Как хранить персональные данные клиентов в организации

Работа с персональными данными клиентов. О чём нужно помнить?

С каждым годом вопросы защиты персональных данных становятся всё более актуальными. Требования к работе с ними постоянно расширяются и конкретизируются, ужесточаются санкции за нарушение регламентов. В статье мы расскажем, какие меры должна предпринять аптека для правильной работы с персональными данными покупателей.

Авторы

Автор Рахимова Евгения

Содержание

• Что такое «персональные данные клиентов»?
• Оператор персональных данных — кто он?
• Организация процесса работы
• Персональные данные в системе лояльности — с чего начать сбор?
• Как собирать согласия на обработку
  • Печатная анкета
  • Подтверждение согласия через SMS-код или звонок
  • Check box с галочкой согласия на сайте

  Как правило, аптеки собирают персональные данные клиентов для работы с бонусными системами, например скидочными картами.

  Что такое «персональные данные клиентов»?

  В соответствии со ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 года, персональные данные (ПД) — это любая информация, относящаяся к физическому лицу. При этом законом не определены точные границы того, какую именно информацию относят к персональной. Как показывает юридическая практика, такие данные обычно представляют собой связку нескольких фактов о человеке, которые позволяют идентифицировать его как отдельную личность.

  Приведём примерный список наиболее используемых персональных данных, которые могут потребоваться аптеке при работе с клиентами:

  • фамилия, имя, отчество;
  • дата рождения, возраст;
  • адрес места жительства или регистрации;
  • номер контактного телефона;
  • адрес электронной почты и так далее.

  Человек может оставить свои данные аптеке в разных ситуациях. К ним относится оформление бонусной или скидочной карты, подписка на информирование об акциях, участие в опросах или конкурсах, заказ товаров в интернет-магазине.

  

  Оператор персональных данных — кто он?

  Как только аптека начинает собирать, систематизировать, накапливать, хранить, использовать или передавать персональные данные клиентов или сотрудников, она становится оператором персональных данных. Этот момент прописан в п. 2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных».

  Принципы обработки персональных данных и условия работы с ними подробно описаны в п. 5 и п. 6 Федерального закона № 152-ФЗ «О персональных данных». Работа с ними должна выполняться в соответствии с действующим законодательством. Например, для обработки сведений необходимо предварительно получить согласие субъекта персональных данных. Его отсутствие чревато неблагоприятными последствиями в виде судебных исков. Человек может выразить своё согласие в любой форме, которая позволила бы подтвердить факт его предоставления (если нет иных законодательных требований). Ниже мы рассмотрим этот момент более детально.

  При работе с персональными данными об этом необходимо уведомить Роскомнадзор — лучше всего это делать до начала сбора сведений. Отправить уведомление в контролирующий орган нужно только один раз — информируя о самом факте работы.

  Подать уведомление можно одним из трёх способов:

  • направить электронное уведомление через портал Госуслуг;
  • направить заполненное по форме бумажное заявление в Роскомнадзор;
  • заполнить уведомление и подписать его Усиленной квалифицированной электронной подписью на сайте Роскомнадзора.

  Важный момент! Уведомлять Роскомнадзор нужно только в случае сбора и обработки данных с помощью автоматизированных систем, например компьютера. О рукописном журнале учёта отчитываться не нужно.

  

  Организация процесса работы

  При подготовке к работе с персональными данными клиентов аптеки можно выполнить следующие действия:

  1. Приказом назначить ответственного за организацию обработки персональных данных.
  2. Издать локальный акт, который зафиксирует политику аптеки в сфере персональных данных, и ознакомить с ним сотрудников.
  3. Определить организационные, технические и правовые меры для обеспечения безопасности собранных сведений.
  4. Проинформировать Роскомнадзор о намерении обрабатывать персональные данные.
  5. Определить автоматизированных носителей личной информации о клиентах.
  6. Разработать схемы регистрации и учёта действий, которые будут совершаться с полученными сведениями.

  В соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» Оператор должен предоставлять клиентам неограниченный доступ к документу о защите персональных данных. Как правило, это положение размещается на стенде для покупателей или публикуется на сайте аптеки.

  Персональные данные в системе лояльности — с чего начать сбор?

  Прежде всего необходимо определить список сведений, которые клиент аптеки должен будет предоставить для участия в бонусной программе, регистрации на сайте и так далее. Как показывает практика, два и более видов персональных данных уже позволяет идентифицировать личность, пусть и косвенно. Таким образом аптека выступает оператором персональных данных, для сбора и обработки которых следует предварительно получить согласие клиентов.

  При этом согласие на обработку персональных данных не требуется получать в том случае, если аптека публикует отзывы, в которых нужно указать только имя. Приведём пример такого отзыва.

  «Вежливый персонал, большой выбор лекарств и других товаров. Очень удобное расположение».

  Ангелина

  Как собирать согласия на обработку

  Закон не определяет строгие правила или шаблоны для получения согласия у клиентов. К исключениям относится бизнес, работающий с информацией о здоровье или национальной принадлежности человека. Однако большинству аптек такие сведения не требуются.

