Как поставить учет персданных на конвейер

Тенденция на ужесточение санкций явно прослеживается. Только за последние три года суммы взысканий за нарушения 152-ФЗ «О персональных данных» удвоились.

Учитывая это, предлагаю разобраться в том, как соблюсти все обязательные требования и спокойно подготовиться к проверкам, оградив тем самым от внушительных штрафов и репутационных рисков, не только компанию, но и себя, если вы отвечаете за учет и обработку персональных данных (ПДн), а это HR, сотрудники информационной безопасности и не только они.

Чего не будет

В этой колонке точно не буду пугать вас мифическими штрафами, хотя к такому приему порой прибегают некоторые авторы. Просто знайте, если прочтете нечто подобное от «эксперта», что к реальности это не имеет никакого отношения: «Штраф за каждое из выявленных нарушений, касающихся работы с персональными данными, будет умножен на число работников компании. В этой фармацевтической компании трудится 6000 человек. Получается, что даже одно неверно оформленное согласие обошлось бы генеральному директору в 3 600 000 000 рублей!». Это абсурд. Штраф накладывается либо на юрлицо, либо на ответственного за обработку ПДН — физлицо, и максимальный не превышает пока 300 тыс руб, но очень скоро все изменится.

Разорительные утечки

Наша страна неслучайно вышла на первое место в мире по количеству слитых в даркнет данных, подробности можно узнать из отчета Positive Technologies. ПДн россиян пока слабо защищаются, их утечки растут как снежный ком. Данные каждого из нас в среднем были украдены более 20 раз, и за последние четыре года шестикратно вырос объем утекшей информации.  Согласно исследованию InfoWatch, в I полугодии 2024 года скомпрометировано почти 1 млрд записей (+33,8% к 2023 г).

Законодатели намерены переломить такую тенденцию: если сегодня за утечку персональных данных компании грозит максимальный штраф в 300 тысяч рублей (при повторном правонарушении), то уже завтра он может составить до 3 % годового оборота (не менее 15 млн руб). Вводится и уголовная ответственность: до восьми лет колонии можно получить за вывод данных за рубеж с целью продажи и не только за это.

Бизнес готовится к такому повороту событий. В попытке скоординировать общие усилия по защите чувствительной информации, добиться ответственного подхода к хранению и обработке персональных данных Ассоциация больших данных разработала стандарт защиты данных. Его добровольно приняли «Авито», «Вымпелком», «Яндекс»  и др., и обязались ежегодно проводить независимый аудит у лицензированных на это компаний. Предполагается, что для пользователей сервисов новый стандарт станет своего рода маркером, показывающим, можно ли доверять компании свои данные.

Аудит и автоматизация

Защиту ПДн необходимо начинать с организации правильных процессов обращения с ними.

А это значит, проводить аудит персональных данных, который покажет реальное положение дел до прихода с проверкой инспекторов Роскомнадзора, ФСТЭК или ФСБ. Обычно Роскомнадзор (РКН) проводит подобные проверки с периодичностью от двух до шести лет, все зависит от категории риска, и это, не учитывая внеплановые проверки. Последние, как правило, бывают инициированы жалобами в РКН на неправомерную обработку ПДн. Сначала РКН пришлет по этому поводу запрос в организацию, и на такие обращения надо уметь грамотно отвечать.

Конечно, такой аудит можно проводить и самим. Напомню, что аудит ПДн проводится на соответствие требований №152-ФЗ, ПП РФ от 1 ноября 2012 г. №1119, Приказа ФСТЭК России от 18 февраля 2013 г. N21 и рекомендаций РКН, которых тоже следует придерживаться. Так, требования к системе защиты ПДн регламентированы 21 Приказом ФСТЭК (требуемые меры сформированы по 15 направлениям защиты информации). В нем при том или ином уровне защищенности определено, какие меры подлежат обязательной реализации. Проводя аудит, мы оцениваем степень реализации каждой меры и разрабатываем рекомендации по совершенствованию системы защиты.

Работа эта объемная (экспресс-аудит занимает, как правило, месяц, на комплексный уходит в среднем месяца четыре), поэтому нередко многие предпочитают перепоручить эти обязанности по аудиту лицензированным организациям.

