Какие данные персональные?
Законодатели определяют термин «персональные данные» как любую информацию, относящуюся к определенному или определяемому на основе такой информации лицу-субъекту персональных данных (Федеральный закон от 27.07.2006 №152-ФЗ). Под это определение могут попадать огромные массивы данных компаний, которые требуется защищать. Закон о персональных данных выделяет четыре основные категории такой информации:
- данные, разрешенные для распространения (фамилия, имя, отчество, дата и место рождения, образование, семейное положение, номер телефона, адрес электронной почты, должность и так далее, то есть те, которые можно получить из общедоступных источников);
- биометрические персональные данные (отпечатки пальца, фотографии лица и так далее, то есть физические данные, определяющие конкретных лиц);
- специальные персональные данные (политические и религиозные взгляды, информация о состоянии здоровья, раса, различные предпочтения и так далее);
- любая другая информация, позволяющая определить ее владельца.
С чего начать заботу о персональных данных?
Собирать и хранить данные сотрудников — это одно, хотя и тут без согласия об обработке персональных данных никуда, а вот ведение базы данных тысячи клиентов — совершенно другое, и, соответственно, требования к обеспечению безопасности будут существенно различаться.
Существуют три основных уровня защищенности персональных данных: законодательство предписывает применять требуемый уровень защиты в зависимости от типа персональных данных и количества субъектов.
Например, для того чтобы обрабатывать и хранить персональные данные своих клиентов в виде электронной базы данных, компания должна зарегистрироваться как оператор, подав уведомление в Роскомнадзор. Сделать это можно онлайн, через официальный сайт органа. Исключениями являются случаи, когда с персональными данными работают без средств автоматизации, информация является государственной тайной или обрабатывается в соответствии с законодательством о транспортной безопасности РФ.
Вместе с этим потребуется утвердить документы, регламентирующие порядок работы с персональными данными в компании. Разработка локальных актов в этой области — дело весьма трудоемкое, но важное. Их можно разделить на две основные категории:
— публичные, с которыми нужно ознакомить владельцев персональных данных;
— согласие на обработку персональных данных, в котором прописано, какие данные собирает компания и в каких целях;
— политика конфиденциальности (если сбор осуществляется через интернет) с аналогичным содержанием: после его прочтения субъект обычно подтверждает свое согласие на обработку данных нажатием одной кнопки;
— в положении об обработке и защите персональных данных прописывается, какая информация собирается, как защищается, для каких целей, как и сколько хранится, когда и как уничтожается и так далее;
— внутренние (локальные) документы, в которых закреплены корпоративные правила работы с персональными данными:
— приказ о назначении ответственного лица за безопасность персональных данных;
— приказ о допуске к обработке персональных данных (где должны быть указаны все лица, имеющие допуск к персональным данным);
— инструкция пользователя системы персональных данных (пригодится лицам, имеющим к ним допуск; важно не забыть про ознакомление под роспись);
— модель угроз с описанием всех потенциальных угроз персональным данным в компании (это нужно в первую очередь для того, чтобы понять, как их правильно защищать, и чтобы не получить крупный штраф от Роскомнадзора).
Перечень документов для защиты персональных данных может варьироваться, поэтому стоит доверить дело разработки этих документов профессионалам — опытным юристам и специалистам в области защиты персональных данных. Они разработают документы под ключ с учетом типов данных и деятельности компании, помогут выявить основные угрозы безопасности и подготовить необходимые рекомендации по защите информации.
Сколько может стоить ошибка
Штрафы за нарушение порядка работы с персональными данными высоки, и, более того, при повторном нарушении их размер существенно возрастает. Вот несколько примеров:
- За несвоевременное уведомление или неуведомление органа об обработке персональных данных положен штраф на должностных лиц и ИП от 300 до 500 рублей, юридических лиц — от 3 до 5 тыс. рублей.
- За обработку персональных данных без получения согласия должностные лица и ИП заплатят от 20 до 40 тыс. рублей, юридические лица — от 30 до 150 тыс. рублей.
- За необеспечение мер по сохранности персональных данных, повлекшее за собой утечку данных, штраф может быть разным, в зависимости от тяжести последствий и статуса оператора — для должностных лиц максимальный размер штрафа составляет 800 тыс. рублей, для ИП — 3 млн рублей, для юридических лиц — 18 млн рублей.
К тому же за утечку данных виновных компаний и предпринимателей может ждать уголовная ответственность в виде лишения свободы сроком до 5 лет и другие негативные последствия в виде судебных исков от потерпевших лиц, принудительной остановки деятельности оператора или прекращения обработки персональных данных. Таким образом, защита данных обойдется бизнесу куда как дешевле, чем уплата штрафов и компенсаций.
Простые правила защиты персональных данных
- Доверяйте доступ только тем лицам, которые используют их в рабочих целях, а всем остальным стоит его ограничить.
- Храните персональные данные и пароли от баз данных в закрытых помещениях. Кабинеты, в которых хранятся данные, должны закрываться на замок, окна — иметь решетки, экраны мониторов не должны просматриваться с улицы или с камер наблюдения и так далее.
- Обеспечьте защиту не только информации, но и всего программно-технического комплекса по ее сбору, обработке и хранению: компьютеров, программного обеспечения, локальной сети и так далее.
- Используйте антивирус, имеющий сертификат безопасности ФСТЭК. Дополнительным плюсом при выборе антивируса будет наличие встроенного межсетевого экрана, позволяющего фильтровать трафик и блокировать хакерские атаки извне. Возможно, потребуется помощь системного администратора или специалиста по информационной безопасности — не экономьте на настройке.
- Обеспечьте дополнительные меры безопасности информации на устройствах с доступом в интернет: сетевой экран, антивирус, использование защищенного прокси-сервера для подключения к сети интернет, использование каналов с шифрованием данных и так далее. Обо всем этом позаботится системный администратор или внешний специалист.
- Обеспечьте безопасный доступ к рабочим компьютерам из дома, если работаете дистанционно. Соединение между рабочим компьютером и домашним ноутбуком должно шифроваться.
- Используйте сложные пароли для входа и ограничьте к ним доступ. Можно бесконечно долго рассказывать о вреде простых паролей, их бесконтрольной смены, отсутствия журнала учета паролей. Если же коротко: стоит использовать только сложные в подборе пароли, данные о них указывать в журнале учета паролей, к которому имеет доступ строго ограниченный круг лиц. Там, где возможно, используйте двухфакторную аутентификацию — доступ к таким устройствам и программам получить намного сложнее.
- Вовремя создавайте резервные копии данных. Персональные данные могут быть не только украдены, но и потеряны — стоит вовремя озаботиться резервными копиями, чтобы не тратить нервы, деньги и время на восстановление информации.
Если же персональные данные все же утекли, потребуется помощь высококвалифицированного юриста для оценки ущерба. Также в этом случае виновные компании и предприниматели обязаны уведомлять об этом Роскомнадзор в течение 24 часов и проводить внутреннее расследование (и также предоставлять в орган информацию о его результатах в течение 72 часов). Не стоит забывать и о том, что субъект персональных данных в любой момент может отозвать свое согласие на обработку — такие случаи также нужно отслеживать.