Ведущая ИТ-сервисная
компания в России

Защита персональных данных: как избежать штрафов

13.07.2017

Михаил Головачев, заместитель генерального директора АМТЕЛ-СЕРВИС, рассказал аудитории портала www.e-xecutive.ru о том, на что нужно обратить внимание, чтобы выполнить требования регуляротов в сфере защиты персональных данных, и как избежать штрафов, размер которых многократно вырос с 1 июля 2017 года.

Вопросы, связанные с обеспечения защиты персональных данных в организациях, встают все более остро. С одной стороны, это связано с большим разнообразием ИТ-систем и приложений, которые использует бизнес, появлением более продвинутых хакерских инструментов, с другой — с усилением государственного регулирования, ростом проверок и многократным увеличением штрафов за нарушения. Так, с 1 июля 2017 года вступили в силу поправки к статье 13.11. Кодекса РФ об административных правонарушениях «Нарушение законодательства Российской Федерации в области персональных данных». В новой редакции расширен перечень составов соответствующих правонарушений, а также значительно увеличены размеры штрафов — в среднем в три-семь раз.

Основными болевыми точками среднего и крупного бизнеса в части соблюдения требований российского законодательства в сфере защиты персональных данных (ПДн) являются четыре вопроса:

  • Безопасность обработки ПДн с помощью облачных технологий.
  • Трансграничная передача персональных данных.
  • Обработки и хранения ПДн на сайтах и в мобильных приложениях компаний.
  • Прохождение проверок государственных регуляторов.

Облачные технологии: сложности или возможности?

Облачные технологии достаточно плотно вошли в жизнь российских компаний. Все чаще в облака переносят приложения, хранящие и/или обрабатывающие персональные данные. Речь идет как об использовании ресурсов коммерческих ЦОД, так и о собственной облачной инфраструктуре. В то же время недоверие к облаку, сомнения в том, что оно позволяет защитить информацию на уровне классических ИТ-систем, выполнив в том числе требования государственных и отраслевых регуляторов, – ключевое препятствие на пути развития этих технологий.

На самом деле сегодня в облаке, частном или публичном, можно хранить любые данные, за исключением государственной тайны. Никаких препятствий для обеспечения надлежащей защиты персональных данных в облаке нет. Более того, в ряде случаев мы даже рекомендуем в качестве более экономически выгодного решения перенос части информационных систем в облако внешних провайдеров, сертифицированное и аттестованное под требования закона 152-ФЗ.

Что касается создания «собственного облака», то есть много нюансов и особенностей, которые нужно учесть для обеспечения его безопасности. В зависимости от категорий информации и ее критичности будут отличаться требования и подходы к защите. Главное не увлекаться только техническими мерами защиты, а уделить особое значение организационно-распорядительным мерам и документам. Так, основные риски, с которыми мы чаще всего сталкиваемся, в том числе в крупных организациях, – это неправомерный доступ пользователей к данным как следствие непродуманности всех аспектов взаимодействия пользователей и администраторов с облаком. В организации защиты облака, как, впрочем, и в любом ИБ-проекте, важен комплексный подход с детальным изучением всех моментов.

Хранение и обработка персональных данных за рубежом

С выходом закона о локализации персональных данных россиян на территории России (№ 242-ФЗ) многие организации, особенно представительства международных компаний, столкнулись с проблемой его соблюдения. Им пришлось пойти на значительные затраты, чтобы перенести ИТ-систему в нашу страну из-за рубежа или согласиться с убытками, связанными с блокировкой веб-ресурсов в России.

В то же время для соблюдения данного закона далеко не всегда требуется полный перенос систем с персональными данными в Россию или иные кардинальные меры. В большинстве случаев будет вполне достаточно обеспечить, чтобы первичный сбор информации, содержащей ПДн россиян, происходил на территории РФ, а уже дальнейшая обработка и хранение данных, полностью или частично, может осуществляться за рубежом: главное, чтобы при этом полностью соблюдались требования законодательства к трансграничной передаче персональных данных.

Наш опыт показывает, что привлечение профессиональной компании для консультаций и реализации проекта, связанного с трансграничной передачей ПДн, включая подготовку полного пакета организационно-распорядительной документации и последующее сопровождение прохождения проверок регуляторов, поможет сэкономить бизнесу и деньги, и нервы, а также избежать ошибок и лишних итераций.