  Можно организовать сбор согласия в электронном или письменном виде — на усмотрение руководителя аптеки. Лучше всего обеспечить хранение согласия на протяжении всего периода их действия. Как правило это отрезок времени, на протяжении которого планируется производить обработку персональных данных клиентов аптеки, и 3 года после завершения.

  Рассмотрим три наиболее популярных способа сбора согласия клиентов аптеки на обработку персональных данных.

  

  Печатная анкета

  Бумажная анкета открывает новые возможности для рекламы — выполненная в фирменном стиле аптеки, она может подчеркнуть сильные стороны бренда, проинформировать покупателей об акциях.

  И конечно, служить документом для сбора персональных данных и получения согласия клиента на обработку персональных данных. Анкета заполняется от руки. Можно предложить просто поставить галочку напротив пункта «Я даю согласие на обработку персональных данных» и оставить свою подпись.

  Подтверждение согласия через SMS-код или звонок

  Более современный метод предполагает подтверждение согласия при помощи звонка или отправки кода на личный номер телефона клиента. Для этого фармацевт вносит данные покупателя в программу лояльности и просит озвучить код, который система направляет для подтверждения.

  Чтобы клиент мог ознакомиться с полным текстом согласия и правилами программы лояльности или другими сервисами аптеки, в SMS можно отправить ссылку на эти документы.

  Check box с галочкой согласия на сайте

  При регистрации на сайте или отправке формы заказа следует предусмотреть специальное поле с «флажком» — чекбокс — напротив ссылки на согласие и правила обработки персональных данных.

  Важно! Нельзя автоматически проставлять это поле. Клиент должен сам нажать на него, выражая своё согласие.

  Клиент не может отправить заявку, пока не поставит галочку в соответствующем поле. При получении его согласия заявка сохраняется на сайте. В дальнейшем её можно будет выгрузить и использовать как доказательство того, что согласие клиента было получено.

  

  Что должно содержать согласии на обработку

  Документ должен объяснить покупателю, с какой целью аптека собирает его персональные данные и как будет их использовать. Требования к тексту согласия указаны в ст. 9 Федерального закона № 152-ФЗ «О персональных данных».

  Согласие на обработку персональных данных может содержать:

  • наименование аптечной организации;
  • цель обработки персональных данных (участие в бонусной системе, получение рассылок об акциях, отправка заказа, создание личного кабинета и так далее);
  • список персональных данных, которые клиент аптеки позволяет обрабатывать (ФИО, дата рождения, телефон, адрес электронной почты, домашний адрес и так далее);
  • список действий, которые покупатель позволяет совершать со своими персональными данными (сбор, накопление, систематизация, хранение, использование для рассылки сообщений, рекламных звонков и так далее);
  • срок действия согласия;
  • список организаций, которым аптека может передавать данные;
  • на бумажном носителе — подпись клиента.

  Собирать только те персональные данные, которые точно нужны для реализации целей аптеки. Например, при оформлении заказа на сайте аптеки, будет лишним спрашивать семейное положение покупателя и другую подобную информацию. Сбор таких данных может насторожить клиента и вызвать вопросы со стороны контролирующих органов.

  

  За что аптеку могут оштрафовать при сборе персональных данных

  Штрафов за неправильную работу с персональными данными довольно много.

  Аптека может обрабатывать персональные данные с теми целями, которые не были указаны в соглашении. В этом случае предусмотрены административные штрафы:

  • на должностные лица — от 10 000 до 20 000 рублей;
  • на юридические лица — от 60 000 до 100 000 рублей.

  Повторное нарушение чревато более высокими административными штрафами:

  • на должностные лица — от 20 000 до 50 000 рублей;
  • на ИП — от 50 000 до 100 000 рублей;
  • на юридические лица — от 100 000 до 300 000 рублей.

  Пример: покупатель оставил в анкете телефон для регистрации в системе лояльности, но не давал согласие на получение рекламной рассылки. Аптека добавила номер в базу для рассылок и стала рассылать SMS с акциями.

  Аптека не взяла согласие клиента на обработку данных, но использует их в своей работе. В этом случае предусмотрены административные штрафы:

  • на должностные лица — от 20 000 до 40 000 рублей;
  • на юридические лица — от 30 000 до 150 000 рублей.

  Повторное нарушение чревато более высокими административными штрафами:

  • на должностные лица — от 40 000 до 100 000 рублей;
  • на ИП — от 100 000 до 300 000 рублей;
  • на юридические лица — от 300 000 до 500 000 рублей.

  Пример: человек указал свой номер телефона и адрес электронной почты на странице в социальной сети. Представитель аптеки добавил эти контакты в базу для рассылок без получения разрешения со стороны владельца персональных данных.

  Точный размер административного штрафа определяют контролирующие органы индивидуально для каждой организации.

  Источники:
  Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 года;
  Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 года, № 195-ФЗ;
  Персональные данные клиентов в системе лояльности: как их хранить и не получить штраф;
  Персональные данные: как аптеке избежать штрафов?

