Регулятор призывает бизнес защитить персональные данные
Фото: freepik.com
На этой неделе страны отмечают Международный день защиты персональных данных. Но пока не все организации научились эти данные защищать. Как бизнесу выстроить работу в названной сфере и избежать грубого нарушения законодательства? «ЭГ» спросила об этом руководство Национального центра защиты персональных данных (НЦЗПД).
Почему личные данные «утекают» в Сеть
НЦЗПД является уполномоченным органом по защите прав физлиц, которым принадлежат их персональные данные. Именно он осуществляет контроль за соблюдением организациями соответствующего законодательства.
В 2022 г. центр провел 50 камеральных проверок, 6 плановых и 7 внеплановых. Поводом для камеральных (дистанционных) проверок чаще всего были жалобы граждан, недовольных тем, как организации используют их личную информацию.
Внеплановые проверки зачастую назначались в случаях, когда были зафиксированы утечки персональных данных.
Кстати, в прошлом году из-за этого фактора в общем доступе оказались 630 тыс. записей с личными данными клиентов торговой сети«Соседи». Кроме того, 230 тыс. записей «утекли» из сервиса доставки еды Just-eat, еще почти 100 тыс. записей попали в свободный доступ из баз данных Национального центра маркетинга и конъюнктуры цен и Белгазпромбанка.
Всего за прошлый год НЦЗПД удалил из общего доступа более 1,5 млн записей с персональными данными белорусских граждан.
Причину массовой утечки центр видит в том, что субъекты хозяйствования не приняли достаточных мер для защиты таких сведений.
В частности, как пояснил «ЭГ» начальник управления контроля и аудита НЦЗПД Владимир Кузуро, ни в одной организации, допустившей «слив», не были аттестованы системы защиты информации.
В свою очередь, директор НЦЗПД Андрей Гаев, отвечая на вопросы «ЭГ» во время пресс-конференции, рассказал, что выявлены и другие причины утечек. Практика показывает, что инциденты, имевшие место, происходили в т.ч. в связи с подкупом сотрудников организаций, отметил А. Гаев.
Жесткий спрос
Регулятор подчеркивает, что организации и их сотрудники, не принимающие должных мер по защите персональных данных, могут быть привлечены к серьезной ответственности. Кстати, в 2023 г. помимо внеплановых и камеральных центр проведет 13 плановых проверок организаций, обрабатывающих большие массивы персональных данных.
Закон от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон № 99-З) действует уже больше года, и, по мнению НЦЗПД, этого времени достаточно, чтобы субъекты хозяйствования приняли меры по соблюдению законодательства.
«Мы видим по поступающим обращениям, что ряд организаций чего-то ждут… Только привлечения к ответственности остается ждать, потому что времени для того, чтобы принять организационные решения (по защите персональных данных), было абсолютно достаточно», – заявил А. Гаев.
Он анонсировал «жесткий спрос» по отношению к тем, кто не соблюдает законодательство, и настоятельно рекомендовал действовать в рамках правового поля. Отметим, что в Беларуси предусмотрена и уголовная, и административная ответственность за незаконное распространение личной информации. Кстати, в январе две бывшие сотрудницы белорусского банка были осуждены на 7 и 6,5 лет лишения свободы за «слив» персональных данных работников правоохранительных органов.
Что касается привлечения к административной ответственности, то это может произойти в нескольких случаях.
Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица чревато наложением штрафа в размере до 50 базовых величин (с 1 января одна БВ – 37 руб.).
А за умышленное незаконное распространение персональных данных штраф может быть до 200 БВ. Несоблюдение мер обеспечения защиты персональных данных физических лиц может привести к тому, что юрлицу придется заплатить до 50 БВ.
Сейчас НЦЗПД для привлечения виновных к административной ответственности обращается в органы внутренних дел. При этом центр инициирует вопрос о наделении его правом составлять протоколы об административных правонарушениях, и соответствующие изменения могут быть внесены в законодательство.
В России, кстати, планируется серьезно ужесточить ответственность компаний в случае выявления утечек персональных данных. Президент РФ в январе поручил правительству к 1 июля рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных. Одно из предложений, которое будет в связи с этим обсуждаться, – введение штрафа до 3% от годовой выручки компании.
Как организовать защиту
Простого ответа на этот вопрос нет. Регулятор, ссылаясь на законодательство, говорит о том, что предусмотрен риск-ориентированный подход. Это означает, что каждая организация должна определить самостоятельно пакет мер, достаточных для обеспечения защиты персональных данных.
В Законе № 99-З перечислены лишь обязательные (правовые, организационные и технические) меры, которые нужно реализовать субъектам хозяйствования. Причем стоит учесть важные нюансы.
Директор НЦЗПД обратил внимание на некоторые из них. По словам А. Гаева, субъекты хозяйствования иногда неверно определяют работников, которые должны быть ответственными за осуществление внутреннего контроля за обработкой персональных данных. Он отметил, что примерно 80% той работы, которая должна осуществляться ответственным лицом, относится к юридической сфере. Соответственно, категорически неверно назначать специалиста по информационной безопасности единственным ответственным работником, который осуществляет внутренний контроль за обработкой персональных данных. Также неправильно назначать ответственным работника (например, специалиста по кадрам), который непосредственно обрабатывает персональные данные, поскольку в этом случае возникает конфликт интересов.
Правильно, если первым ответственным может быть назначен юрист, а вторым – системный администратор. Иногда компетенциями в обеих областях (юридической и технической) может обладать один работник. Например, в НЦЗПД за организацию процесса защиты персональных данных отвечает специалист с базовым юридическим образованием, и сфера профессиональных интересов у этого работника затрагивает в т.ч. IТ-вопросы.
В зависимости от объема бизнеса и количества сведений, которые компания обрабатывает, нужно определять, кто будет отвечать за защиту такой информации. Ответственность может быть возложена или на структурное подразделение в компании, или на одного работника либо на несколько лиц.
Центр настоятельно рекомендует организациям подготовить реестр обработки персональных данных, в котором нужно структурировать бизнес-процессы, где такие данные используются. В этом же документе нужно соотнести бизнес-процессы с лицами, которые персональные данные обрабатывают.
Кроме того, НЦЗПД считает необходимым настроить бизнес-процессы в компаниях таким образом, чтобы обрабатываемые персональные данные были доступны только ограниченному кругу сотрудников.
Техническими средствами необходимо настроить информационные ресурсы так, чтобы конкретные работники получали доступ только к той информации, которая необходима им для выполнения служебных обязанностей, пояснил А. Гаев.
Как видим, нюансов хватает. Поэтому для того, чтобы ответственные работники организаций могли принять адекватные правовые, организационные и технические меры по защите персональных данных, им стоит пройти соответствующую подготовку.
В прошлом году, кстати, более 16 тыс. граждан приняли участие в обучающих (и просветительских) мероприятиях, которые проводил НЦЗПД.
