Александр Оводов, основатель Ovodov Cybersecurityh, рассказывает, как будут регулировать использование персональных данных в 2021 году и что компаниям обязательно нужно учесть.
Переход в цифру увеличивает риски
С учетом активного перехода компаний в цифру и на удаленную работу, вероятность утечки или хищения персональных данных (ПДн) возрастает, возрастают и репутационные риски и риски внеплановых проверок Роскомнадзора, прокуратуры и ФСБ.
С момента принятия 152-ФЗ «О персональных данных» правительство и Роскомнадзор не раз задавались вопросом — как повысить ответственность операторов ПДн за утечки?
Причина тому — ежегодный рост утечек ПДн граждан. Способов использования похищенных данных достаточно много, от банальных рассылок спама до продуманных схем социальной инженерии. Вот наиболее частые:
- Распространение вирусов и вредоносного ПО через рассылки спама на почту, мессенджеры, соцсети людей, чьи данные были похищены.
- Кража аккаунтов в социальных сетях в целях шантажа, компрометация публичных личностей.
- Проникновение в сеть организаций для хищения ценной информации (клиентская база, ноу-хау, заявки от клиентов) или же шифрования серверов и ПК сотрудников в целях вымогательства денег.
- Предложения о покупке сомнительных лекарств и непроверенных способов лечения на основе полученных медицинских данных.
- Склонение людей к противоправным действиям, пользуясь их слабостями.
- Деяния уголовных элементов, сексуальных маньяков, продавцов наркотиков в отношении детей.
- Социальная инженерия. Мошенники часто представляются сотрудниками банков и манипулируют людьми с целью получения денежных средств или сообщения информации, которая позволит им получить доступ к банковским счетам и картам.
По данным отчета Центрального банка, за первые шесть месяцев 2020 года было зафиксировано более 300 тысяч несанкционированных операций со средствами граждан, совершенных без их согласия. Их объем составил порядка 4 млрд рублей. Это на 39% больше того же периода 2019 года.
Ежегодный рост утечек ПДн налицо. Законодатели призывают к ответственности путем повышения штрафов, увеличения числа проверок для того, чтобы компании принимали меры по обеспечению безопасности обрабатываемых ими ПДн.
О законодательстве и штрафах
Основным документом, определяющим порядок ответственности и штрафов за административные нарушения, является КоАП — Кодекс об административных правонарушениях.
Последнее принятое изменение в КоАП ужесточило ответственность за нарушение требований по локализации ПДн: теперь серверы с данными российских пользователей должны находиться на территории России.
С декабря 2019 года первичный штраф для организаций, нарушивших это требование, составляет от 1 до 6 млн рублей, за повторный — от 6 до 18 миллионов. Вспомним о назначении штрафа Twitter в размере 4 млн рублей за отказ о переносе серверов в Россию.
Изменения в российском законодательстве, которые нас ждут
Сейчас Госдума совместно с Правительством готовит не просто поправки в КоАП, а принятие нового кодекса. В части про персональные данные нас ждут два изменения.Изменение №1
Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:
- на граждан — в размере от 10 до 20 тысяч рублей;
- на должностных лиц — от 40 до 100 тысяч рублей;
- на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
- на юридических лиц — от 300 до 500 тысяч рублей.
Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.
Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.
Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.
Вот типовые ситуации, которые будут подпадать под данную статью:
1. Передача ПДн работников третьим лицам:
- в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
- в охранное предприятие в целях взаимодействия и реагирования;
- в медицинские организации в целях проведения медицинских осмотров;
- в страховые компании по договорам добровольного медицинского страхования;
- в образовательные организации в объеме превышающем требования закона об образовании;
- в целях организации командировок и участия в выставках;
- в других целях, напрямую не связанных с должностными обязанностями сотрудника.
2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:
- организации мероприятий, маркетинговых акций, рекламы;
- размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
- сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.
3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.
4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).
Изменение №2
Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.
По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.
В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.
Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.
Что делать в 2021 году
Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.
Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.
Компания должна выполнить следующее:
- Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
- Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
- Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
- Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
- Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
- Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
- Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
- Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
- Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
- Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
-
Составить годовой план и реализовать его.
Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.
Два пути
Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:
- делать все самостоятельно (силами организации);
- доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.
Фото на обложке: Shutterstock/Trismegist san
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter