Найти в Дзене
Б-152: защита персональных данных
41 подписчик

👥 Бывший HR с доступом к ПДн — это уже нарушение, а не потенциальный риск

1 мин
👥 Бывший HR с доступом к ПДн — это уже нарушение, а не потенциальный риск Один из самых распространенных инцидентов, который компании не замечают — сохранившийся доступ уволенного сотрудника к системам с персональными данными. Если такой доступ не отозван сразу после увольнения, то это уже не просто ошибка, а факт неправомерной обработки и прямое нарушение закона. Почему это считается нарушением: 📌 Нет правового основания Сотрудник, покинувший компанию, больше не может обрабатывать персональные данные, поскольку отсутствует законное основание из ст. 6 152-ФЗ. Если доступ остался, это считается неправомерной обработкой ПДн 📌 Невыполнение мер безопасности (ст. 19) Сохраненный доступ — это неудаленный учетный элемент, который теоретически может быть использован. Роскомнадзор и суды трактуют это как нарушение обязанности по защите персональных данных 📌 Инцидент безопасности даже без утечки Даже если доступ не использовался, сам факт его существования может квалифицироваться как

👥 Бывший HR с доступом к ПДн — это уже нарушение, а не потенциальный риск

Один из самых распространенных инцидентов, который компании не замечают — сохранившийся доступ уволенного сотрудника к системам с персональными данными.

Если такой доступ не отозван сразу после увольнения, то это уже не просто ошибка, а факт неправомерной обработки и прямое нарушение закона.

Почему это считается нарушением:

📌 Нет правового основания

Сотрудник, покинувший компанию, больше не может обрабатывать персональные данные, поскольку отсутствует законное основание из ст. 6 152-ФЗ.

Если доступ остался, это считается неправомерной обработкой ПДн

📌 Невыполнение мер безопасности (ст. 19)

Сохраненный доступ — это неудаленный учетный элемент, который теоретически может быть использован. Роскомнадзор и суды трактуют это как нарушение обязанности по защите персональных данных

📌 Инцидент безопасности даже без утечки

Даже если доступ не использовался, сам факт его существования может квалифицироваться как инцидент безопасности. Если это привело к нарушению прав субъектов (например, кто-то узнал об этом или получил нежелательное уведомление), может быть признано утечкой

ЧТОБЫ НЕ ПОПАСТЬ В ТАКУЮ СИТУАЦИЮ:

✅ Проверьте регламент offboarding-а

Должен быть утвержден порядок: кто инициирует отзыв доступа, в какой срок, по каким системам. Желательно в виде чек-листа

✅ Настройте автоматическое отключение

В идеале — блокировка учетки происходит в день увольнения. Событие фиксируется, уведомляется ИБ

✅ Аудит доступа раз в квартал минимум

Проводите сверку активных учетных записей с кадровыми списками. Выявляйте «висящие» доступы

✅ Ведите учет блокировок

Операции по отзыву доступа должны логироваться: кто отключил, когда, на основании чего

ВЫВОД:

Если уволенный сотрудник сохраняет доступ к ПДн — это уже факт неправомерной обработки. Это нарушение как 152-ФЗ, так и общих принципов информационной безопасности.

А в случае жалобы это быстро становится проблемой, подтвержденной документами.

Если хотите провести экспресс-аудит доступа и процедур, мы поможем. У нас есть готовые чек-листы, инструкции, регламенты и опыт внедрения процессов под проверку 🔥

#Микроразбор

😎

-2
-3
-4
-5
Безопасность и правопорядок
95,2 тыс интересуются