Веб-сайты и мобильные приложения под контролем Роскомнадзора

Сегодня Роскомнадзор уделяет пристальное внимание интернет-сайтам компаний, с которыми взаимодействуют пользователи. Это может быть интернет-магазин, сервис заказа услуг, краудсорсинговый ресурс, социальная сеть или информационный портал, обычный корпоративный сайт и даже сайт-визитка, на котором есть форма обратной связи или личный кабинет, используются счетчики веб-аналитики, отслеживающие поведение посетителей сайта. Любое мобильное приложение компании, как и сайт, также должно соответствовать требованиям российского законодательства.

Документы по обработке и хранению персональных данных на веб-ресурсах компаний должны содержать множество сведений, в том числе:

  • Какие ПДн обрабатываются и хранятся на корпоративных ресурсах.
  • Описание функций регистрации и личного кабинета пользователя, сервисов интернет-рассылок, сервисов онлайн-заказов и оплаты.
  • Описание функций установленных счетчиков аналитики, например, Google Analytics или «Яндекс.Метрика», применение куки-файлов.
  • Обоснование прав доступа в мобильных приложениях.
  • Кто является владельцем, администратором, разработчиком каждого сайта или приложения.
  • Где расположены базы данных ресурса.

На каждом сайте должна быть размещена и доступна для пользователей политика конфиденциальности, описывающая все процессы обработки и хранения ПДн на данном ресурсе. Сегодня отсутствие такой политики обойдется компании-владельцу сайта в 30 тыс. рублей.

Несмотря на достаточное предложение в интернете образцов всех документов, требуемых регуляторами, готовых шаблонов, полностью описывающих конкретный сайт или приложение, не существует. Каждый веб-ресурс по-своему уникален и требует индивидуальной проработки описания в документации. Организации, ведущие бизнес по продаже товаров или услуг в интернете, а также владеющие несколькими веб-ресурсами, как правило, обращаются за помощью в специализированную ИТ-компанию. Обеспечение защиты веб-ресурсов и разработка пакета документации, как правило, проводятся в рамках комплексных проектов по обеспечению защиты персональных данных в организации.

Для малой компании с одним сайтом можно попробовать реализовать все самостоятельно, досконально изучив политики других подобных сайтов, все процессы и функционал собственного сайта, либо воспользовавшись предлагаемыми в интернете шаблонами. Да и вероятность проверки малой компании крайне мала.

С повышенными требованиями к веб-ресурсам мы сталкиваемся в последний год, равно как и с тем, что представители компаний-заказчиков, да и многие специалисты из ИБ-компаний испытывают сложности в данном, достаточно новом, вопросе.

Прохождение проверок госрегуляторов

Защиту персональных данных нельзя обеспечить раз и навсегда. Это непрерывный процесс, который необходимо поддерживать с учетом изменений в законодательстве, а также изменений внутри организации.

Проверки со стороны государственных регуляторов бывают плановые, в соответствии с планом проверок на год, который публикуется на официальных сайтах, так и внеплановыми – по жалобам граждан (клиентов, подписчиков, сотрудников). Также, начиная с 2016 года Роскомнадзор начал активно проводить мероприятия систематического наблюдения, в рамках которых интернет-сайты выборочно проверяются по таким параметрам, как наличие политики в отношении обработки персональных данных, или размещение личных данных сотрудников/клиентов (ФИО, фотографий и другой информации).

О плановой проверке Роскомнадзора организация узнает заблаговременно, получив официальное уведомление не менее, чем за три дня. Понятное дело, что подготовить всю документацию с нуля за это время невозможно. И не получится спешно привести все в порядок, если ранее было выдано соответствующее предписание. Проект по обеспечению защиты персональных данных нужно реализовать в спокойном режиме, а все изменения – вносить сразу в организационно-распорядительную документацию. В ходе проверки придется не только предоставить пакет документации, но и ответить на множество вопросов и запросов инспекторов, как уточняющего характера, так и связанных с возможными несоответствиями и нарушениями. То есть важно понимать все описанные в документации процессы.

Безболезненно и успешно пройти все этапы контроля помогут специалисты в области защиты ПДн, участвовавшие в реализации проекта, досконально знающие как требования регуляторов, так и составленную документацию по процессам в организации. Они помогут разъяснить многие вопросы и закрыть их сразу, либо оперативно внести требуемые изменения и пройти проверку без штрафов и прочих карательных мер. Это могут быть как штатные эксперты, так и внешние.

Заключение

Масштаб проекта в области защиты ПДн определяет не размер компании, а объем и категории обрабатываемых персональных данных, сложность и уникальность бизнес-процессов и ИТ-систем, в которых происходит обработка ПДн. Чем сложнее задачи – тем целесообразнее привлечение профильных ИТ-компаний как на реализацию проекта, так и на дальнейшую поддержку по модели аутсорсинга.

