Защита персональных данных. Что нужно знать организациям?
Утечки чувствительной информации — серьезная угроза для проектов любого масштаба. За последние пару лет белорусские компании из разных отраслей теряли сотни тысяч персональных данных. Помимо юридических последствий, такие утечки могут нанести репутационный и финансовый ущерб. Рассказываем, что нужно знать о персональных данных, и как обеспечить им надежную защиту.
Какие данные относятся к персональным?
Закон Республики Беларусь № 99-З «О защите персональных данных» затрагивает все проекты, в информационных системах которых обрабатываются персональные данные (ПД). А относится к таким данным любая информация, с помощью которой можно идентифицировать человека.
- Контактные данные: ФИО, номер телефона, место жительства, электронная почта.
- Информация о семье и родственниках: супругах, детях, родителях и др.
- Идентификаторы: личный идентификатор, онлайн-идентификатор, IP-адрес, номер водительского удостоверения, страхового полиса, паспорта, банковского счета и карты.
- Сведения о трудовой деятельности: место работы и должность, характеристики, периоды отпусков, заработная плата, переписка в рабочих мессенджерах, подписи на рабочих документах;
- Информация об образовании: оконченные учреждения и курсы, оценки, дипломы и прочие.
- Сведения об имуществе: недвижимости, транспортных средствах, приобретенных или планируемых к приобретению товарах и услугах;
- Онлайн-активность: история посещения сайтов, поисковых запросов, переписка в сети, файлы cookie и другие.
- А также медицинские, биометрические и генетические данные, геолокационные сведения, фотографии людей и множество другой информации о человеке.
Что относится к обработке персданных?
Обработку и хранение включают все действия с персональными данными: например, сбор различной информации о клиентах, отправка рассылок, обработка заказов. Многие организации ошибочно полагают, что не работают с ПД и игнорируют меры по их защите. А между тем обработка чувствительной информации затрагивает множество рабочих процессов в самых разных компаниях.
- При найме сотрудника любая организация забирает на хранение трудовую книжку и вносит в нее данные, добавляет в бухгалтерию платежные сведения.
- Школы, университеты, онлайн-курсы и другие образовательные организации взаимодействуют со свидетельствами о рождении, сведениями об успеваемости, справками о состоянии здоровья, банковскими счетами и множеством других документов и данных.
- Учреждения здравоохранения используют в работе сведения о здоровье пациентов, результаты исследований и другую чувствительную информацию.
- Торговые организации, включая интернет-магазины и маркетплейсы, активно взаимодействуют с платежной и контактной информацией клиентов.
- Букмекерские конторы, онлайн-казино и другие организации из сфер беттинга и гемблинга собирают платежные и геолокационные данные пользователей и используют дополнительную валидацию.
- Приложения банков, онлайн-магазины и множество других веб-сервисов и систем обрабатывают данные аккаунтов и платежные сведения. Надежно разместить такие проекты можно, например, в сертифицированной облачной инфраструктуре. Это позволит компании не только соблюсти требования законодательства, но и воспользоваться гибкой тарификаций — с оплатой выделенных ресурсов по факту потребления.
Что нужно сделать компании для правомерной обработки персданных?
- Назначить ответственных за обработку ПД. Это может быть один или несколько сотрудников и даже подразделение. Важно: в связи с наличием конфликта интересов такие функции, как правило, не могут осуществляться специалистами по информационной безопасности.
- Разработать политику компании по обработке ПД и разместить ее на сайте организации.
- Установить порядок доступа к ПД.
- Разработать документы:
- перечень информационных ресурсов и систем, в которых обрабатываются персональные данные;
- перечень уполномоченных лиц. - Проинформировать персонал о законе и политике компании в обработке ПД, обучить сотрудников, взаимодействующих с ПД.
- Обеспечить техническую и криптографическую защиту персональных данных в соответствии с классификацией информационных ресурсов и систем, содержащих ПД.
Согласие на обработку персональных данных
При отсутствии иных оснований для обработки персональных данных для правомерной работы с ПД компания должна получить у пользователя соответствующее разрешение. Согласие на обработку ПД может быть выражено в письменной или электронной форме. Например, в онлайн-сервисах часто используется поле для галочки напротив пунктов с описанием цели обработки ПД.
Согласие на обработку персданных должно быть однозначным и свободным.
Цель — конкретной. Пользователь должен четко понимать, какие персональные данные и с какой целью он разрешает использовать. Если запрашивается номер телефона для обратного звонка, слать на него SMS с рекламой нельзя. Если нужно отправить рассылку на электронный адрес — необходимо запросить и получить на это разрешение.
При изменении цели использования персданных нужно повторное согласие.
Также должна быть предусмотрена и возможность отзыва согласия. Например, через подачу заявления или в той форме, в которой ранее было предоставлено разрешение на обработку чувствительных сведений.
Когда не требуется согласие на обработку персональных данных?
Ситуации, когда согласие на обработку ПД не требуется, описаны в статье 6 Закона «О защите персональных данных». Указанные случаи включают реализацию функций государственных органов: осуществление правосудия, исполнение судебных постановлений, реализацию норм законодательства, связанных с проведением выборов, и множество других. Согласие на обработку ПД также не требуется и в ряде иных ситуаций, например:
- при оформлении и реализации трудовых, в том числе служебных отношений;
- при заключении или исполнении договора с субъектом ПД;
- для ранее распространенных ПД;
- в исследовательских целях при обезличивании ПД;
- при выполнении обязанностей и полномочий, предусмотренных законодательными актами.
Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных
Нарушение требований законодательства при работе с персданными предусматривает дисциплинарную, административную и уголовную ответственность, а также приостановление обработки персональных данных.
Административная ответственность. Статья 23.7 КоАП предусматривает наложение штрафа:
- до 50 базовых величин за умышленные незаконные сбор, обработку, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой ПД;
- до 200 базовых величин — за умышленное незаконное распространение ПД физлиц;
- до 50 базовых величин — за несоблюдение мер обеспечения защиты персданных.
Уголовная ответственность:
- Статья 203-1 УК предусматривает до 5 лет лишения свобода за незаконные действия в отношении информации о частной жизни и персональных данных.
- Статья 203-2 УК предусматривает до 1 года лишения свободы за несоблюдение мер обеспечения защиты персданных, повлекшее по неосторожности их распространение и причинение тяжких последствий.
Также законодательством предусмотрено приостановление обработки персональных данных. Эта мера может быть применена Национальным центром защиты персональных данных и фактически приостанавливает деятельность организации.
Дисциплинарная ответственность:
Согласно статье 47 Трудового кодекса договор с сотрудником может быть прекращен за нарушение им правовых и технических норм в работе с персданными.
Как мы можем помочь?
Мы предоставляем сертифицированные услуги в сфере информационной безопасности на правах первого в стране коммерческого центра кибербезопасности, аттестованного Оперативно-аналитическим центром при Президенте Республики Беларусь. Наши специалисты подберут для вашего проекта наиболее релевантный вариант, который поможет вам минимизировать риски и оптимизировать расходы на сопровождение информационных систем.
- Защищенный виртуальный хостинг
- Защищенный облачный хостинг
- Защищенный выделенный сервер
- Аттестация системы защиты информации
- Аудит информационной безопасности компании
- Технический анализ уровня защищенности