Одно из основных конкурентных преимуществ бизнеса – владение коммерческой информацией. Защищать ее – дело самой компании. По статистике, 70% компаний сталкиваются с утечками и воровством такой информации. В такой ситуации компания несет убытки, но никаких санкций со стороны государства не возникает.
А вот в случае с персональными данными все регулируется законодательством, в том числе ответственность. Сами меры по защите персональных данных вырабатывает компания. Перечень и достаточность этих мер также определяет компания, но с учетом рисков ущерба, который может быть потенциально нанесен, если произойдет такая утечка данных.
Согласно «Доктрине информационной безопасности», утвержденной указом Президента, одна из глобальных задач – построение системы безопасности обработки персональных данных. С учетом сегодняшней политической ситуации все ужесточения происходят в области возможной утечки данных за рубеж.
Даже если посмотреть на проекты по санкциям:
- Оборотные штрафы за утечку (планово – июль 2023 г.), то есть штрафы в % от размеров доходов организации,
- Штрафы за нарушения в порядке распространения персональных данных, в том числе биометрических данных (фото, видео),
- Штрафы за использование иностранных мессенджеров для отдельных компаний (Телеграм, WhatsApp и т.д.)
Основные ограничения и правовые риски уже введены в части:
- Нахождения сервера, на котором хранятся персональные данные, за пределами страны,
- Трансграничной передачи персональных данных (передача за рубеж) с нарушением порядка уведомления Роскомнадзора:
- при отправке работников в командировки,
- на обучение,
- при доступе к базам данных иностранных лиц.
- Удаленный доступ из-за рубежа к базам данных (дистанционные работники и лица, работающие по договору ГПХ из-за рубежа).
Что необходимо проверить прямо сейчас?
- Назначение ответственного должностного лица в компании, его обучение,
- Подачу уведомления в Роскомнадзор об обработке персональных данных работников, кандидатов, родственников,
- Создание карты (матрицы и т.д.) обработки персональных данных с четкой градацией по целям обработки,
- Оформление акта об оценке потенциального вреда (с марта 2023 г.),
- Организацию нового порядка уничтожения персональных данных (с марта 2023 г.),
- Корректировку локальных актов (с учетом новых требований с 01.09.2022 г.),
- Корректировку согласий на обработку ПД (с учетом новых требований с 01.09.2022 г.),
- Построение системы контроля за соблюдением законодательства по защите ПД.
Как исключить проведение в организации внеплановой проверки Роскомнадзора?
Необходимо проверить:
- Уведомление на его актуальность (сроки подачи – не ранее, чем с декабря 2022 г.),
- Наличие Политики обработки ПД на сайте,
- Наличие Политики обработки ПД на страницах, где осуществляется сбор персональных данных,
- Наличие сведений о субъектах в сети Интернет,
- Наличие согласий на распространение персональных данных по лицам, по которым есть информация на сайте, в сети Интернет и др.
- Наличие согласий на передачу данных третьим лицам (банкам в «зарплатном проекте», страховым компаниям по ДМС, при отправке работника на тренинги, обучение и т.д.)
Исходя из нашей практики, объем работы по построению и системе поддержки требований по защите персональных данных ложится не просто на должностное лицо, ответственное за обработку ПД, а на небольшой (а то и большой) отдел, в зависимости от объемов обработки персональных данных и численности работников компании.
В среднем в проекте по нормированию мы вышли на пропорцию «500 работников – 1 человек на защиту». И это при том, что это «средняя температура по больнице».
На расчет такого норматива влияет:
- Структура компании (наличие обособленных подразделений),
- Распределение обязанностей (вовлечение в часть работ руководителей структурных подразделений),
- Категории обрабатываемых персональных данных (есть ли биометрия, специальные категории данных),
- Способы обработки данных,
- И др.