Персональные данные можно безопасно хранить и обрабатывать, используя облачные технологии и трансграничную передачу данных. Вопросы безопасности следует проработать на старте проекта по созданию/переносу ИТ-систем и учесть при оценке и выборе технологий и вариантов IT-инфраструктуры.

Важно понимать, что безопасное хранение и обработку персональных данных нужно обеспечивать не только с целью избежания штрафов и прочих наказаний, но и для того, чтобы обезопасить сотрудников и клиентов, чьи данные хранятся в организации, от действий злоумышленников, а также для того, чтобы поддерживать хорошую репутацию компании на рынке. 

Специальное предложение! Проект по защите ПДн: выгода от 150 тыс. рублей.

Отзывы

Роснефтегаз

Особенно хотелось бы отметить оперативность, высокий профессионализм, ответственность за результат и качество всех сотрудников «АМТЕЛ-СЕРВИС», занятых в проекте.

МЧС России

Хотим отметить высокую ответственность и организованность, профессиональный подход, добросовестное отношение к принятым на себя обязательствам.

ЭНЕРГОТРАНСБАНК

По результатам проекта хотим отметить компетентность и профессионализм специалистов, строгое соблюдение всех сроков и регламентов, высокую ответственность за результат.

К-раута

Мы высоко оцениваем работу «АМТЕЛ-СЕРВИС», добросовестное и ответственное отношение к своей работе, и рекомендуем компанию как надежного поставщика сервисных услуг.

MetLife

Единый аутсорсинговый контракт с «АМТЕЛ-СЕРВИС» стал для нас оптимальным решением, обеспечивающим качественную поддержку рабочих мест в регионах, а также эконом. эффективность.

БК «Евразия»

Специалисты компании проявили себя как профессионалы, продемонстрировали высокую исполнительность, ответственное отношение к делу и соблюдение сроков.

Эльбрус Капитал

В лице «АМТЕЛ-СЕРВИС» мы нашли надежного ИТ-партнера, способного не только качественно и оперативно решать задачи, но и выстроить комфортные условия взаимодействия.

Связь-М

На основе имеющегося опыта рекомендуем «АМТЕЛ-СЕРВИС» как компетентного и надежного партнера в области реализации комплексных сервисных проектов.

РНПК

АО «РНПК» выражает благодарность ЗАО «АМТЕЛ-СЕРВИС» за оперативность, высокий уровень проф. компетентности, ответственное отношение сотрудников к своей работе.

НПП Звезда

ОАО «НПП «Звезда» рекомендует компанию ЗАО «АМТЕЛ-СЕРВИС» как надежного и ответственного ИТ-партнера в области реализации инфраструктурных проектов.

БПО Сервис

Хочется отметить высокую ответственность, добросовестное отношение к принятым на себя обязательствам, взаимопонимание и хорошие рабочие контакты.

SPSR Express

Благодаря оперативно произведенным корректирующим настройкам системы удалось повысить отказоустойчивость и пропускную способность.

ЭНЕРГОТРАНСБАНК

В рамках сервисного контракта поддержка оказывается профессионально и строго с соблюдением сроков, определенных соглашением об уровне обслуживания.

МОЭК

Благодаря высокому профессионализму и ответственному отношению к делу, проект успешно выполнен в полном объеме и установленные сроки.

АБН-Консалт

В лице «АМТЕЛ-СЕРВИС» мы нашли надежного сервисного партнера, способного обеспечить надлежащую поддержку печатной инфраструктуры компании.

Пенсионный Фонд РФ

Задачи, поставленные перед «АМТЕЛ-СЕРВИС», решаются качественно и своевременно, обязательства выполняются строго в срок, с учетом пожеланий специалистов ПФ.

РАО ЭС Востока

В результате внедрения программного продукта «1С:Предприятие 8 УПП» ПАО «РАО ЭС Востока» получило эффективный инструмент управления деятельностью.

МЧС России

Все работы по диагностике неисправности, ремонту и настройке оборудования выполняются инженерами «АМТЕЛ-СЕРВИС» с надлежащим качеством и в установленные сроки.

Все отзывы
Обратная связь
Согласен на обработку персональных данных, а также с Политикой конфиденциальности.
Обратный звонок
Согласен на обработку персональных данных, а также с Политикой конфиденциальности.
Сделать запрос
Согласен на обработку персональных данных, а также с Политикой конфиденциальности.