Специалисты АБП2Б провели открытый вебинар, посвященный требованиям 152-ФЗ "О персональных данных". Эксперты разобрали типичные ошибки компаний, объяснили, как правильно собирать согласия, хранить данные и взаимодействовать с Роскомнадзором.
Видео запись вебинара вы можете посмотреть на нашем канале:https://rutube.ru/video/ffa5d17dc23ab3db48b942879b9dcb37/
На встрече подробно обсудили следующие темы:
● Четыре типа персональных данных и что к ним относится;
● Типичные ошибки при сборе данных на сайтах и в формах;
● Трансграничная передача данных и проблемы с иностранными сервисами;
● Правила хранения и разграничения доступа к персональным данным;
● Обязанности кадровой службы и отдела информационной безопасности;
● Утилизация данных и сроки хранения;
● Процесс аудита персональных данных и актуализация документов;
● Ответственность организаций за нарушения и размеры штрафов.
Если кратко: требования 152-ФЗ затрагивают почти все компании, которые работают с данными клиентов, сотрудников или партнеров. За 5 лет закон менялся 4 раза, ответственность ужесточается, штрафы растут.
Чтобы избежать проблем, организациям нужно проверить согласия на обработку данных, актуализировать внутренние документы, настроить разграничение доступа и провести аудит информационных систем.
Разбираемся с типами персональных данных
Закон выделяет четыре типа персональных данных, и каждый требует своего подхода к защите. Разница между ними принципиальная - от этого зависит и уровень защиты, и потенциальные штрафы при нарушениях.
1. Общедоступные персональные данные - это информация из паспорта: ФИО, дата и место рождения, номер телефона. Базовые сведения, с которыми мы постоянно работаем при оформлении документов, заключении договоров, регистрации пользователей на сайте.
2. Биометрические персональные данные - это отпечатки пальцев, радужка глаза, изображение лица. Все, что позволяет однозначно идентифицировать конкретного человека по физиологическим характеристикам.
3. Иные персональные данные включают IP-адреса, email-адреса и все, что с этим связано. Важный момент: даже простой список электронных адресов уже является персональными данными и требует согласия на обработку.
4. Специальные категории персональных данных - политические взгляды, сексуальная ориентация, религиозные убеждения, состояние здоровья. Все, что непосредственно характеризует взгляды человека на жизнь и его личные убеждения.
Типичные ошибки при сборе персональных данных
Роскомнадзор ведет автоматическую проверку сайтов на соответствие требованиям закона. По данным на начало сентября 2024 года, за полгода было проверено около 70 000 сайтов. Результат? Выпущено примерно 10 000 протоколов о нарушениях. Это означает, что каждый седьмой проверенный сайт имеет проблемы с обработкой персональных данных.
Самая распространенная ошибка - отсутствие правильно оформленного чекбокса для получения согласия. Часто на формах обратной связи просто написано мелким текстом: "Отправляя форму, вы соглашаетесь с обработкой персональных данных". Этого недостаточно. Согласие должно быть активным действием - человек обязан самостоятельно поставить галочку.
Вторая проблема - отсутствие на сайте политики обработки персональных данных. Документ должен быть доступен пользователям, его нельзя просто спрятать в недрах корпоративного портала.
Третья история связана с аналитическими системами. Яндекс.Метрика собирает IP-адреса посетителей, данные об устройствах, информацию о поведении на сайте. Все это персональные данные, на обработку которых нужно получать согласие через всплывающее окно с уведомлением о cookie.
Трансграничная передача данных и проблемы с иностранными сервисами
Использование зарубежных сервисов добавляет дополнительный уровень сложности. Если Яндекс.Метрика - это российский сервис, то Google Analytics относится к иностранным компаниям. Здесь возникает вопрос трансграничной передачи персональных данных.
ФСТЭК России и Роскомнадзор требуют от компаний, чтобы IP-адреса и вся обработка персональных данных российских граждан происходила исключительно на территории России, не выходя за границы страны. Один из ярких примеров - блокировка LinkedIn. Мотивировка была именно в том, что персональные данные россиян не обрабатывались на территории России.
Компании, которые используют иностранные аналитические системы или облачные хранилища, должны понимать эти риски и быть готовыми к претензиям со стороны регулятора.
Правила хранения персональных данных
Информационная система персональных данных должна находиться в определенном помещении. Это помещение выделяется отдельным документом - все подписывается и фиксируется. Если в этом помещении хранятся персональные идентификаторы, флешки, журналы с данными - все это должно быть под замком, в сейфе.
Критичный момент - разграничение доступа. Персональные данные должны быть доступны только тем сотрудникам, которые непосредственно с ними работают. Для этого назначается ответственный за обработку персональных данных - человек, который отвечает за все процессы, связанные с их обработкой.
Часто эту функцию пытаются переложить с кадровика на отдел информационной безопасности. Но это не совсем правильно, потому что речь идет и об обработке, и о защите данных. Тематика защиты информации - специфическая область, требующая специальных знаний.
Отдельный вопрос - облачные сервисы. Если компания использует облако для хранения персональных данных, нужно собирать согласие на обработку. Существует понятие "аутсорсинг обработки персональных данных" - когда оператор передает обработку третьей стороне. В этом случае субъект персональных данных дает согласие оператору, а оператор может перенаправить обработку дальше, но только при наличии соответствующих документов и соглашений.
Документы и регламенты для защиты персональных данных
Для полноценной защиты персональных данных компании нужен целый пакет документов. Это не просто формальность - каждый документ выполняет конкретную функцию и проверяется регулятором.
Акт классификации информационной системы определяет, к какому уровню защищенности относится ваша система. Модель угроз описывает актуальные риски для конкретной информационной системы. Регламенты защиты по 21-му приказу ФСТЭК включают меры по идентификации и аутентификации пользователей, контроль доступа, антивирусную защиту.
Если персональные данные не выходят за пределы офиса - за пределы так называемой "контролируемой зоны". В этом случае можно ограничиться назначением ответственных лиц, перечнем допущенных к обработке сотрудников и базовыми мерами защиты.
Если данные выходят за пределы контролируемой зоны - требования ужесточаются. Нужны регламенты по криптографии (как мы обращаемся с ключами шифрования), положения по защите трафика между площадками. Весь трафик между площадками должен быть зашифрован согласно рекомендациям ФСБ.
Обязательный документ - уведомление Роскомнадзора о начале обработки персональных данных. Также необходимо наличие регламента по взаимодействию с ГосСОПКА на случай кибератаки или утечки данных.
Разделение ответственности между кадрами и ИБ
Практика показывает: в компаниях часто пытаются скинуть абсолютно все на специалистов по информационной безопасности. И требования по защите, и процессы обработки - все валится на ИБ. Это происходит потому, что тематика персональных данных находится на стыке технических и юридических вопросов, что, зачастую, характерно для специалистов по ИБ.
Правильное разделение выглядит так: кадровая служба направляет согласия, собирает персональные данные, непосредственно работает с информационной системой персональных данных. Они должны быть допущены к обработке, а следить за всеми процессами и актуальностью бумаг должен назначеный Data Protection Officer или ответственный за защиту персональных данных.
В свою очередь, Отдел информационной безопасности отвечает за техническую защиту. Рассмотрение актуальных угроз, определение уровня защищенности по приказу № 21 ФСТЭК, контроль за утечками. Регламенты по ГосСОПКА, криптография - все это остается в зоне ответственности ИБ.
Утилизация персональных данных
Утилизация - тема, до которой многие компании просто не доходят. А между тем это важная часть жизненного цикла персональных данных. По закону данные должны быть удалены после достижения цели их обработки.
Классический пример: вы регистрируетесь в каком-то сервисе для видеоконференций. Через год перестаете им пользоваться. Ваши персональные данные должны быть удалены, если цель их обработки достигнута или срок истек. Но на практике они могут храниться в базе не один год.
