Как организовать защиту персональных данных клиента

205
Фото © shutterstock.com
Фото © shutterstock.com
Если важные данные окажутся в руках мошенников, то они могут стать орудием преступления, в руках уволенного работника – инструментом для мести, а в руках инсайдера – товаром для продажи конкурентам. Именно в связи с этим защита персональных данных клиента является объективной необходимостью для любой компании.

Вы узнаете:

  • Как организуется защита персональных данных клиента на предприятии.
  • Что входит в состав персональных данных.
  • Как обеспечивается защита персональных данных клиента при неавтоматизированной обработке.
  • Как разработать автоматизированную систему защиты персональных данных.
  • Как контролируется защита персональных данных клиента.
  • Какая ответственность предусмотрена за нарушения в сфере защиты персональных данных.

Как организуется защита персональных данных клиента на предприятии

Из-за высокого и быстрого роста технических возможностей, связанных с копированием и распространением информации, возникла необходимость в мерах для защиты персональных данных клиента. На сегодняшний день нельзя считать самостоятельную защиту каких-либо сведений эффективным средством против их хищения и несанкционированного использования. Ни один современный человек физически не сможет скрыть значимую информацию от того большого количества технических устройств, которые его окружают.

Из-за развития средств электронной коммерции и большого количества средств для обеспечения массовых коммуникаций наблюдается рост злоупотреблений, которые связаны с использованием собранных о человеке сведений. Современные злоумышленники активно используют пути интеграции и быстрой обработки персональных данных, что становится угрозой и нарушает права и законные интересы человека.

На сегодняшний день деятельность практически каждой компании связана с обработкой информации не только о сотрудниках, партнерах и поставщиках, но и о самих клиентах. Несанкционированное использование персональных данных клиента, в том числе их потеря или утечка, влекут за собой невосполнимые потери для бизнеса, а порой и полную остановку деятельности организации.

Благодаря важности информации такого рода государство требует от предприятий обеспечения должной степени защиты персональных данных клиентов.

Любая компания, которая обрабатывает и хранит персональную информацию о сотрудниках или клиентах, используя при этом специальные средства автоматизации, считается оператором персональных данных.

Согласно ст. 22 Федерального закона «О персональных данных» операторы персональных данных обязаны до начала обработки информации сообщать в уполномоченный орган по защите прав субъектов персональных данных о своих намерениях осуществлять данный процесс.

Все основания, согласно которым работодатель имеет право на обработку персональных данных без уведомления Роскомнадзора, перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Законом Российской Федерации № 152-ФЗ «О персональных данных» от 27.07.2006 г. требования относительно защиты персональных данных клиентов и иных лиц строго определены. Также в нем прописаны особенности и правила обработки таких сведений как с использованием специализированных информационных систем, так и без применения таковых.

Важно понимать, что работодатель целиком и полностью отвечает за сбор, обработку, хранение и защиту персональных данных клиентов и работников, а также иных лиц. Именно поэтому в любой организации следует установить порядок работы с такой информацией и следить за его соблюдением, также нужно разработать документы и мероприятия, направленные на защиту персональных данных клиентов, сотрудников и прочих лиц.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством положение, которое устанавливает порядок обработки и защиты персональных данных клиента. Образец такого положения можно найти в интернете и разработать свой внутренний документ на основе выбранного шаблона.

Тот человек, который занимается обработкой информации, относящейся к персональным данным, должен принимать меры для обеспечения их защиты от случайного или намеренного неправомерного доступа к ним, а также от уничтожения, изменения, блокирования, копирования, предоставления, распространения и от иных неправомерных действий в отношении персональных данных.

Рассказывает практик

Как обезопасить себя от конфликтов с потребителями и проверяющими органами

Елена Денисова,
руководитель коммерческой практики, CLIFF

Для того чтобы исключить вероятность конфликтов с клиентами и органами, нужно разработать нормативные акты, которые будут регламентировать техническую и организационную стороны защиты персональных данных клиентов и иных лиц.

Документы утверждаются соответствующим образом и должны содержать:

  • обязательство об использовании и хранении персональных данных только с согласия клиента;
  • обязательство о неразглашении персональных данных клиентов;
  • описание мер технического характера, которые принимаются компанией для защиты персональных данных клиентов;
  • перечень лиц, который имеют доступ к базе данных;
  • обязательство сообщать клиенту о целях и способах использования его персональных данных и использовать их сугубо по назначению и этими способами.

