Найти в Дзене
Б-152: защита персональных данных
41 подписчик

#РетроИБ: Как РКН проверял компании 10 лет назад

1 мин
Или чему учат старые кейсы... Сегодня бизнес привык к новым критериям риска, цифровым уведомлениям и публичным реестрам. Но если отмотать пленку назад на десять лет, проверки Роскомнадзора выглядели совсем иначе. И это хороший повод вспомнить, как формировалась практика защиты персональных данных в РФ. Что проверяли в 2013–2015 годах: ➡️Наличие уведомления об обработке ПДн. Компании «забывали» подавать его, считая, что раз базы «маленькие», можно обойтись без формальностей. ➡️Политика в отношении обработки ПДн. В те годы она часто была единственным локальным актом, который реально запрашивали. Остальные документы считались «рекомендуемыми». ➡️Согласия. Проверяющие тщательно смотрели, есть ли у компании образцы согласий, и, особенно, подписаны ли они у работников. ➡️Защита баз данных. Формально требовались организационные и технические меры по приказу ФСТЭК № 21, но на практике проверки чаще ограничивались вопросом: «Где хранятся базы?» и «Есть ли антивирус?». Характерные кейсы: 🔵Торго

Или чему учат старые кейсы...

Сегодня бизнес привык к новым критериям риска, цифровым уведомлениям и публичным реестрам.

Но если отмотать пленку назад на десять лет, проверки Роскомнадзора выглядели совсем иначе. И это хороший повод вспомнить, как формировалась практика защиты персональных данных в РФ.

Что проверяли в 2013–2015 годах:

➡️Наличие уведомления об обработке ПДн. Компании «забывали» подавать его, считая, что раз базы «маленькие», можно обойтись без формальностей.

➡️Политика в отношении обработки ПДн. В те годы она часто была единственным локальным актом, который реально запрашивали. Остальные документы считались «рекомендуемыми».

➡️Согласия. Проверяющие тщательно смотрели, есть ли у компании образцы согласий, и, особенно, подписаны ли они у работников.

➡️Защита баз данных. Формально требовались организационные и технические меры по приказу ФСТЭК № 21, но на практике проверки чаще ограничивались вопросом: «Где хранятся базы?» и «Есть ли антивирус?».

Характерные кейсы:

🔵Торговая сеть из регионов получила штраф за отсутствие согласий на обработку ПДн покупателей при заполнении анкет лояльности. Сам факт хранения имени и телефона уже был достаточен для привлечения к ответственности.

🔵Образовательные учреждения регулярно попадали под проверки: жалобы родителей на публикацию списков с ФИО школьников в открытом доступе (например, расписание экзаменов). Такие «доски объявлений» стали первыми показателями невнимательности к конфиденциальности.

🔵Малый бизнес страдал от того, что не подал уведомление в РКН, даже если никаких утечек не было. Для инспекторов это было самым простым и очевидным нарушением.

ЧЕМУ УЧАТ ЭТИ ИСТОРИИ

Сравнивая прошлое и настоящее, можно увидеть тенденцию: требования постепенно ужесточались, а внимание регулятора смещалось от формальных документов к реальной безопасности данных.

То, что десять лет назад считалось бумажной формальностью, сегодня напрямую влияет на критерии риска, плановые проверки и штрафы.

И если когда-то компании могли отделаться политикой и антивирусом, то сейчас этого недостаточно. Старые кейсы напоминают: регулятор последовательно поднимает планку, и те, кто игнорирует требования, рано или поздно сталкиваются с проверкой.

А мы всегда готовы помочь вам разобрать, какие из старых уроков актуальны и сегодня, и подготовить вашу организацию к современным требованиям РКН без лишних ошибок⭐️

-2