  Хранение персональных данных клиентов

  

  Решая проблему хранения и защиты персональных данных в организации, нужно отдельно уделить внимание организации процесса работы с информацией, получаемой от клиентов. Несмотря на то, что в отношении подобных сведений действуют те же принципы, что и для ПДн сотрудников, в данном вопросе присутствует множество тонкостей, в особенности если речь идет об интернет-магазинах, блогах, форумах или фирмах, заключающих контракты онлайн. Решение данных вопросов займет немало времени и усилий, однако в этом случае со стороны проверяющих структур не будет возникать претензий в части обработки ПДн (минимизация рисков наложения штрафов), а заказчики смогут быть уверенными в надежности организации.

  Что подразумевают под ПДн клиентов?

  По мере усиления контроля со стороны государства в сфере сохранения конфиденциальности информации о гражданах все больше компаний осознают необходимость исполнения своих обязанностей в качестве оператора ПДн. Но для того, чтобы выполнить все требования, прописанные в ФЗ-152 и других нормативно-правовых актах, нужно разобраться, что входит в состав персональных данных клиента. Сложностей добавляет тот факт, что границы данного понятия до конца не определены, хотя в законе прописано четкое определение. На практике к числу обрабатываемых и хранимых личных сведений фирмы могут относить:

  • информацию об устройстве пользователя;
  • Ф.И.О., дату рождения и место жительства;
  • пол, гражданство, образование и семейный статус;
  • место работы, регион и отрасль деятельности;
  • должность и уровень дохода;
  • сведения из гражданского или заграничного паспорта;
  • мобильный, стационарный номер и адрес электронной почты;
  • данные о входе на сайт, длительности посещения, пользовательских действиях (кликах, источнике входа, заполнении полей, просмотрах видео и баннеров, открытия страниц, cookie-идентификации);
  • информацию о наличии детей (их количестве, поле, возрасте).

  Чтобы не нарушать правовые нормы, все виды ПДн клиентов нужно прописать во внутреннем документе предприятия — порядке хранения и защиты, а также указать их при регистрации в Роскомнадзоре. Если получать и сохранять персональную информацию о субъектах шире заявленного перечня, то есть риск получения штрафов и существенного репутационного ущерба. В законодательстве присутствует одна особенность, которая заключается в том, что каждая разновидность информации не подпадает под понятие ПДн. Лишь совокупность сведений, по которому можно идентифицировать субъекта, как персону можно отнести к ПДн, например, данные о номере телефона номер телефона в сочетании с информацией об имени человека с названием компании, в которой он работает. Также под категорию персональных не подпадают сведения, размещенные их владельцем в социальных или иных сетях общего доступа, за исключением «ВКонтакте».

  Во всех остальных случаях действуют положения ФЗ-152 и подзаконных актов, которые оператору нужно выполнять.

  Важность обеспечения защиты личной информации

  Государство требует от операторов уничтожать или обезличивать ПДн после достижения целей их обработки, при этом период их хранения может быть весьма длительным. С момента получения от субъекта идентифицирующей информации компания несет ответственность за её безопасное хранение, что предполагает разработку и внедрение определенных защитных мер, а также использование специальных средств. Этому аспекту деятельности нужно уделять особое внимание, поскольку персональные данные могут быть обнародованы, утеряны или переданы третьим лицам без согласия владельца. Эффективная политика защиты позволяет избежать:

  1. Промышленного шпионажа.
  2. Человеческих ошибок.
  3. Сбоев в функционировании программного обеспечения.
  4. Неполадок в работе операционных систем.

  Детально о том, как правильно хранить персональные данные клиентов

  Независимо от специфики деятельности организации, в отношении операций с ПДн, включая хранение, нужно руководствоваться прописанными в законодательных актах правилами:

  • пройти регистрацию на официальном портале Роскомнадзора, задекларировав и подтвердив статус оператора. Кроме электронного обращения потребуется подать заявление в письменной форме (лично приходить необязательно, можно отправить по почте в соответствующее территориальное подразделение РКН);
  • уведомить субъектов о сборе их ПДн и получить их согласие. Если речь идет об интернет-ресурсах, то письменно это делать не нужно, но на сайте обязательно должно быть пользовательское соглашение с пометкой о том, что, пользуясь сервисом, человек автоматически дает согласие на обработку его личных данных;
  • разработать и использовать внутренние документы, регулирующие доступ и защиту конфиденциальных сведений. Все акты, положения, руководства и т.д. должны быть подписаны директором предприятия. Также нужно будет назначить лиц, ответственных за безопасность ПДн, и закупить средства защиты.

  Юридически безопаснее не размещать на сайте формы для заполнения, а оставить ссылку либо е-мейл для отправки сведений.

