Аудит защиты персональных данных

Аудит и классификация данных
на базе системы

СёрчИнформ FileAuditor
30 дней для тестирования «СёрчИнформ FileAuditor»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Государственные и коммерческие организации хранят персональные данные своих сотрудников или клиентов, включая ФИО, паспортные и контактные данные, другие сведения. Эти данные могут использоваться злоумышленниками, поэтому для их защиты в России действует федеральный закон № 152 «О персональных данных».

Исходя из закона, каждая организация, которая хранит и обрабатывает персональные данные человека, должна заботиться об их защите. По требованиям, конфиденциальные данные должны обрабатываться в соответствии с определенными принципами. Они детально описываются в законе.

Что такое персональные данные

Персональные данные – это личная информация о конкретном человеке. К ней относят ФИО, ИНН, код паспорта, номер телефона, адрес электронной почты и любые другие данные, которые как-то связаны с гражданином.

Важно сделать уточнение, что персональными данные становятся только в связке, например, ФИО+телефон, адрес+ФИО. Такие пары являются конфиденциальными сведениями, их нельзя разглашать и обрабатывать без согласия владельца.

Конфиденциальные данные человека защищаются не только Федеральным законом России, но и международными договорами. Это свидетельствует об актуальности проблемы.

Основные принципы использования персональных данных

В соответствии с законом, личные данные о человеке могут собираться только в том случае, если он дал на это свое согласие. При этом в любой момент лицо имеет право отменить свое согласие на обработку таких сведений. Любая организация, которая хранит и собирает такие данные, обязана иметь соответствующий документ, который подтверждает согласие человека.

Личную информацию о человеке нельзя разглашать третьим лицам или публиковать в свободном доступе, потому что это противоречит принципам конфиденциальности и запрещено законом.

Информация должна храниться в защищенном (зашифрованном) виде, при этом она должна передаваться только по надежным каналам связи. Персональные данные можно использовать только в тех целях, которые обозначены в договоре между субъектом (человеком, который дал согласие) и организацией.


Определить, сколько в файловой системе документов с персональными данными, поможет «СёрчИнформ FileAuditor».   


В согласии указываются сроки хранения персональных данных. После истечения определенной даты информация должна быть уничтожена или обезличена таким образом, чтобы никто не мог ею воспользоваться.

Защита персональных данных

Чтобы защитить персональные данные сотрудников и клиентов, организации обязаны выполнять требования Федерального закона. Организации создают собственную нормативно-правовую базу, в которой описываются регламентные требования хранения, обработки и передачи персональных данных.

В документации обязательно есть перечень лиц, которые обладают доступом к персональным данным и могут их обрабатывать. Люди, которые занимают соответствующие должности, отвечают за сохранность информации и контролируют ее использование.

Для защиты персональных данных организации хранят сведения в надежном месте, в электронном или бумажном виде. Для защиты иногда применяют шифрование данных на электронных носителях, безопасные средства связи, организацию локальной сети.

Государственные проверки

Частные и государственные организации могут подвергаться проверке на предмет соответствия Федеральному закону «О персональных данных». Проверками занимаются несколько организаций: Роскомнадзор, ФСТЭК, ФСБ, Государственная инспекция труда и другие ведомства.

Несоответствие порядка хранения и использования данных требованиям законодательства грозит организациям штрафами: до 75 тысяч рублей в случае административной ответственности и до 300 тысяч в случае уголовной. Регуляторы могут изъять персональные данные и наложить запрет на их дальнейший сбор и обработку. Кроме того, деятельность компании в Интернете может временно приостанавливаться. 

Под требования закона подпадают все организации, собирающие персональные данные. К примеру, магазины, которые выдают дисконтные карты, при их оформлении узнают имя и контактные данные человека. Это персональные данные, которые должны храниться и обрабатываться соответствующим закону образом.

Как избежать нарушений

Чтобы избежать штрафов и других видов наказаний за несоответствие Федеральному закону № 152 «О персональных данных», нужно правильно организовать управление данными в организации. Для этого следует проконсультироваться с экспертами, которые помогут найти проблему и решить ее.

Для того чтобы правильно обрабатывать персональные данные, нужно провести внутриорганизационный аудит. Во время него проверяется соответствие организации техническим и правовым требованиям. Если есть какие-то изъяны, они исправляются. Такой подход позволяет решить проблему еще до того, как она усугубится или попадет в поле зрения контролирующих органов.

Роскомнадзор и другие государственные ведомства могут проводить внеплановые проверки (например, в случае обращения пострадавших лиц), поэтому каждая организация должна быть к ним готова и соблюдать требованиям закона о персональных данных.

Порядок аудита

Первое, на что обращают внимание эксперты, которые проводят аудит, – правовая база организации. Проверяют не только внутриорганизационные акты, но и договоры с другими компаниями и контрагентами, контракты, которые заключают с сотрудниками и клиентами.

Если компания новая, а правовой базы для работы с данными нет, эксперты помогают ее подготовить. Кроме того, они отправляют соответствующий запрос в Роскомнадзор для регистрации организации в качестве оператора персданных. Правильно оформленные документы – первый этап аудита.

Между сотрудниками компании нужно правильно разделять полномочия. Рядовой персонал не должен обладать допуском к изучению личных данных о клиентах и сотрудниках. Лучше, если персональными данными будет заниматься специальный структурный отдел внутри организации.

Во время проведения аудита эксперты помогают организовать материально-техническую базу для соответствия закону о персональных данных: устанавливают программное обеспечение на компьютеры в компании, создают локальную сеть и помогают подготовить правовую базу для ее функционирования. В случае если сеть хранения данных уже существует, аудиторы находят проблемы в ней и корректируют ее работу.

Финальная стадия аудита – юридическая консультация. Аудиторы рассказывают обо всех тонкостях закона о персональных данных, юридической и судебной практике. Помогают разобраться в том, когда проходят и что включают проверки регулятора, как к ним подготовиться. 

Проблемой сбора персональных данных обеспокоено не только государство, но и рядовые граждане. О ее важности свидетельствует факт, что за последние несколько лет в России дорабатывали старые законы о защите личных данных и принимали новые. Европейский союз выдвинул новые требования к организациям, которые осуществляют сбор персональных данных. Аналогичная ситуация наблюдается и в других регионах мира.

13.12.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними