Работа с персональными данными: практическое руководство для бизнеса

Для бизнеса защита персональных данных давно перестала быть формальностью. Ошибки в обработке ПДн приводят не только к штрафам, но и к репутационным рискам, потере доверия клиентов и повышенному вниманию со стороны регулятора. Утечки данных маркетплейсов, сервисов доставки, банковских и телеком-платформ часто становятся предметом громких новостей и почти всегда заканчиваются проверками Роскомнадзора. А кроме того, ведут к экстренным пересмотрам внутренних процессов.
На основе аудита множества компаний и сопровождения проверок «САЙБЕР Бизнес Консалтинг» подготовил чек-лист ключевых рисков и типовых ошибок, с которыми чаще всего сталкивается бизнес при работе с персональными данными.

Кто должен защищать персональные данные

К персональным данным относится любая информация, по которой можно прямо или косвенно идентифицировать человека. Имя, номер телефона, электронная почта, IP-адрес, cookies, данные аккаунта, история обращений в поддержку — все это примеры персональных данных пользователя. А значит, практически любая компания с сайтом, CRM-системой или онлайн-сервисом автоматически становится оператором такого рода данных и подпадает под требования законодательства.

К слову, проверка может начаться незаметно для компании. Роскомнадзор регулярно проводит контрольные мероприятия без взаимодействия с оператором — например, проверяя сайты. Поводом может стать жалоба пользователя, публикация в соцсети или СМИ, запуск нового сервиса, изменение форм на сайте или обнаруженная утечка данных. Во многих случаях компания узнает о проблемах уже по факту выявления нарушений.

Зоны риска: где персональным данным грозит опасность

Регуляторные риски

Особо уязвимая зона для бизнеса — корпоративный сайт. Именно его Роскомнадзор проверяет в первую очередь, причем обычно делает это без предварительного уведомления собственника. Нарушения, на которые чаще всего обращает внимание РКН:

• некорректное или формальное получение согласия пользователя на обработку персональных данных;
• отсутствие или ошибки в политике обработки ПДн;
• использование форм сбора данных без обязательного уведомления пользователя и явного согласия с его стороны.

Отдельное внимание регулятор уделяет вопросам локализации. Размещение серверов за пределами России или использование иностранных сервисов влечет за собой санкции за нарушение требований о хранении персональных данных на территории РФ. Это касается и трансграничной передачи ПДн в страны, не обеспечивающие, по мнению регулятора, адекватной защиты прав пользователей.

Особое внимание Роскомнадзора направлено на обработку персональных данных несовершеннолетних — за нарушение этих правил может грозить штраф до 700 000 рублей и даже лишение свободы. Повышенное внимание уделяется и работе с массивами, содержащими более 100 тысяч записей. В этом случае компания может быть включена в перечень операторов, которых регулятор проверяет чаще и тщательнее.

Технические риски ИТ-систем

Эти риски редко возникают сами по себе — обычно они являются следствием отсутствия регулярного аудита и расхождений между установленными требованиями и фактической работой ИТ-инфраструктуры. Даже если соответствующая документация оформлена корректно, компания все равно может находиться в зоне риска, если никто не проверяет, как именно реализованы меры защиты на практике. 

К наиболее распространенным проблемам, вызванным отсутствием ИТ-аудита, можно отнести неправомерный доступ к персональным данным со стороны третьих лиц, отсутствие многофакторной аутентификации и постоянного контроля привилегий пользователей.

Дополнительные риски создает плохо организованное или формальное резервное копирование, а также отсутствие четких процедур реагирования на инциденты. Во время проверки регулятор непременно оценит не только возможность утечки, но и готовность компании оперативно задокументировать инцидент, локализовать его последствия и уведомить регулятора о решении проблемы в установленные сроки.

На кого возложить аудит ИСПДн

Аудит технических рисков в ИТ-системах персональных данных требует привлечения специалистов, которые одновременно понимают требования законодательства и реальную архитектуру конкретной ИТ-инфраструктуры. Внутри компании это обычно специалисты ИТ- и ИБ-службы, а также сотрудники, ответственные за соблюдение требований регуляторов по работе с персональными данными. Но внутренняя проверка часто малоэффективна из-за «эффекта привычки» — штатные сотрудники могут игнорировать системные уязвимости и формальные нарушения, потому что «всегда так было». Лучше привлекать независимых консультантов, которые смогут оценить ситуацию свежим взглядом, сопоставив фактическую работу ИТ-систем с требованиями регулятора, и выявить расхождения между документами и реальным положением дел.

Помните, что и в случае, если аудит выполняется собственными силами, и в случае аутсорсинга ответственность за защиту персональных данных лежит на операторе — то есть на самой компании. 

Типовые ошибки, выявляемые при аудите

Самые частые нарушения вполне банальны: 

• обработка cookies без уведомления пользователей и без публикации соответствующей политики;
• отсутствие поля формы сбора данных для получения согласия пользователя или некорректная формулировка;
• формально составленные документы, не соответствующие реальным процессам;
• несвоевременная отправка уведомления в Роскомнадзор при изменениях в деятельности, связанной с обработкой ПДн.

Дополняют картину хранение избыточных ПДн и нарушение сроков их обработки. 

Отдельно упомянем отсутствие регламента о порядке уведомления Роскомнадзора о фактах утечки. В условиях ужесточения контроля со стороны государства именно скорость и корректность действий компании в первые часы после инцидента становятся критически важными.

Что в итоге

Работа с персональными данными требует не разовых действий, а постоянной «скучной» системной работы, которая начинается с корректной правовой базы и прозрачных пользовательских интерфейсов, а заканчивается техническими инструментами защиты ИТ-инфраструктуры и готовности к необъявленным и неожиданным проверкам. Только так можно снизить регуляторные и финансовые риски и укрепить доверие своих клиентов, ведь безопасность данных становится одним из ключевых критериев при выборе компании.