Клиенты также должны быть предупреждены об ответственности, к которой они могут привлекаться за предоставление ложной информации (чужих персональных данных) во время совершения покупки (ст. 137 Уголовного кодекса Российской Федерации).

Правила, которые описывают порядок работы и защиты персональных данных клиентов, должны также содержать информацию о том, что сбор таковых данных осуществляется исключительно для выполнения заказов и продавец обладает правом на использование, сбор, систематизацию, хранение, распространение, уничтожение, передачу персональных данных третьим лицам в соответствии с законодательством Российской Федерации. Правила такого рода должны быть созданы отдельно и размещены в свободном доступе.

Защита каких персональных данных клиента необходима

Согласно Закону № 152-ФЗ к персональным данным относится любая информация, которая позволяет однозначно идентифицировать физическое лицо, то есть субъект персональных данных. Таким образом, персональными данными клиента являются:

  • ФИО;
  • год, месяц, дата и место рождения;
  • семейное, социальное, имущественное положение;
  • образование и профессия;
  • доходы и прочая информация, которая принадлежит субъекту персональных данных.

Содержание и состав персональных данных определяют операторы на основе целей их дальнейшей обработки. Например, перечень таких сведений в рамках системы лояльности клиентов фирмы включает чаще всего контакты и информацию об услугах, которые были предоставлены заказчику. Состав персональных данных клиента должен быть достаточным для выполнения цели, но не избыточным.

В некоторых случаях содержание и перечень персональных данных определяются на законодательном уровне и в нормативно-правовых актах. Например, в рамках взаимоотношений между субъектом данных и оператором следует учитывать требования закона при обеспечении безопасности во время транспортных перевозок. Так, ФЗ-16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности. Она должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные:

  • ФИО;
  • дата и место рождения;
  • вид и номер документа, удостоверяющего личность, согласно которому будет приобретаться билет;
  • вид маршрута следования (беспересадочный, транзитный), а также пункт отправления и назначения;
  • дата поездки.

Также требования по обработке и защите персональных данных клиента регламентированы на уровне закона в трудовой деятельности человека. Например, если говорить о кадровой системе, то персональными данными считается та информация, которая предусмотрена унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004 г., а именно:

  • ФИО;
  • дата рождения;
  • гражданство;
  • номер страхового свидетельства;
  • ИНН;
  • информация о владении иностранными языками;
  • данные об образовании (номер, серия дипломов, год окончания);
  • данные о приобретенных специальностях;
  • семейное положение;
  • данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения);
  • фактическое место проживания;
  • контактная информация;
  • данные о военной обязанности;
  • данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.).

Состав сведений о сотрудниках государственных организаций, а также порядок их сбора и обработки определены Указом Президента РФ от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».

Различные отрасли экономики имеют свою специфику сбора, обработки и защиты персональных данных клиентов и иных лиц. Определенные рамки обработки персональных данных для кредитно-финансовых учреждений устанавливает ФЗ-218 «О кредитных историях», для авиационного транспорта – Воздушный кодекс Российской Федерации, для торговых организаций (интернет-магазинов и т.п.) – Постановление Правительства Российской Федерации от 27.09.2007 г. № 612 «Об утверждении Правил продажи товаров дистанционным способом», для туристического бизнеса – Постановление Правительства Российской Федерации от 18.07.2007 г. № 452 «Об утверждении Правил оказания услуг по реализации туристского продукта» и т.п.

Также следует вспомнить о ФЗ-143 «Об актах гражданского состояния», который четко определяет состав той информации о человеке, которую нужно собирать, хранить и обрабатывать на протяжении всей его жизни.

Защита персональных данных клиента за рубежом

Особые регламенты сбора, обработки и защиты персональных данных клиентов и иных лиц разработаны не только в Российской Федерации. В Соединенных Штатах Америки, Великобритании и Канаде также существуют правила, отражающие основные положения законодательства на этот счет. Такие регламенты содержат советы по защите персональных данных клиентов и прочих лиц.

В 1998 году на территории Великобритании вступил в силу «Закон о защите персональных данных» – «Data Protection Act 1998». Технически данный Закон реализован с помощью стандарта «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10012), который получил статус официального документа летом 2009 года. Примерно в это же время в Соединенных Штатах Америки также был разработан подобный стандарт – «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800122). Этот документ призван регламентировать выполнение следующих законов:

  • The Privacy Act of 1974;
  • Privacy Protection Act of 1980.