  Условия и особенности хранения данных о клиентах напрямую зависят от того, каким образом они были собраны:

  1. Если ПДн получены с помощью Интернета, то они попадают на сервер, и ответственность за их безопасность несет хостинг-провайдер, с которым должно быть заключено соглашение о поручения обработки ПДн, при этом по закону сведения должны размещаться на серверах на территории Российской Федерации.
  2. Отсканированная информация может размещаться на съемных носителях, внешних или внутренних жестких дисках, в локальной сети либо в облаке. Последнее время многие организации выбирают именно последний вариант ввиду его экономичности и простоты доступа, однако необходимо быть предельно внимательными, выбирая хранилище с высоким уровнем защиты от взлома.
  3. Сведения, собранные благодаря анкетам и опросникам, заносят в электронные базы — преимущественно используются CRM и Excel.
  4. ПДн в бумажном виде должны помещаться в металлические запирающиеся шкафы либо сейфы, которые должны находиться в помещении, куда имеют доступ лишь уполномоченные сотрудники. С точки зрения удобства есть смысл организовать отдельное место для хранения каждой группы данных.

  Наказание за нарушение требований законодательства в отношении ПДн

  За проверку условий хранения и защиты личных сведений граждан в организациях отвечает, прежде всего, Роскомнадзор, специалисты которого могут прийти к вам с плановым или внеплановым визитом (например, если поступило заявление о том или ином нарушении). На этот случай на предприятии должны быть внедрены и соблюдены организационные и технические меры защиты персональных данных. Организационные мероприятия внедряются после разработки организационно-распорядительной документации, которая описывает все бизнес-процессы предприятия в части обработки персональных данных. К техническим относится определение уровней защищенности информационных систем персональных данных на основе моделей угроз. В соответствие с уровнем защищенности подбираются и устанавливаются на компьютеры необходимое программное обеспечение для защиты.

  Будьте готовы к тому, что проверяющие захотят увидеть сейфы и помещения, где находятся папки с договорами и т.д., а также убедиться в наличии пользовательского соглашения на интернет-ресурсе. Также контролирующие органы могут запросить воочию продемонстрировать каким образом и какие данные вносятся в ваши ИСПДн.

  Обнаружение нарушений предполагает назначение штрафов в размере до 300 тысяч рублей. Минимальное наказание предусмотрено для физических лиц. При этом сумма может увеличиться в несколько раз, если нарушений много. Оспаривать решение контролирующего органа долго и, как правило, безрезультатно, поэтому разумнее изначально адаптировать работу компании под установленные требования. Проще всего это сделать, обратившись к экспертам в Центр безопасности данных.

  Нюансы, которые нужно принимать во внимание

  Разбираясь, как хранить персональные данные клиентов, следует учесть:

  1. Выполнив заказ на поставку товара или предоставление услуги, организация должна в течение 30 дней после завершения сделки (либо после закрытия, предусмотренного договором окна по срокам) уничтожить собранные и хранимые ПДн
  2. Запрещается передача идентифицирующих сведений о гражданах третьим лицам, за исключением случаев, прописанных в ФЗ-152
  3. Для добавления в клиентскую базу с целью дальнейшего сотрудничества нужно получить у субъекта бессрочное согласие. При этом нужно принимать в расчет, что гражданин может в любой момент отозвать его, подав соответствующее заявление
  4. Формирование базы данных должно осуществляться для выполнения какой-то одной цели сбора и обработки информации

  Даже при получении сведений через мессенджеры вы не освобождаетесь от ответственности за их сохранность несмотря на то, что фактически ПДн находятся на сервере другой фирмы

  Как не допустить утечку персональных данных клиентов

  

  Персональные данные клиентов — это сведения о клиентах, которые покупали товары, услуги или работы компании.

  Бизнес, который работает с клиентами, часто имеет дело с их персональными данными — именем, фамилией, отчеством, датой рождения, почтой и номером телефона.

  Такую информацию нужно хранить по строгим правилам, не разглашать и не допускать ее утечки за пределы компании. Если не соблюсти эти правила, можно получить штраф до 1 миллиона рублей, а в некоторых случаях — и 18 миллионов рублей.

  Охотиться на чужие данные могут хакеры или конкуренты — чтобы заработать, нанести вред репутации бизнеса, украсть клиентов. Обычные работники в основном сливают персональные данные случайно, из-за низкой информационной грамотности — незнания законов, технических правил, как пользоваться информацией в интернете, и этических норм. Этим, конечно же , пользуются злоумышленники.

  

  Я юрист по информационной безопасности, работаю с персональными данными пять лет и пишу о них кандидатскую диссертацию. Расскажу, как бизнес может обезопасить себя от нерадивых сотрудников и защитить конфиденциальную информацию о клиентах от утечки.

  Что вы узнаете

  Почему персональные данные — это ценность

  Для бизнеса данные о клиентах очень ценны. С помощью CRM-сервисов компании и ИП собирают информацию о поле, возрасте клиентов, где человек живет и как часто покупает товар или заказывает услуги. Эти и другие данные помогают понять клиента, его предпочтения и примерные доходы. Если работать с такой информацией, бизнес может сформировать предложение, которое понравится клиенту и станет основой регулярных заказов. А фирма или ИП в итоге получит стабильный доход.

