Что важно знать каждой компании об информационной безопасности при обработке персональных данных


Одно из основных конкурентных преимуществ бизнеса – владение коммерческой информацией. Защищать ее – дело самой компании. По статистике, 70% компаний сталкиваются с утечками и воровством такой информации. В такой ситуации компания несет убытки, но никаких санкций со стороны государства не возникает.

А вот в случае с персональными данными законодательство ужесточает ответственность год от года. Сами меры по защите персональных данных вырабатывает компания. Перечень и достаточность этих мер также определяет компания, но с учетом рисков ущерба, который может быть потенциально нанесен, если произойдет такая утечка данных.
ИНТЕРЕСНЫЕ СТАТЬИ

Как обрабатывать биометрические данные соискателей? 

Подробнее

Согласно «Доктрине информационной безопасности», утвержденной указом Президента, одна из глобальных задач – построение системы безопасности обработки персональных данных. С учетом сегодняшней политической ситуации все ужесточения происходят в области возможной утечки данных за рубеж.

Даже если посмотреть на проекты по санкциям:

  • Оборотные штрафы за утечку (штрафы) в % от размеров доходов организации,
  • Штрафы за нарушения в порядке распространения персональных данных, в том числе биометрических данных (фото, видео),
  • Штрафы за использование иностранных мессенджеров для отдельных компаний (Телеграм, WhatsApp и т.д.)

Основные ограничения и правовые риски 

Основные ограничения и правовые риски уже введены в части:

  • нахождения сервера, на котором хранятся персональные данные, за пределами страны,
  • трансграничной передачи персональных данных (передача за рубеж) с нарушением порядка уведомления Роскомнадзора:
  • при отправке работников в командировки,
  • на обучение,
  • при доступе к базам данных иностранных лиц.
  • удаленный доступ из-за рубежа к базам данных (дистанционные работники и лица, работающие по договору ГПХ из-за рубежа).
ИНТЕРЕСНЫЕ СТАТЬИ

Зачем проводить в компании аудит персональных данных?

Подробнее

Скачайте презентацию по аудиту персональных данных от компании "Митрофанова и партнеры" в конце статьи. Если у вас есть вопросы по аудиту персональных данных, наши эксперты с удовольствием на них ответят

Что необходимо проверить прямо сейчас?

  • Назначение ответственного должностного лица в компании, его обучение
  • Подачу уведомления в Роскомнадзор об обработке персональных данных работников, кандидатов, родственников
  • Создание карты (матрицы и т.д.) обработки персональных данных с четкой градацией по целям обработки
  • Оформление акта об оценке потенциального вреда
  • Организацию нового порядка уничтожения персональных данных 
  • Корректировку локальных актов (с учетом новых требований 
  • Корректировку согласий на обработку ПД (с учетом новых требований 
  • Построение системы контроля за соблюдением законодательства по защите ПД.

Как исключить проведение внеплановой проверки Роскомнадзора?

Необходимо проверить:

  • Уведомление на его актуальность (сроки подачи – не ранее, чем с декабря 2022 г.),
  • Наличие Политики обработки ПД на сайте,
  • Наличие Политики обработки ПД на страницах, где осуществляется сбор персональных данных,
  • Наличие сведений о субъектах в сети Интернет,
  • Наличие согласий на распространение персональных данных по лицам, по которым есть информация на сайте, в сети Интернет и др.
  • Наличие согласий на передачу данных третьим лицам (банкам в «зарплатном проекте», страховым компаниям по ДМС, при отправке работника на тренинги, обучение и т.д.)

Исходя из нашей практики, объем работы по построению и системе поддержки требований по защите персональных данных ложится не просто на должностное лицо, ответственное за обработку ПД, а на небольшой (а то и большой) отдел, в зависимости от объемов обработки персональных данных и численности работников компании.
ИНТЕРЕСНЫЕ СТАТЬИ

Как быстро провести аудит согласия на обработку персональных данных

Подробнее

В среднем в проекте по нормированию мы вышли на пропорцию «500 работников – 1 человек на защиту». И это при том, что это «средняя температура по больнице».

На расчет такого норматива влияет:

  • Структура компании (наличие обособленных подразделений),
  • Распределение обязанностей (вовлечение в часть работ руководителей структурных подразделений),
  • Категории обрабатываемых персональных данных (есть ли биометрия, специальные категории данных),
  • Способы обработки данных,
  • И др.
Чек-лист Обязательные положения Согласия на обработку персональных данных
Памятка Распространенные вопросы по работе с персданными и нормы закона, которые их регулируют

Скачать
ЗАКАЖИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ
Профессиональный аудит персональных данных от экспертов поможет конкретизировать перечень персональных данных, актуализировать их субъектов и принятые в компании акты, а также разработать формы по новым требованиям закона. Так работодатель сможет избежать тюрьмы, дисквалификации и многомиллионных штрафов. Будьте готовы к внеплановым проверкам Роскомнадзора!

Материал подготовлен экспертами департамента трудового права компании "Митрофанова и партнеры"
Поделиться материалом
Скопировать ссылку