В Канаде был выпущен Privacy Code – набор документов для реализации законодательства по защите сведений о частных лицах (The Privacy Act и PIPEDA).

Основным отличием всех перечисленных документов от российского законодательства является содержание более общих рекомендаций относительно защиты персональных данных клиентов и иных лиц. Российские законы при этом содержат конкретные требования и буквально предписывают, как именно должны защищаться персональные данные. Более того, согласно американскому стандарту рекомендуется при возможности обезличивать персональные данные для исключения нужды в защитных мерах, которые, по мнению американцев, снижают удобство пользования информацией.

Защита персональных данных клиента: 4 категории

Законодательство Российской Федерации содержит следующие категории данных.

  1. Общедоступные данные, которые не обладают конфиденциальностью или могут стать общедоступными для неограниченного круга лиц с согласия субъекта. Такие сведения способны быть использованы в справочниках, адресных книгах и так далее. При этом исключить информацию из подобных источников можно по требованию самого субъекта или судебного органа.
  2. Специальные категории данных, которые касаются:
  • национальной и расовой принадлежности;
  • состояния здоровья;
  • убеждений в области философии и религии;
  • политических взглядов.

Обрабатывать эти данные можно исключительно при наличии письменного согласия от субъекта (речь идет не о доверенности).

  1. Категории данных, которые обрабатываются с помощью информационных систем. Обработка в данном случае регулируется Приказом ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Допустима обработка данных:
  • касающихся национальной или расовой принадлежности, состояния здоровья, интимной жизни, политических взглядов, убеждений в области религии и философии;
  • помогающих идентифицировать гражданина в целях получения дополнительных сведений о нем;
  • обезличенных и (или) общедоступных данных.

Обработка данных такого рода допустима также по параметру «объем обрабатываемых персональных данных», который предполагает количество субъектов, обрабатываемых в информационной системе, и может принимать следующие значения:

  • одновременная обработка данных более чем 100 тысяч субъектов (выполняется как в пределах субъекта РФ, так и в РФ в целом);
  • одновременная обработка данных от 1 до 100 тысяч субъектов (выполняется в органе государственной власти, работающем в области экономики РФ);
  • одновременная обработка данных менее чем 1 тысячи субъектов (выполняется в пределах конкретной организации).

Такое разделение позволяет не только определить класс данного типа персональных данных, но и установить комплекс мер по обеспечению защиты персональных данных клиента и иных лиц в сети Интернет в моменты работы с информационными системами.

  1. Биометрические персональные данные. Это сведения о физиологических особенностях человека, которые позволяют установить его личность. Такая информация должна обрабатываться в соответствии со ст. 11. Закона № 152-ФЗ «О персональных данных» от 27.07.2006 г. и при наличии письменного согласия субъекта. Разрешение не требуется только при обеспечении правосудия, выполнении оперативно-розыскной деятельности, которые связаны с государственной службой, уголовно-исполнительным законодательством. К этой же категории данных относят фото- и видеоизображения субъектов.

4 группы требований защиты персональных данных клиента

  1. Требования по подготовке и созданию внутренних документов организационно-распорядительного характера

Согласно законодательству Российской Федерации операторы персональных данных обязаны обладать локальными актами и соблюдать их, а также вести политику, которая регламентирует обработку и защиту персональных данных клиентов и иных лиц. Важно знать, что Роскомнадзор при проведении проверки запрашивает перечень нужных документов и сведений, которые обычно передаются органу в виде ксерокопий внутренних документов компании. При этом точный состав необходимых документов в законе не прописан. Таким образом, данный перечень должен быть самостоятельно составлен оператором персональных данных на основании закона и иных нормативно-правовых документов.

