Многие ли организации задумываются о том, что с вероятностью, близкой к 90%, они собирают, обрабатывают и хранят персданные своих клиентов и сотрудников с нарушением правил текущего законодательства? Нет, львиная доля владельцев бизнеса даже не знает о том, что обрабатывает информацию, которая требует определенной защиты.Сегодня мы попробуем пошагово разобраться в вопросе подготовки своей информационной системы к работе с персональными данными.Определяем, присутствуют ли в информационной системе персданныеНа данном этапе достаточно просто ответить себе на вопрос в формате «да или нет». Если у вас есть клиенты или сотрудники, то, скорее всего, ответ будет положительным. Сюда относятся не только паспортные данные, имя, адрес, номера телефонов, но и неочевидные моменты вроде фото с мероприятий на сайте, cookie-файлов, IP-адресов или, скажем, дней рождения сотрудников.Обратите внимание: номер телефона или e-mail потенциального клиента будут считаться персданными, даже если вы не знаете его имени и фамилии. Уже на этом этапе мы рекомендуем подробно описать процесс взаимодействия с клиентами: где, как и с какой целью вы собираете такие данные, сколько они хранятся в системе. Это поможет вам оптимизировать процессы, к тому же такой «роадмап» пригодится на следующем этапе. Вероятно, вы сразу же самостоятельно увидите в нем недостатки: например, персональные данные нельзя хранить бессрочно. Ошибки приведут к фактически незаконной обработке данных (например, согласие на обработку персональных данных, включенное в договор, не является согласием).Как персональные данные попадают в вашу систему и где используются? Личный кабинет на сайте и формы обратной связи, карты лояльности и дисконтные программы, CRM-системы и сборщики лидов, e-mail-рассылки и система видеонаблюдения, фотографии работников в корпоративных соцсетях и их больничные листы, полисы медицинского страхования и даже переписка – список можно продолжать.То есть персональные данные буквально повсюду? Да, и ответственность в случае нарушений, связанных с обязательными мерами защиты, может составить до 50 базовых величин. Также вероятные последствия – приостановка ресурсов, перебои в работе бизнеса, проблемы с репутацией. По результатам проверок НЦЗПД в 2024 году в 75 случаях материалы направлены в органы внутренних дел для решения вопроса о начале административных процессов.Если вы поняли, что собираете, обрабатываете или храните персональные данные, переходим к следующему шагу.Приводим систему в соответствие с требованиями законодательстваКратко этот процесс выглядит так:Аудит организационных и правовых мер по обеспечению защиты персональных данных (правовой аудит)*. Аудит текущего состояния ресурсов, формирование технического задания с требованиями к будущей системе защиты информации (СЗИ)**.Реализация обязательных мер и создание СЗИ.Аттестация СЗИ.*Меры определены в Законе Республики Беларусь № 99-З «О защите персональных данных» от 7 мая 2021 г. и Указе Президента Республики Беларусь № 422 от 28 октября 2021 года «О мерах по совершенствованию защиты персональных данных».**Технические меры защиты информации определены в Приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66.Важно: одна лишь аттестация без реализации остальных шагов не закроет вопрос корректной и правовой обработки персональных данных. В случае проверки и выявления недостатков, может потребоваться переаттестация, которая неизбежно повлечет дополнительные затраты.Кратко перечень обязательных шагов для реализации организационно-правовых и технических мер защиты выглядит примерно так:Определить правовое основание обработки персональных данных, их объем и период их хранения.Описать процесс обработки данных в информационной системе. Это необходимо выполнить в рамках документов, которые определяют политику компании в отношении персданных.Добавить информационную систему в список ресурсов, на которых обрабатываются персональные данные, и указать их категории.Установить порядок доступа к таким данным в информационной системе.Включить все организации, которые обслуживают информационные ресурсы, содержащие персданные, в список уполномоченных лиц и заключить с каждым соглашение об обработке персональных данных.Проектирование и создание системы защиты информации (СЗИ). В частности, разработка политики информационной безопасности, технического задания, структурной и логической схем, ряд локальных правовых актов.Аттестация системы.Теперь нужно определиться, готовы ли вы пройти весь процесс силами штатных юристов и IT-специалистов или более эффективным решением будет работа с профессиональным подрядчиком.Если вам ближе путь минимизации риска ошибок, то в hoster.by помогут закрыть вопрос работы с персданными комплексно, а не только в юридической или технической части. Вы при этом получаете индивидуальный «роадмап» с четкими рекомендациями и помощь в создании и аттестации системы. Риск переаттестации или работы с нарушениями законодательства в области защиты персданных в этом случае практически сводится к нулю.Если по какой-то причине вам потребуется только часть работ – например, отдельно аудит персданных или аттестация системы защиты информации, – то доступны и такие услуги.Важно запустить процесс приведения своей информационной системы в соответствие с требованиями законодательства уже сегодня, если вы еще не сделали этого ранее. Подайте заявку на бесплатную консультацию наших специалистов. Это займет менее минуты.Почему hoster.byКомпания с комплексным подходом аттестации СЗИ с аудитом персональных данных.Отдельное подразделение из специалистов с опытом приведения бизнес-процессов в соответствие с требованиями законодательства в области персданных.Первый в Беларуси аттестованный коммерческий центр кибербезопасности.Компания, которой уже доверились более ⅔ интернет-проектов страны.*Партнерский материал. ООО «Надежные программы», УНП 100160363