Что важно знать каждой компании об информационной безопасности при обработке персональных данных
- Основные ограничения и правовые риски
- Что необходимо проверить сейчас?
- Как исключить проведение внеплановой проверки Роскомнадзора?
Одно из основных конкурентных преимуществ бизнеса – владение коммерческой информацией. Защищать ее – дело самой компании. По статистике, 70% компаний сталкиваются с утечками и воровством такой информации. В такой ситуации компания несет убытки, но никаких санкций со стороны государства не возникает.
А вот в случае с персональными данными законодательство ужесточает ответственность год от года. Сами меры по защите персональных данных вырабатывает компания. Перечень и достаточность этих мер также определяет компания, но с учетом рисков ущерба, который может быть потенциально нанесен, если произойдет такая утечка данных.
Согласно «Доктрине информационной безопасности», утвержденной указом Президента, одна из глобальных задач – построение системы безопасности обработки персональных данных. С учетом сегодняшней политической ситуации все ужесточения происходят в области возможной утечки данных за рубеж.
Даже если посмотреть на проекты по санкциям:
- Оборотные штрафы за утечку (штрафы) в % от размеров доходов организации,
- Штрафы за нарушения в порядке распространения персональных данных, в том числе биометрических данных (фото, видео),
- Штрафы за использование иностранных мессенджеров для отдельных компаний (Телеграм, WhatsApp и т.д.)
Основные ограничения и правовые риски
Основные ограничения и правовые риски уже введены в части:- нахождения сервера, на котором хранятся персональные данные, за пределами страны,
- трансграничной передачи персональных данных (передача за рубеж) с нарушением порядка уведомления Роскомнадзора:
- при отправке работников в командировки,
- на обучение,
- при доступе к базам данных иностранных лиц.
- удаленный доступ из-за рубежа к базам данных (дистанционные работники и лица, работающие по договору ГПХ из-за рубежа).
Скачайте презентацию по аудиту персональных данных от компании "Митрофанова и партнеры" в конце статьи. Если у вас есть вопросы по аудиту персональных данных, наши эксперты с удовольствием на них ответят
Что необходимо проверить прямо сейчас?
- Назначение ответственного должностного лица в компании, его обучение
- Подачу уведомления в Роскомнадзор об обработке персональных данных работников, кандидатов, родственников
- Создание карты (матрицы и т.д.) обработки персональных данных с четкой градацией по целям обработки
- Оформление акта об оценке потенциального вреда
- Организацию нового порядка уничтожения персональных данных
- Корректировку локальных актов (с учетом новых требований
- Корректировку согласий на обработку ПД (с учетом новых требований
- Построение системы контроля за соблюдением законодательства по защите ПД.
Как исключить проведение внеплановой проверки Роскомнадзора?
Необходимо проверить:- Уведомление на его актуальность (сроки подачи – не ранее, чем с декабря 2022 г.),
- Наличие Политики обработки ПД на сайте,
- Наличие Политики обработки ПД на страницах, где осуществляется сбор персональных данных,
- Наличие сведений о субъектах в сети Интернет,
- Наличие согласий на распространение персональных данных по лицам, по которым есть информация на сайте, в сети Интернет и др.
- Наличие согласий на передачу данных третьим лицам (банкам в «зарплатном проекте», страховым компаниям по ДМС, при отправке работника на тренинги, обучение и т.д.)
Исходя из нашей практики, объем работы по построению и системе поддержки требований по защите персональных данных ложится не просто на должностное лицо, ответственное за обработку ПД, а на небольшой (а то и большой) отдел, в зависимости от объемов обработки персональных данных и численности работников компании.
В среднем в проекте по нормированию мы вышли на пропорцию «500 работников – 1 человек на защиту». И это при том, что это «средняя температура по больнице».
На расчет такого норматива влияет:
- Структура компании (наличие обособленных подразделений),
- Распределение обязанностей (вовлечение в часть работ руководителей структурных подразделений),
- Категории обрабатываемых персональных данных (есть ли биометрия, специальные категории данных),
- Способы обработки данных,
- И др.
Памятка Распространенные вопросы по работе с персданными и нормы закона, которые их регулируют
Скачать
ЗАКАЖИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ
Профессиональный аудит персональных данных от экспертов поможет конкретизировать перечень персональных данных, актуализировать их субъектов и принятые в компании акты, а также разработать формы по новым требованиям закона. Так работодатель сможет избежать тюрьмы, дисквалификации и многомиллионных штрафов. Будьте готовы к внеплановым проверкам Роскомнадзора!
Материал подготовлен экспертами департамента трудового права компании "Митрофанова и партнеры"