Субъект персональных данных имеет право отозвать свое согласие или потребовать прекратить обработку своих ПДн. После отзыва оператор обязан удалить данные. Это не просто рекомендация - это требование закона. Если человек отозвал согласие, а компания продолжает хранить его данные - это нарушение.
Удаление должно быть безвозвратным. Для электронных носителей используются специальные программы затирания данных. Простое удаление файла недостаточно - информацию можно восстановить. Для бумажных документов применяется шредирование с составлением акта уничтожения.
Процесс аудита персональных данных
За последние 5 лет 152-ФЗ менялся 4 раза. В него вносилась дополнительная информация, изменялась ответственность по КоАП и Уголовному кодексу. Чтобы не попасть под каток регуляторов, необходимо взять за правило проводить оценку соответствия требованиям каждые полгода-год. Как рекомендация - далее приведены необходимые шаги по её проведению.
Аудит начинается с актуализации документов по последним требованиям. Затем рассматривается информационная система персональных данных, если она есть. Если система до сих пор не была классифицирована - проводится аудит, определяются используемые технологии, составляются перечни оборудования, соствляется модель угроз.
Важная часть - определение количества субъектов персональных данных и типа актуальных угроз, для определения уровня защищенности. Так - нужно определить, какие категории персональных данных обрабатываются из четырех типов и изходя из модели угроз определить какой из типов угроз актуальн для вашей системы.
Примечание: при определении угроз - угрозы 2 типа и 1 типа скорее всего не будут актуальны для вашей системы, если ваша задача защитить конфиденциальные данные.
Так, если для вашей системы актуальны угрозы только 3 типа, от категории персональных данных также будет зависить уровень защищенности вашей ИСПДн: УЗ-4 для общедоступных данных, УЗ-2 для специальных категорий, УЗ-3 для биометрических и иных персональных данных.
Если каких-то документов не хватает - их нужно разработать. Если документы есть, но устарели или не подходят по содержанию - проводится актуализация. Качественный аудит включает годовую поддержку: если что-то случается, специалисты приходят и помогают разобраться.
Обязательная составляющая - построение системы безопасности и разработка регламентов по защите информации.
Что организации нужно сделать сейчас
Эксперты АБП2Б рекомендуют предпринять следующие действия:
● Проверить все формы на сайте - есть ли чекбоксы для активного согласия пользователя;
● Разместить на сайте политику обработки персональных данных;
● Актуализировать внутренние документы: политику, согласия, журналы, регламенты;
● Провести инвентаризацию всех информационных систем, где обрабатываются персональные данные;
● Проверить процедуры утилизации данных с истекшим сроком хранения;
● Разработать недостающие перечни, приказы и регламенты необходимых по требованиям 152-ФЗ.
Требования 152-ФЗ становятся все более строгими. Роскомнадзор проверяет десятки тысяч сайтов в автоматическом режиме, штрафы за нарушения растут. Компании должны заранее подготовиться: проверить согласия, актуализировать документы, настроить разграничение доступа и обеспечить соответствие требованиям закона.
Если вашей организации требуется провести аудит персональных данных, актуализировать документы, настроить информационную систему или получить консультацию по требованиям 152-ФЗ, вы можете обратиться к экспертам компании АБП2Б. Команда работает с требованиями Роскомнадзора в практическом режиме и помогает выстроить соответствие законодательству без лишних затрат и формальностей.
Подробнее о наших продуктах вы можете узнать на наших сайтах:
О компании АБП2Б (пентесты, аудиты ИБ, аудит персональных данных) https://abp2b.com/
Менеджер паролей ОдинКлюч https://одинключ.рф/
SSH/SFTP/RDP/VNC-клиент МС22 https://мс22.рф/
Платформа для инвентаризации ИТ-активов ОдинХаб https://одинхаб.рф/