  Данные о клиентах — коммерчески ценные. Информация о клиентах всегда будет интересна конкурентам. Если произойдет утечка клиентской базы, то есть персональных данных, этим могут воспользоваться не только конкуренты, но и мошенники или спамеры.

  Кроме того, персональные данные — это актив. В исследовании PwC считают, что данные одного пользователя «Вотсапа» в 2018 году стоили 30 $. Цена более значимых данных, например контактов и рабочих сведений пользователей «Линкед-ина», — до 260 $. Эту цену установили при оценке активов компаний.

  Экономически данные ценны тем, что с их помощью можно узнать потребительские предпочтения и привлечь больше клиентов. Контакты и рабочие сведения пользователей «Линкед-ина» заинтересуют не одного работодателя и не одну рекрутинговую компанию.

  Там, где есть денежный эквивалент информации, есть и злоумышленник, который захочет обогатиться за счет чужих данных. Например, в 2021 году Tadviser посчитали, что продажа баз данных может варьироваться от 2 $⁣ ( 127 ₽) до 1600 $⁣ ( 100 000 ₽). Чем они ценнее, то есть чем актуальнее и богаче по количеству представленных людей, тем выше цена. Утратившие актуальность базы данных выставляют на черном рынке бесплатно.

  Продавать могут, например, справку о клиенте сотовой компании, в которой есть его имя, номер телефона, дата заключения договора абонентского обслуживания, тарифный план. Еще один вариант данных для продажи — детализированная история звонков клиента. Такие сведения интересны злоумышленнику для отслеживания деловых связей, местоположения и финансовых операций абонента.

  История звонков может стоить дороже — хотя бы потому, что охватывает не одного субъекта, но и его контакты.

  Как происходит утечка персональных данных

  Персональные данные считаются конфиденциальной информацией. Сотрудники, получившие доступ, никому не должны ее передавать, если нет законного основания. Иначе произойдет утечка, в быту называемая «слив данных».

  Сливы происходят по неосторожности или халатности работника, всей компании, индивидуального предпринимателя, либо умышленно.

  

  Слив данных по неосторожности. Возьмем для примера работника, в чьи обязанности входит обработка персональных данных в клиентской базе работодателя.

  Работник забыл правила безопасности и переслал с корпоративной почты на свою личную список клиентов — их ФИО и номера телефонов. Он сделал это для своего удобства. Например, чтобы поработать с базой дома или посмотреть ее в телефоне по пути домой. В этом случае забывчивость, безответственность, непредусмотрительность работника можно назвать одним словом — неосторожность.

  Неосторожностью можно назвать и случай, когда хакер присылает работнику письмо с электронной почты вроде avito@bjkl.ru или amazon1@lmn.com, а в письме есть вирус, скачивающий нужную информацию с компьютера адресата.

  Очевидно, что адреса не официальные, но вводят в заблуждение из-за известных брендов в названии. Работник может перепутать адреса и по невнимательности перейти по ссылке из письма.

  Слив данных по халатности работника. Если работник распространил в интернете пароли от рабочих систем, где есть персональные данные, это можно назвать халатностью. Ведь любой конкурент теперь может войти в клиентскую базу компании или ИП, скопировать или изменить интересные ему данные.

  

  Я бы отнесла к халатности и те случаи, когда должностное лицо не следит за обновлением бизнес-процессов, затрагивающих обработку данных. Скажем, не вносит новые обрабатываемые данные в перечни, не уведомляет Роскомнадзор о передаче данных за рубеж. Такое случается, когда на роль ответственного за обработку персональных данных назначают работника, который ничего не понимает в этой сфере.

  Назначение на должность в этом случае формальное, для видимости соблюдения закона.

  Бессистемная работа с процессами приватности в бизнесе и отсутствие специалиста, который бы мог выстроить их грамотно, грозит потерей данных, компрометацией паролей, неправомерным копированием баз данных и сливом данных по неопознанным каналам.

  Слив данных по умыслу работника. По мнению компаний «Крок» и «Эври-тег» , которые специализируются на информационной безопасности, умышленные сливы участились из-за пандемии и режима удаленной работы.

  Вне офисов работодатель может с помощью специальных программ частично контролировать, как работник выполняет свои рабочие функции — к каким сетям подключается, какие носители информации использует.

  Однако такая слежка должна быть регламентирована и не всегда способна зафиксировать каждое действие работника: онлайн или офлайн. Ни одна программа не позволит работодателю законно отследить, с кем встречается работник в рабочее время и зачем. В это время может происходить слив данных.

  Часто заказчики конфиденциальной информации — злоумышленники — специально ищут людей, работающих с информацией ограниченного доступа. А когда находят, дальше возможны два сценария:

  1. Злоумышленники «разводят» операторов: пишут им в социальных сетях, звонят, организуют встречи, на которых ведут дружеские беседы. Они интересуются служебными делами, сочувствуют сокращению зарплат и обсуждают проблемы с начальством. В ходе разговора заказчики предлагают заплатить за ценные данные и получить их сразу, либо в какой-то срок — так формируется сговор.
  2. Злоумышленники заказывают и покупают ценные данные на теневом рынке — даркнете. Здесь стороны заключают ничтожные сделки — незаконные сделки или сделки, которые нарушают права третьих лиц — купли-продажи, сохраняя при этом полную анонимность.