Чтобы соответствовать требованиям законов Российской Федерации, вам необходимо располагать:

  • приказом о назначении комиссии по защите персональных данных клиентов и иных лиц;
  • согласием на обработку персональных данных;
  • перечнем информационных систем персональных данных;
  • перечнем помещений для обработки персональных данных;
  • планом мероприятий по защите персональных данных клиентов и иных лиц;
  • перечнем средств защиты информации;
  • техническим паспортом информационных систем персональных данных;
  • приказом о назначении лиц, ответственных за обработку и защиту персональных данных клиентов и иных лиц;
  • инструкцией администратора безопасности;
  • инструкцией лица, ответственного за организацию обработки персональных данных;
  • положением об обработке персональных данных;
  • политикой в отношении обработки персональных данных;
  • положением о защите персональных данных клиента (образец такого положения можно найти в сети Интернет и составить свой внутренний документ по найденному шаблону);
  • порядком определения уровней защищенности персональных данных;
  • регламентом учета, хранения и уничтожения носителей персональных данных;
  • регламентом допуска сотрудников и третьих лиц к обработке персональных данных;
  • порядком реагирования на запросы субъектов персональных данных;
  • регламентом резервного копирования персональных данных;
  • положением о комиссии по защите персональных данных клиентов и иных лиц;
  • регламентом проведения контрольных мероприятий;
  • регламентом по трансграничной передаче данных;
  • поручением на обработку персональных данных;
  • моделью угроз безопасности персональных данных;
  • протоколом определения ущерба субъекту персональных данных;
  • актом определения уровней защищенности персональных данных;
  • техническим заданием на систему защиты персональных данных клиентов и иных лиц;
  • уведомлением об обработке персональных данных;
  • приказом об утверждении инструкции пользователя информационных систем персональных данных;
  • инструкцией пользователя информационных систем персональных данных;
  • перечнем должностей и третьих лиц, которые могут быть допущены к обработке персональных данных;
  • обязательством о неразглашении персональных данных;
  • перечнем обрабатываемых персональных данных;
  • соглашением о соблюдении безопасности персональных данных.
  1. Требования по соблюдению требований законодательства Российской Федерации при работе с персональными данными

Персональные данные клиентов должны правильно собираться, обрабатываться и передаваться. Для соблюдения всех требований необходимо получить согласие от субъекта данных. Иногда оно может быть представлено даже в форме заключения договора.

При обмене персональными данными клиентов и иных лиц с контрагентами должно быть составлено соответствующее соглашение о поручении на их обработку.

Работники компании обязаны быть под роспись ознакомлены со всеми внутренними документами компании, которые регламентируют обработку и защиту персональных данных клиентов и иных лиц. Кроме того, каждый сотрудник должен подписать обязательство о неразглашении.

В Роскомнадзор нужно подать уведомление об обработке персональных данных.

  1. Требования по технической защите персональных данных в информационных системах

Если какая-либо работа с персональными данными клиентов ведется через специальные информационные система (базу данных сайта, CRM, «1С: Бухгалтерия» и пр.), следует составить акт об определении уровня технической защищенности персональных данных в этой системе, где его следует указать.

Далее необходимо разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных клиента и иных лиц.

Затем можно внедрять в компанию систему защиты персональных данных клиента и иных лиц. Это может быть обеспечено как самой организацией, так и с помощью подрядчика, у которого есть специальная лицензия ФСТЭК России.

Согласно статистике лишь 1 % операторов выполняет эти требования. Это связано с высокой стоимостью антивируса (согласно закону организация должна применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам он дороже в 1,5–3 раза), а также с редкими проверками выполнения этого требования со стороны ФСТЭК и ФСБ в сферах малого и среднего бизнеса.

  1. Требования по хранению баз персональных данных на территории Российской Федерации

С 01.09.2015 г. сбор и хранение персональных данных граждан Российской Федерации могут происходить только на территории Российской Федерации. Роскомнадзор должен быть уведомлен о месторасположении баз данных. В особенности это относится к тем компаниям (как российским, так и иностранным), которые работают с информационными системами, расположенными (частично или полностью) за пределами России.

Важная новость для подписчиков!

Защита персональных данных клиента при неавтоматизированной обработке

Защита персональных данных клиентов и иных лиц при их обработке без использования автоматизированных систем должна быть осуществлена в соответствии с Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

При такой обработке данных они должны быть обособлены от информации другого рода, в том числе и с помощью фиксации на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). При этом фиксировать несовместимые по своим целям и назначению персональные данные клиента или иных лиц на одном материальном носителе запрещено. Для каждой категории персональных данных должен быть выделен отдельный материальный носитель.

Те люди, которые осуществляют обработку персональных данных клиентов и иных лиц, должны понимать, что они обрабатывают персональные данные, знать категорию этих данных, а также особенности и правила обработки и защиты персональных данных клиентов.

Если разрабатываются и используются какие-либо типовые формы документов, для оформления персональных данных клиентов нужно выполнять определенные условия их содержания. Типовая форма должна содержать:

  • сведения о цели обработки;
  • имя (наименование) и адрес оператора;
  • фамилию, имя, отчество и адрес субъекта персональных данных;
  • источник получения данных;
  • сроки обработки данных;
  • перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
  • общее описание используемых оператором способов обработки;
  • поле, в котором субъект персональных данных может поставить отметку о своем согласии на их обработку.

При ведении и оформлении журналов (реестров и книг) с персональными данными, которые требуются для однократного пропуска субъекта данных на территорию оператора или в других подобных случаях, необходимо соблюдать определенные условия, а именно:

  •  составляется акт о необходимости ведения такого журнала, в нем должны быть отражены цели, способы фиксации и состав информации, которая запрашивается у субъектов персональных данных, перечень лиц (поименно или по должностям), которые имеют доступ к ним и являются ответственными за их ведение и сохранность, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта на территорию оператора;
  • не допускается копирование информации из такого журнала или реестра;
  • занести данные субъекта в такой журнал можно только один раз при одном пропуске его на территорию оператора.

Каждая категория персональных данных клиентов и иных лиц должна храниться в определенном месте (на материальном носителе). Также составляется список лиц, которые имеют доступ к этой информации и занимаются ее обработкой.

Какими преимуществами обладает система защиты персональных данных клиента

Все мероприятия различного характера, направленные на предотвращение несанкционированного использования, являются определенными управленческими мерами, которые служат основой эффективно работающей системы защиты персональных данных клиентов и иных лиц.

Внедрение такого комплекса мероприятий преследует определенные цели:

  • обеспечение точного соответствия требованиям регулятора о соблюдении положений Федерального закона «О защите персональных данных», положениям утвержденных подзаконных актов, обеспечивающих должный уровень безопасности для используемых персональных данных;
  • обеспечение создания инструкций, которые предписывают выполнение определенных правил при использовании информации, что призвано обеспечить должную защиту персональных данных клиентов и иных лиц.

Разработка и внедрение системы защиты персональных данных клиентов и иных лиц представляют собой ряд мероприятий технического и управленческого характера, ставящих цель обеспечить комплексную защиту сведений, которые признаются Федеральным законом от 27.07. 2006 г. № 152-ФЗ персональными данными.

Внедрение такой системы дает ряд преимуществ операторам по работе с персональными данными.

  1. Снижаются риски правового и репутационного характера, которые обычно появляются в связи с несоблюдением российского законодательства, регламентирующего процессы защиты персональных данных клиентов и иных лиц.
  2. Построение такой системы дает возможность обработки персональных данных клиентов и сотрудников без опасений за сохранность, что является сильной стороной компании и повышает ее конкурентоспособность в случаях работы с конфиденциальными сведениями частных лиц и информацией, которая предназначена лишь для служебного (внутреннего) использования. Хорошая защитная система сможет легко справляться с такими проблемами, как вирусы и вредоносное программное обеспечение, воровство баз данных клиентов и т. п.
  3. Компания с эффективной системой защиты персональных данных клиентов и иных лиц имеет возможность позиционировать себя как надежного партера, что дает право на доверие со стороны как клиентов, так и сотрудников.

Согласно аналитическим данным большинство скандалов, которые имеют отношение к утечке секретной информации, вынуждают клиентов обращать особое внимание на выработанную в компании систему безопасности, то есть на способы и инструменты защиты персональных данных. Кроме того, сегодня широкое распространение получили договоры о партнерстве либо условия тендера, в которых требуется предоставить задокументированное соответствие системы защиты персональных данных действующим нормативным актам.

Эффективная система защиты персональных данных клиентов и иных лиц может обеспечить непрерывное ведение любых бизнес-процессов любой фирмы, так как исключается вероятность возникновения претензий со стороны клиентов организации, обоснованных жалоб со стороны сотрудников и грозных предписаний со стороны регулирующих органов.

Этапы, которые помогут привести работу в соответствие с Законом № 152-ФЗ

Этап 1. Инвентаризация, полноценный анализ состояния информационных структур, задействованных в обработке персональных данных.

