать. Такой учёт значительно снижает риск «забытых» или просроченных согласий, которые часто становятся причиной штрафов.
Дополнительно реализована регистрация событий доступа к персональным данным. Вы можете точно видеть, кто и когда получал к ним доступ. При необходимости настраивается уведомление о подозрительных действиях. Также доступна функция уничтожения ПДн по истечении срока хранения — с юридически корректной фиксацией этого действия.
— Все эти меры соответствуют требованиям закона № 152-ФЗ и подтверждены сертификатом соответствия ФСТЭК, — отмечает консультант 1С-КПД Арина Широбокова. — Это значит, что система отвечает не только формальным требованиям, но и реальным задачам бизнеса: минимизирует риск утечки, упрощает соблюдение законодательства, экономит время и ресурсы.