В этом случае внешний независимый аудит позволит:

· выявить все информационные системы ПДн (ИСПНд) и объективно оценить текущую ситуацию по соблюдению требований регуляторов;

· разработать модель угроз и нарушителя;

· получить рекомендации по приведению в соответствие с требованиями процессов обработки и защиты ПДн;

· привести внутреннюю организационно-распорядительную документацию (ОРД) в соответствие требованиям.

Пока об оценке соответствия 152-ФЗ задумываются не все. Как показал недавний опрос Forbes, лишь треть компаний регулярно проводит аудит процессов обработки и защиты ПДн: раз в три года, как того требует законодательство, и только половина внедрила необходимые средства защиты ПДн.

Соблюсти все требования и сравнительно легко вести учет ПДн, конечно же, помогает автоматизация. Такие решения на нашем рынке есть. Они позволяют компаниям снять многие проблемы учета ПДн: от недействительности документов до смены ответственных лиц и работы с запросами контролирующих органов.

При выборе таких продуктов, на мой взгляд, стоит обратить внимание на то, чтобы решение:

· закрывало максимум задач (база данных актуальных решений содержит на сегодня более 30 внутренних ОРД;

· им удобно было пользоваться;

· своевременно обновлялось, обеспечивало с выходом очередных изменений актуальные формы и шаблоны документов.

Например, если вы работаете с 1С, то для вас будет актуальна совместимость с этой системой программ, поскольку это дает возможность удобно и просто вести учет.

В таком продукте будет возможность поддерживать все ОРД в актуальном состоянии в силу интегрированности в 1С: ЗУП, откуда подтягиваются любые кадровые изменения. Например, уволился сотрудник с должности, достаточно нажать кнопку «обновить» на странице документа, и он из него исключен. В этом случае на доработку документов уходит гораздо меньше времени. Об этом говорят и наши кейсы, в частности, с СК «Независимая страховая группа», внедрившей у себя модуль «Учета персональных данных», об этом проекте мы рассказали на РБК Компании.

Полезным будет получать и регулярные обновления, учитывающие постоянно меняющийся законодательный ландшафт. Законодательство совершенствуется, практически ежемесячно выходят новые указания, разъяснения, касающиеся учета ПДн. Например, только в августе 2024 года вышли такие существенные изменения:

· установлен новый индикатор риска нарушения обязательных требований в рамках федерального государственного контроля (надзора) за обработкой ПДн согласно Приказу Минцифры;

·  компаниям предписывается использовать сертифицированные средства защиты информации для уничтожения ПДн;

· конкретизированы полномочия ФСТЭК и ФСБ по контролю за обеспечением безопасности ПДн (если это касается ГИС, то полномочиями по ее проверке обладают ФСБ и ФСТЭК, но без ознакомления с ПДн).

Если брать наиболее часто встречающиеся нарушения, то в топ-4 войдут:

· непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиям к защите персональных данных,

·  обработка ПДН без согласия на обработку,

· отсутствие отдельного согласия на трансграничную передачу ПДН,

·  неудаление ПДн по истечении сроков из обработки.

А что, если продолжить жить без аудита

На мой взгляд, есть три, как минимум, достаточных основания в пользу проведения внешнего аудита, наличие каждого из которых может повлечь привлечение к административной ответственности. Так, сотрудники, ответственные за учет и обработку ПДн, работники службы ИБ:

· могут недостаточно хорошо разбираться в тонкостях процесса соблюдения законодательства, поскольку у них отсутствует контакт с регуляторами, практика по приведению процессов обработки и защиты ПДн в соответствие требованиям: допустим, у вас окажется неполный перечень документов, которые надо разработать в реализации 152-ФЗ или на сайте в общем доступе не будет размещена Политика обработки ПДн;

· не всегда могут определить перечень информационных систем, в которых ПДн обрабатываются: многие почему-то считают, что ПДн у них есть в кадрах, бухгалтерии, забывая зачастую про сайт, базы данных агентов, контрагентов и т.п., забывают про системы, которые прежде выполняли функционал, связанный с ПДн и т.д.

· Наконец, иногда, желая показать свою работу перед руководителем, его могут успокаивать тем, что «все нормально», и скрывают проблемы, а потом такой «ответственный» сотрудник, узнав о проверке, может предпочесть срочно уволиться из компании.

Какой сценарий предпочесть — дело, конечно же, за вами. Но, обладая уже этой более полной информацией, вы сможете принять для себя более взвешенное и правильное решение.