Благодаря подробному предпроектному аудиту появляется возможность собрать объективные сведения о процессах обработки персональных данных и о мерах, направленных на их защиту. Специалисты Open Vision строго обязаны осуществлять контроль всех служебных документов, проверять регулярность мероприятий, направленных на исполнение требований правовой базы относительно безопасности используемых в работе данных ограниченного доступа.

Этап 2. Создание концепции системы безопасности, используемой для сохранности персональных данных, предоставление заказчику обоснованных рекомендаций по оптимизации самой обработки персональных данных, обеспечению сохранности конфиденциальной информации.

На втором этапе квалифицированные специалисты должны оценить все возможные варианты осуществления проекта, а также начальные точки старта его реализации. Кроме того устанавливаются некоторые ограничения на масштабы проекта, который только начинает реализовываться на практике. Обозначаются основные проблемы, обосновываются все предлагаемые решения. Клиенты знакомятся с перечнем программно-аппаратных элементов разрабатываемого комплекса защиты информации, где также можно узнать стоимость каждого пункта (указание стоимости обязательно).

Этап 3. Уточнение реально существующей степени защиты персональных данных клиентов и иных лиц.

На данном этапе идентифицируются все возможные типы угроз, а затем привязываются к конкретной информационной системе. Также необходимо уточнить вероятный состав данных и количество субъектов.

Этап 4. Разработка модели возможных угроз для системы безопасности персональных данных, создание модели злоумышленника.

На данном этапе разрабатывается документ, который отражает все возможные угрозы для персональных данных в виде специализированного списка. Угрозы безопасности могут возникнуть как по случайности, так и из-за намеренных действий злоумышленника.

Этап 5. Разработка технического задания на строительство системы защиты персональных данных клиентов и иных лиц

Техническое задание для создания системы защиты персональных данных клиентов и иных лиц содержит определение ее назначения, основные цели функционирования, технические требования, а также непосредственный план разработки такой системы.

Этап 6. Создание проекта защиты персональных данных клиентов.

Проектные документы создаются для того, чтобы успеть предусмотреть и выполнить все требования к защищенности данных с ограниченным доступом, предписанные нормативными актами.

Этап 7. Разработка организационно-распорядительной документации.

Разработанный комплект документов содержит десятки организационно-распорядительных предписаний, необходимых для обеспечения защиты персональных данных клиентов.

Этап 8. Поставка программно-аппаратных средств информационной защиты.

Клиенту поставляют все необходимые элементы для внедрения защитной системы, которые прошли проверку и соответствуют всем требованиям, предъявляемым законодательством Российской Федерации к мерам информационной безопасности.

Этап 9. Монтаж, настройка средств защиты информации.

На этом этапе монтируется оборудование, устанавливается программное обеспечение, а также осуществляется его настройка. Благодаря данным действиям заказчик получает весь комплект по защите персональных данных клиентов, который совместим с применяемой информационной структурой для работы с этими данными.

Этап 10. Оценка действенности предпринимаемых мер для создания эффективной защиты персональных данных.

Определение эффективности разработанных мер безопасности для данных ограниченного доступа осуществляется до момента запуска системы защиты персональных данных клиентов в эксплуатацию. Контрольные тесты таких систем в компаниях коммерческого сектора должны проводиться 1 раз в 3 года.

Этап 11. Аттестация используемых информационных систем персональных данных на соответствие современным требованиям информационной безопасности.

Данный этап включает в себя организационно-технические проверки (аттестационные испытания), которые призваны подтвердить соответствие системы требованиям информационной безопасности (предусмотрено для государственных организаций).

5 вариантов организации работы по защите персональных данных клиента

Вариант 1. Выполнение закона собственными силами

Для выполнения всех требований со стороны законодательства недостаточно знать только сам Закон «О персональных данных» и сопутствующие подзаконные акты. Необходимо вникнуть в технические аспекты, понимание которых позволит описать информационную систему во внутренних организационно-распорядительных документах.

Составление шаблона подобных документов и самостоятельное освоение основ законодательства займут у вас или вашего работника примерно 2 месяца. При этом никаких гарантий относительно результатов дать нельзя, ведь в чем-то все равно можно совершить ошибку.

Вариант 2. Выполнение законодательных требований с помощью юриста

Это отличный вариант в том случае, если человек или фирма, к которой вы обращаетесь, достаточно компетентны в вопросах по информационной безопасности.

Чтобы подготовить документы о персональных данных, кроме осведомленности в самих законах, нужно также знать и помнить о подзаконных актах, которые содержат требования к техническому содержанию информации.

