Персональные данные есть у любого бизнеса: как их правильно защищать, избегая штрафов
Для многих процесс работы с данными сотрудников и клиентов превратился в настоящую головную боль. Гендиректор «NetAngels» Антон Халиков рассказал, как это исправить.
Соблюдение требований законодательства о защите персональных данных остается вызовом для многих компаний. Особенно остро эту проблему ощущает малый и средний бизнес, который зачастую не имеет в штате профильных специалистов и вынужден идти на риск, самостоятельно решая, какие меры защиты будут достаточными.
О том, как превратить защиту персональных данных в понятный и контролируемый бизнес-процесс, DK.RU рассказал директор «NetAngels» Антон Халиков.
Почему 152-ФЗ касается всех и что мешает его выполнить
— Федеральный закон № 152-ФЗ «О персональных данных» действует почти 20 лет, но именно в последние годы бизнес начал ощущать его требования особенно остро. Причина проста: контроль со стороны регуляторов усилился, а ответственность за нарушения стала по-настоящему ощутимой.
Персональные данные есть у любого бизнеса. Если у компании есть сотрудники — обрабатываются их данные. Если есть клиенты, заявки с сайта, форма обратной связи или онлайн-оплата — обрабатываются данные клиентов. Размер бизнеса и регион значения не имеют: небольшой интернет-магазин в Екатеринбурге подчиняется тем же требованиям, что и крупная федеральная компания.
Закон определяет персональные данные широко — как любую информацию, которая позволяет прямо или косвенно идентифицировать человека. На практике это означает, что к ним относятся не только ФИО, паспортные данные человека и его номер телефона. В сочетании с другой информацией (например IP-адресом) к персональным данным может быть отнесен даже обезличенный e-mail.
С момента начала работы с персональными данными компания становится оператором и обязана выстроить систему их обработки и защиты. Речь идет прежде всего об организационных мерах: назначении ответственного лица, утверждении политики обработки персональных данных, описании целей, сроков хранения и порядка уничтожения информации.
На основе этого реализуются технические меры. Их разработка начинается с определения угроз и требуемого уровня защищенности — документ, содержащий эти сведения, является базовым для выбора необходимых средств защиты информации. Отдельное внимание следует уделять самому факту несанкционированного доступа к персональным данным. Важно не только его обнаружить, но и оперативно принять меры: от предотвращения и нейтрализации кибератак до устранения последствий инцидентов и восстановления утраченной или поврежденной информации. Перед вводом системы в эксплуатацию должна быть проведена оценка эффективности выбранных мер.
Трудности могут возникнуть на любом этапе работы с персональными данными, но все они преодолимы.
Для многих основной проблемой становится подготовка и поддержание в актуальном состоянии пакета документов, который обеспечит их защиту. Сегодня, хотя это и непросто, уже можно найти юриста, разбирающегося в этом вопросе, и сформировать необходимый пакет. Особняком стоит разработка «модели угроз», поскольку берутся за нее немногие специалисты, а стоимость такой работы довольно высока.
Что касается технических мер, то здесь основным препятствием может стать отсутствие в компании сотрудников нужной квалификации для внедрения систем защиты. В этом случае может помочь инфраструктура «NetAngels».
Как снизить риски и выбрать провайдера
Размещение ИТ-инфраструктуры в специализированном дата-центре или облаке позволит компании разделить ответственность за выполнение юридических и технических требований регулятора с инфраструктурным партнером. В этом случае провайдер отвечает за безопасность инфраструктуры, а оператор — за данные и приложения внутри нее.
Надежный провайдер обеспечивает физическую защиту дата-центров, отказоустойчивость оборудования, безопасность сетей и платформ виртуализации — то есть закрывает требования ст. 19 152-ФЗ, связанные с предотвращением несанкционированного доступа. В свою очередь компания отвечает за операционные системы, прикладные сервисы, управление доступом и корректную обработку персональных данных. Эта граница должна быть оформлена не только технически, но и юридически.
Выбор инфраструктурного партнера нужно начать с базовых, но принципиальных вещей.
- Во-первых, провайдер должен быть включен в реестр хостинг-провайдеров Роскомнадзора. С февраля 2024 г. работа с операторами вне этого реестра запрещена, и это самый простой фильтр, который сразу снимает риск формального нарушения закона.
- Во-вторых, провайдер должен документально подтвердить выполнение требований по локализации и защите данных. По 152-ФЗ первичный сбор и хранение персональных данных граждан России должны осуществляться на серверах, физически расположенных в РФ. Использование зарубежных облаков — даже через технические обходные решения — влечет серьезные штрафы и риски блокировки сервисов.
Отдельный вопрос — готовность к проверкам и инцидентам. Внеплановые проверки Роскомнадзора чаще всего начинаются с согласий и форм сбора данных, но почти всегда доходят до инфраструктуры. Наличие у провайдера актов соответствия и прозрачных процедур реагирования на инциденты существенно упрощает диалог с регулятором.
С учетом этого размещение инфраструктуры в дата-центрах и облаке NetAngels позволяет бизнесу закрыть сразу несколько критически важных задач. Компания работает в правовом поле российского регулирования, получает гарантированную локализацию данных и «наследует» часть мер защиты, уже реализованных на уровне инфраструктуры. NetAngels предоставляет сегменты облака, соответствующие требованиям по уровню защищенности, использует сертифицированные средства защиты как сервис и берет на себя физическую и сетевую безопасность. Межсетевые экраны и системы обнаружения вторжений уже встроены в платформу — бизнесу не нужно дополнительно закупать дорогостоящие лицензии и содержать отдельных специалистов для их настройки и поддержки.
И, наконец, юридическая сторона. При работе с NetAngels заключается поручение на обработку персональных данных, которое фиксирует распределение ответственности и обязательства по конфиденциальности и защите информации. В случае проверки Роскомнадзора оператор может оперировать договором и документами провайдера как подтверждением выполнения части требований закона. В результате защита персональных данных перестает быть источником постоянной неопределенности и становится управляемым элементом ИТ-архитектуры бизнеса.
Какие ошибки чаще всего допускают уральские компании при работе с персональными данными?
- Неверное оформление согласий: скрытое согласие в оферте, предотмеченный чекбокс, отсутствие отдельного согласия на распространение персональных данных (например, для публикации фото или отзыва).
- Нарушение локализации: использование зарубежных сервисов (CRM, почта, аналитика) для первичного сбора и хранения данных граждан РФ.
- Некорректная информация в реестре РКН: несвоевременное обновление сведений о целях обработки, категориях данных или трансграничной передаче.
- Нарушение сроков хранения: данные не уничтожаются после достижения цели, отсутствуют акты об их удалении.
- Ошибки в работе с подрядчиками: передача данных без юридически оформленного поручения на обработку, использование хостинг-провайдеров не из реестра РКН.
- Сокрытие утечек: неисполнение обязанности уведомить Роскомнадзор об инциденте в течение 24 часов. С 2024 г. за это введены оборотные штрафы, способные достигать сотен миллионов рублей.
Реклама. ООО "ИНТЕРНЕТ-ПРО" ИНН 6671142678 erid: 2W5zFGgd6St
Ранее на DK.RU: «Малый бизнес думает, что он неинтересен хакерам — это заблуждение»