Любая компания, которая работает с информацией о людях, по закону является _оператором персональных данных._ Использование CRM-системы, рассылка коммерческих предложений и прием сотрудников на работу автоматически накладывают обязательства по 152-ФЗ.Неправильное обращение с конфиденциальной информацией приводит к штрафам, судебным искам и подрывает доверие к бизнесу. В 2023 году крупная утечка данных произошла в МТС Банке.
Роскомнадзор подтвердил факт компрометации ПДн _около миллиона человек._ В сеть попали ФИО и номера телефонов клиентов, ИНН, даты рождения и частично номера банковских карт. Утечка такого масштаба создала серьезные риски для клиентов, поскольку информация могла быть использована злоумышленниками для организации фишинговых атак и мошеннических схем.
Какие данные закон относит к персональным - Общедоступные- ФИО, телефон, e-mail, профиль в социальной сети. - Биометрические - фотографии, отпечатки пальцев, записи с камер видеонаблюдения, генетическая информация. - Специальные - сведения о состоянии здоровья, национальной принадлежности, религиозных и политических убеждениях, судимости. - Иные- любая другая информация, которую компания самостоятельно классифицирует как персональную в своих внутренних регламентах. Важно! Закон признает персональными данными любую информацию, включая технические идентификаторы (IP, cookie), если с их помощью можно определить конкретного человека.
Это подтверждает судебная практика, включая решения Роскомнадзора.
Кто и как контролирует защиту ПДн Государство строго контролирует соблюдение законодательства о персональных данных через систему надзорных органов: - Роскомнадзор: проверяет, как компания получает согласия, публикует документы и организует процессы обработки сведений. - ФСТЭК:устанавливает требования технической защиты сведений и проверяет их выполнение, особенно для информационных систем. - ФСБ: участвует в проверках, когда вопрос касается использования криптографической защиты - средств шифрования информации и безопасности данных, связанных с государственной безопасностью. - Прокуратура: может инициировать проверку, если получит жалобу от гражданина на нарушение его прав.
Проверки проходят _по плану или внепланово_ - после жалобы клиента или утечки информации. Инспекторы запрашивают внутренние акты: политику конфиденциальности организации, приказы о возложении ответственности за обработку персональных сведений, документы классификации информационных систем и модель угроз. Пример ошибки: за отсутствие учетного журнала запросов субъектов ПДн инспектор выпишет штраф, поскольку это доказывает, что бизнес не исполняет требования закона о своевременном ответе на запросы граждан.
Какие документы по защите ПДн должны быть в компании Для соответствия нормам закона, организация должна разработать внутренние документы, наличие которых проверяет Роскомнадзор. - Политика обработки ПДн - главный документ, который описывает, как оператор собирает, хранит и использует данные. - Приказ о возложении ответственности за обработку персональных данных - без этого документа невозможно привлечь к ответственности конкретного специалиста. - Согласие на обработку ПДн- специальные формы для клиентов, сотрудников и партнеров, соответствующие требованиям закона. - Перечень обрабатываемых персональных данных - точный список того, какую информацию вы храните и обрабатываете. - Инструкция по работе с ПДндля сотрудников - правила, которые предотвращают случайные утечки по вине персонала. - Журнал обращений субъектов персональных данных - содержит запросы от граждан на доступ, исправление или удаление их данных. - Акт классификации систем, в которых обрабатываются персональные сведения - устанавливает уровень защищенности ваших баз данных. Пример ошибки: сеть медицинских клиник не обновила бланки согласий на обработку данных о здоровье пациентов.
Во время проверки Роскомнадзор оштрафовал компанию _на 75 000 рублей,_ так как старые формы не содержали всех требований закона. Исправление заняло месяц и потребовало переподписать документы у тысяч клиентов.
Разобрать вашу задачу с архитектором