Если вы решили воспользоваться помощью юриста, то уточните у него, какие документы он собирается для вас разрабатывать, будут ли они содержать технические моменты, а также узнайте, имеет ли конкретный юрист, выбранный вами, опыт работы с Роскомнадзором.

Вариант 3. Выполнение закона с привлечением системного интегратора

Системные интеграторы в большей мере востребованы крупными компаниями и государственными учреждениями. К плюсам можно отнести высокий уровень оказываемых услуг, гарантии и принцип работы «под ключ», то есть интегратор берет на себя разработку документов и внедрение самой технической защиты.

К отрицательным моментам относятся высокая стоимость (чаще всего более 1 000 000 рублей) и долгий срок реализации проекта, который обусловлен отсутствием гибкости в бизнес-процессах.

Вариант 4. «Ждать, когда грянет гром»

Единственным плюсом данного варианта является отсутствие каких-либо затрат в краткосрочной перспективе.

Минус при этом является достаточно весомым, ведь закон рано или поздно придется соблюдать. Более правильным вариантом будет соблюдение законодательных требований до момента их полного ужесточения.

Вариант 5. Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

К положительным сторонам этого варианта можно отнести простоту и доступность для людей, которые не являются специалистами по информационной безопасности, небольшую стоимость, оперативную подготовку необходимой документации и консультации экспертов по обеспечению защиты персональных данных клиентов и иных лиц (по информационной безопасности).

Плюс ко всему определенные сервисы дают финансовую гарантию по возмещению штрафов Роскомнадзора и предоставляют необходимую помощь в прохождении проверок.

К явным минусам можно отнести следующее:

  • вариант явно не подходит крупным государственным компаниям;
  • этот способ не позволяет полноценно внедрить систему обеспечения защиты персональных данных клиентов и иных лиц, которая должна проверяться в государственном секторе сотрудниками ФСТЭК России и ФСБ России.

Кем и как контролируется защита персональных данных клиента

Главным органом, который контролирует защиту персональных данных клиента, является Роскомнадзор. Сотрудники Роскомнадзора обязаны проверять на предмет соответствия закону не только сами документы, содержащие персональные данные, но и процесс их обработки.

Проверку выполнения требований, касающихся технической защиты персональных данных клиентов, осуществляет ФСТЭК.

Требования касательно криптографии при обработке персональных данных проверяет ФСБ Российской Федерации.

Если Роскомнадзор не предъявил вам никаких претензий, то вы можете быть на 99 % уверены, что риски относительно соблюдения Закона «О персональных данных» сняты с вашей организации.

Локализация баз данных, которые содержат персональную информацию, проверяется также Роскомнадзором. Проводится такая инспекция несложно: запрашивается договор с российским хостинг-провайдером.

В случаях, когда хостинг-провайдер отечественный, а серверы использует зарубежные (при этом даже сам пользователь может не знать, что его данные хранятся за границей), ответственность ложится на конечного клиента.

Рассказывает практик

Ошибки при работе с персональными данными, которые приводят к штрафам

Ильдар Багаутдинов,
партнер, руководитель коммерческой практики компании «АНП Зенит», Казань

1. Работа с персональными данными через форму обратной связи без политики конфиденциальности

Сотрудники Роскомнадзора обнаружили, что компания «ТГЮК» разместила на сайте форму обратной связи. При этом документ о политике конфиденциальности в отношении обработки персональных данных на указанном ресурсе не имелся. Организации был выписан штраф в размере 1 000 рублей согласно ст. 13.11 Кодекса об административных правонарушениях Российской Федерации. Ответным действием со стороны компании стало обращение в суд. Согласно мнению представителей организации человек мог быть идентифицирован с помощью предоставления через форму обратной связи данных в виде имени (графа была необязательна для заполнения), темы и непосредственного сообщения. Суд не поддержал компанию, штраф остался в силе (постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288).

2. Передача личных сведений посторонним лицам

Физическое лицо задолжало банку деньги. Банк заключил агентский договор с коллекторской фирмой, согласно которому передал персональные данные заемщика, и коллекторы начали звонить ему с требованиями о погашении долга. При этом данный гражданин не давал согласия на обработку своих персональных данных, что стало поводом обращения в суд, который обязал коллекторов уничтожить персональные данные должника, признал действия банка незаконными и взыскал с обеих организаций компенсацию морального вреда (определение Ярославского областного суда от 05.03.2012 г. по делу № 33-939/2012).