  Если сотрудник передал кому-то конкретные персональные данные за плату, то есть «пробил» человека по чьей-то просьбе, это считается преступлением. За такое деяние привлекают к уголовной ответственности.

  • В 2019 году сотрудник одного из крупнейших банков разгласил сведения, составляющие банковскую тайну, без согласия их владельцев. Банковская тайна была ему доверена по работе, его ознакомили со всеми документами — должностной инструкцией, порядком обеспечения безопасности информационных технологий, положением о коммерческой тайне, политикой кибербезопасности и политикой обработки персональных данных.
  • Раскрыть банковскую тайну работник решил из корыстной цели — зашел на теневую торговую интернет-площадку, предложил данные по цене 5 ₽ за строку и заработал в целом около 25 000 ₽. Преступнику назначили 2 года и 10 месяцев лишения свободы.
  • Можно сказать, что бывший сотрудник банка «продешевил» при продаже данных о кредитных картах, ведь стоимость скана паспорта российского гражданина в 2021 году оценивалась в 100 $⁣ ( 6350 ₽).

  Слив данных партнером компании. Слить данные может не только компания или ИП — оператор персональных данных, но и подрядчик, который обрабатывает эти данные.

  Представьте ситуацию: компания занимается ногтевым сервисом, она собрала клиентскую базу на 100 000 человек. Руководство приняло решение — нанять специалиста на аутсорсе, у которого есть все технические средства для обработки клиентской базы.

  В сфере ногтевого сервиса у компании много конкурентов, заинтересованных в переманивании клиентов. Один из таких конкурентов вступает в сговор со специалистом на аутсорсе и в течение месяца получает информацию о клиентах.

  Компания начинает понимать, что что-то идет не так, только когда приток клиентов уменьшается или когда начинают поступать жалобы, что фирма передает данные другим организациям без согласия субъектов персональных данных.

  

  В этом случае утечка клиентской базы происходит через партнера, но доказать это очень сложно.

  Как уберечь клиентскую базу от утечки через работников

  Компания «Серч-информ» приводит статистику — в 74% случаев утечки происходили по вине менеджеров отделов снабжения, бухгалтеров, экономистов, финансистов, секретарей, помощников руководителей. Реже в сливах были виноваты ИТ-специалисты .

  Раз в большинстве случаев информация уходит через работников, то особое внимание нужно уделить работе с персоналом. Вот несколько советов.

  Проводите аудиты бизнес-процессов, в которых используете персональные данные клиентов. Например, программ лояльности. С помощью внутренних и внешних аудитов, то есть периодических обзоров всех процессов приватности, в компании или у ИП легче выявить риски утечек данных и риски несоблюдения законодательства.

  Обеспечение приватности — не одноразовая мера. Нельзя один раз внедрить все предусмотренные законом документы и потом пустить все на самотек.

  Если во время аудита выяснится, что данные клиентов передаются третьим лицам — контрагентам — без соглашения о защите данных или без положений в договоре о соблюдении конфиденциальности, то оператор данных незаконно разглашает персональные данные. То есть попросту сливает их другим.

  Как и кому можно разглашать персональные данные

  На каких основаниях	Кому можно разглашать
  Правовое основание	Органам власти
  Соглашение о защите	Контрагентам
  Поручение на обработку	Партнерам, которые обрабатывают данные по договору

  Как и кому можно разглашать персональные данные

  На каком основании	Кому можно разглашать
  Правовое основание	Органам власти
  Соглашение о защите	Контрагентам
  Поручение на обработку	Партнерам, которые обрабатывают данные по договору

  Если у вас много клиентов — физических лиц, вы обрабатываете их данные и делаете массовые рассылки, то советую пообщаться с работниками о том, как они работают с персональными данными. Составьте опросник и попросите работников, которые имеют доступ в информационные системы, заполнять его каждые два-три месяца .

  В опроснике могут быть такие вопросы:

  • Есть ли у вас подозрения на слив корпоративных паролей?
  • Есть ли у вас подозрения на утечку данных?
  • В каких программах вы работаете с персональными данными?

  Если есть подозрения, что произошел слив корпоративных паролей или персональных данных, то клиентам нужно разослать уведомление о том, что конфиденциальность их данных, возможно, была нарушена.

  В 2018 году 69% опрошенных российских компаний скрыли инцидент и не делали никаких оповещений, 27,5% — сообщили пострадавшим об утечках и принесли извинения. И только 3,5% заявили о своей проблеме в СМИ.

  По закону субъект персональных данных имеет право получать информацию, которая касается обработки его данных. Раз есть право субъекта, значит, есть и обязанность оператора передавать такие данные.

  Право на получение информации можно толковать как необходимость уведомлять субъекта о его нарушенных правах, которые связаны с утечкой данных.

  За неуведомление субъекта об утечке оператору могут назначить штраф от 40 000 до 80 000 ₽. Если компания входит в Единый реестр субъектов малого и среднего предпринимательства, она заплатит штраф как ИП — от 20 000 до 40 000 ₽.

  Итак, рассылка уведомлений нужна. Но также нужно восстановить техническую защиту информации — сменить пароли, поставить новое средство защиты.

  Выявляйте ошибки сотрудников в работе с информационными системами. Такими ошибками могут быть, например:

  • в системе не отразили согласие на обработку персональных данных;
  • обращения клиента игнорируют — а он просил перестать использовать его персональные данные;
  • в систему входят третьи лица по логину и паролю работника.

  Издайте локальные акты и ознакомьте с ними работников. Документов немного, они описывают порядок работы оператора с персональными данными — что он может собирать, у кого и для чего, как он должен хранить данные и кому может передавать.

  Вот базовые из таких документов.

  1. Политика обработки персональных данных. Укажите в ней, какие данные собираете, у кого и для чего. Политика обработки персональных данных — это документ больше для клиентов, его нужно публиковать на сайте компании или ИП. Но работники также должны знать, какие данные они могут запрашивать у клиентов.
  2. Оператору, у которого мало бизнес-процессов, связанных с обработкой данных, рекомендую использовать шаблон политики обработки персональных данных от Роскомнадзора.
  3. Положение об обработке и обеспечении безопасности персональных данных. В нем прописывают практически то же самое, что и в политике. Но положение — внутренний акт оператора, его утверждают приказом руководителя компании или ИП. Публиковать его не нужно.
  4. Модели угроз безопасности. В этом документе пишут, какие есть риски утечки данных и что делает бизнес, чтобы их избежать. Подробную инструкцию о том, как это делать, можно прочитать в методических рекомендациях ФСТЭК.
  5. Приказ о назначении человека, ответственного за обработку персональных данных. Им может быть внутренний работник — юрист или ИТ-специалист. Компания и ИП может нанять и специалиста по информационной безопасности, который бы занимался только обработкой персональных данных.

  

  

  Собирать подписи, что работники ознакомились, как работать с персональными данными, можно в специальных журналах. Формы таких журналов законом не утверждены, поэтому можно сделать любые нужные поля. Главное, чтобы были ФИО, дата ознакомления и подпись лица. Работники могут знакомиться с локальными актами онлайн — в информационных системах компании, проставляя галочки в своих аккаунтах.

  Зафиксировать факт ознакомления можно любым явным и надежным способом. Это нужно, чтобы при проверке оператора-работодателя Роскомнадзор или трудовая инспекция не нашли нарушений.

  Если работник обрабатывает персональные данные во время трудовой деятельности, то ему точно нужно разъяснить все моменты, связанные с этой обработкой — с этим отлично справляются локальные акты, о которых мы сказали выше. Трудовая инспекция поясняет, как и зачем знакомить работника с локальными актами онлайн.

  Добавьте в трудовой договор раздел о конфиденциальности. Поясните, что работник несет ответственность за нарушение конфиденциальности только той информации, к которой он имеет доступ в своей работе. Отнесите к такой информации персональные данные, например, других работников, партнеров компании или ИП, клиентов. По ТК РФ такой раздел не обязателен, но Роскомнадзор при проверке может обратить внимание на наличие такого раздела в трудовом договоре. Если он есть, то сыграет вам на руку, еще раз подтвердив регулятору, что ваши работники ответственно подходят к обработке персональных данных.

  

  Дополните должностные инструкции. Опишите в должностной инструкции, что должен делать работник, чтобы обеспечивать безопасность персональных данных.

  Например, пользоваться только теми информационными системами, которые есть на работе — почтовыми клиентами, CRM-системами , системами контроля и управления доступом и иными ПО, разработанными специально для организации. Не впускать в рабочие помещения посторонних лиц, не давать никому доступ к корпоративным информационным системам.

  Проводите обучение по работе с персональными данными. Отмечайте, что работники прошли инструктаж, в учетных журналах. На обучении можно знакомить работников с порядком, как работать в информационных системах, как общаться с клиентами — в какие сроки отвечать им, какие запросы следует удовлетворять, а какие — нет.

  Контролируйте действия дистанционных работников, но предупредите их об этом контроле. ЕСПЧ в деле Barbulescu v. Romania определил, что работодатель может контролировать дистанционную работу своих сотрудников. Но порядок такого контроля должен быть прозрачным — работники должны знать, как работодатель будет проверять их.

  Если персональные данные — ценный актив компании и ИП, то, чтобы повысить информационную грамотность работников, запишите их на курсы повышения квалификации или профессиональной переподготовки в области информационной безопасности. Лучше выбирать программы, согласованные с ФСТЭК.

  Защита персональных данных в облаке: что нужно знать по 152-ФЗ

  По российскому законодательству компании обязаны обеспечить безопасность персональных данных сотрудников и клиентов: хранить и обрабатывать их так, чтобы они не попали в руки злоумышленников или общий доступ. При этом не запрещено доверять хранение и обработку таких данных третьей стороне — облаку. Расскажем, как в этом случае соблюсти требования закона.

  Операторы персональных данных и типы данных

  В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.

  По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.

  Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.

  По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:

  1. Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья.
  2. Биометрические: фото, отпечатки пальцев.
  3. Общедоступные: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии.
  4. Иные: прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.

  Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.

  Требования к оператору персональных данных

  Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:

  1. Обеспечить защиту ПДн в соответствии с требованиями закона.
  2. Зарегистрироваться в Роскомнадзоре как оператор персональных данных.
  3. Спрашивать у людей согласие на сбор и обработку персональных данных.

  Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.

  Обеспечить защиту персональных данных

  При хранении и обработке данных нужно обеспечить им уровень защищенности в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.

  Необходимый уровень защищенности зависит от четырех факторов:

  • Типа данных: специальные, биометрические, общедоступные или иные.
  • Отношений с субъектами персональных данных: это ваши сотрудники или люди, с которыми у вас нет трудового договора, например клиенты.
  • Количества субъектов персональных данных: больше 100 000 или меньше 100 000.
  • Типа актуальных угроз: 1, 2 или 3 тип.

  Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу «Методика определения актуальных угроз безопасности ПДн при их обработке», угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.

  В законе они классифицируются так:

  • 1 тип — самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
  • 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
  • 3 тип — угрозы, не связанные с ПО, например уязвимости в оборудовании.

  Универсального способа определить тип угроз, актуальных для вашей системы, нет. Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными. А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.

  Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.

  Всего существует 4 уровня защищенности (доверия):

  1. 4 УЗ. Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
  2. 3 УЗ. Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы. Именно этот уровень подходит для большинства компаний.
  3. 2 УЗ. Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
  4. 1 УЗ. Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.

  Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.

  Всего в приложении к приказу 109 мер, для каждого УЗ отмечены обязательные меры. Например, при 1 уровне защищенности нужно выполнить 69 требований.

  Чтобы было проще понять, какой уровень защищенности нужен вашим данным, мы составили таблицу на основе Постановления Правительства РФ N 1119:

  Как определить уровень защищенности персональных данных

  Например, вы собираете общедоступные данные о клиентах. Клиентов менее 100 000, а тип актуальных угроз вы определили как 3. Тогда для соблюдения норм законодательства нужно обеспечить 4 уровень защищенности персональных данных, то есть минимальный. Если среди информации о клиентах есть фотографии, это уже биометрические данные — нужно обеспечить 3 уровень защищенности.

  Подтвердить уровень защищенности данных можно несколькими способами. Самый сложный — пройти аттестацию в контролирующих органах и получить сертификат. По закону это необязательно, достаточно в любой форме подтвердить соответствие средств защиты требованиям, например с помощью технической документации.

  Зарегистрироваться в Роскомнадзоре

  После того как вы обеспечили защиту данных, нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Это делается через интернет. В форме необходимо указать, какие меры вы предприняли для защиты персональных данных, какие именно данные и где будете хранить. Чтобы правильно заполнить форму, лучше делать это с юристом, который специализируется на персональных данных.

  Роскомнадзор иногда проверяет организации — смотрит, зарегистрировались ли они в качестве операторов. Если не зарегистрируетесь, можете получить штраф — от 1000 рублей для физлица и ИП, от 30 000 рублей для юрлица. Все штрафы прописаны в статье 13.11 КоАП.

  Спрашивать согласие на обработку персональных данных

  При сборе персональных данных нужно спрашивать разрешение у пользователя. Это делается двумя способами:

  • Лично через подписание договора, например с сотрудником.
  • На сайте, через чекбокс о согласии на сбор и обработку персональных данных.

  Перед подписанием согласия нужно рассказать пользователю, что вы будете делать с его персональными данными, как хранить и кому передавать. Обычно для этого на сайте добавляют страницу с политикой конфиденциальности.

  Облако в законе: можно ли передавать провайдеру персональные данные

  В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России. По разъяснениям Минкомсвязи данные можно передавать и за рубеж, например для обработки. Но первый раз их нужно записать на сервер, который физически находится на территории РФ.

  Облачный провайдер — это не оператор персональных данных, оператором остается предприниматель. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.

  Чтобы такого не случилось, предусмотрена надежная защита ПДн в облаке, однако компании нужно ими правильно управлять, грамотно организовать доступ к информации внутри организации. Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа.

  При передаче персональных данных в облако предприниматель не снимает с себя ответственность за их сохранность. Поэтому он обязан убедиться в надежности провайдера.

  Как защищены персональные данные при хранении в облаке

  Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.

  Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности. Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи. В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.

  Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В обычном публичном облаке не всегда получится организовать такой уровень защиты, не все провайдеры могут его обеспечить. Однако в публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2.

  Также, если требуется хранить данные УЗ-1 и УЗ-2 в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В VK есть возможность сертификации по УЗ-1 и УЗ-2, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK.

  При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

  Похожие публикации:

  1. 7 495 547 80 10 чей номер
  2. Где купить золото в слитках в москве
  3. Как перевести деньги с водафона на водафон
  4. Сколько стоит сдать на права в 2023