3. Игнорирование отказа клиента от получения рекламных сообщений

Согласно определению Новосибирского областного суда от 02.04.2015 г. по делу № 33-2662/2015 суд взыскал со «Сбербанка» 100 000 рублей в пользу клиента, который отозвал свое согласие на обработку персональных данных через «Почту России», но все же получил сообщение рекламного характера на свой телефон. Гражданин обратился в суд с иском о незаконной работе с персональными данными и выиграл дело.

4. Работа с персональными данными без локализации

В процессе проведения мониторинга нарушений в сети интернет специалисты Роскомнадзора выявили, что популярная социальная сеть делового характера LinkedIn не обеспечивает запись, систематизацию, накопление, хранение и извлечение персональных данных граждан России. Требования об устранении нарушений компания не выполнила, сославшись на тот факт, что обработка и хранение данных производятся за рубежом. Однако согласно определению Московского городского суда от 10.11.2016 г. по делу № 33-38783/2016 деятельность данной социальной сети была признана незаконной, так как у веб-ресурса был и русскоязычный сайт, а значит, и законы РФ должны соблюдаться. Компания была внесена в реестр нарушителей, а доступ к ней стал ограничен.

Ответственность за нарушение защиты персональных данных клиента

Закон предусматривает гражданскую, уголовную, административную, дисциплинарную и иную ответственность за нарушение законодательных требований. Например, согласно Кодексу об административных правонарушениях возможен максимальный штраф до 500 000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 указанного Кодекса). Этот же нормативный акт предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 Кодекса об административных правонарушениях Российской Федерации).

Уголовный кодекс Российской Федерации упоминает следующие штрафы:

  • 300 000 рублей;
  • обязательные работы на срок до 1 года;
  • арест сроком до 6 месяцев;
  • лишение права занимать должность на срок до 5 лет в случае осуществления защиты персональных данных без лицензии, если это деяние причинило крупный ущерб гражданам (ст. 171 Уголовного кодекса Российской Федерации).

В случае регулярных нарушений Роскомнадзор может ходатайствовать об отзыве лицензий на основной вид деятельности.

Информация об экспертах

Елена Денисова, руководитель коммерческой практики, CLIFF. Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцией, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области. CLIFF — группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат — более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции — от разработки платежных систем до создания с нуля интернет-проектов разных направлений. Официальный сайт — www.cliff.ru

Ильдар Багаутдинов, партнер, руководитель коммерческой практики компании «АНП Зенит», Казань. Ильдар Багаутдинов окончил Казанский (Приволжский) федеральный университет по специальности «юриспруденция». Опыт работы в юриспруденции – 7 лет. Специализируется на ведении сложных судебных споров в сфере строительства и корпоративного права. Спикер форума «Третейское разбирательство в строительной отрасли». ООО «АНП Зенит». Сфера деятельности: юридические услуги в области налогового права. Численность персонала: 17. Годовой оборот: 58 млн руб. (за 2015 год). Количество выигранных налоговых споров: 97 % (за 2015 год). Сумма оспоренных начислений: 5 млрд руб. (за 2010–2016 гг).

Подпишитесь и получите свежий номер журнала "Коммерческий директор", в котором:
    Подписаться со скидкой 45%>>>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Школа руководителя

      Школа руководителя

      Проверьте свои знания и приобретите новые

      Записаться

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      Выбор редактора

      Дайджест самых нужных статей

      Шеф-редактор журнала «Коммерческий директор» Амина Атавова

      Главный редактор журнала «Коммерческий директор»
      Амина Атавова.

      Читать сейчас




      © 2011–2016 ООО «Актион управление и финансы»

      Журнал «Коммерческий директор» –
      профессиональный журнал коммерсанта

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Коммерческий директор». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации ПИ № ФС77-62255 от 03.07.2017

      
      Яндекс.Метрика
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Когда вы посещаете страницы сайта, мы обрабатываем ваши данные и можем передать сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – обратитесь в техподдержку.
      Зарегистрируйтесь на сайте и документ Ваш! Это бесплатно и займет всего минуту!

      Вы сможете бесплатно скачать документ, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

      • методики, проверенные на практике
      • правовая база
      • полезные подборки статей
      • участие и просмотр вебинаров

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль