-
29.12.2016

Что подсказал нам 2016 год в вопросах защиты персональных данных, или c наступающим Новым годом, операторы ПДн!

Без сомнения, 2016 год должен запомниться операторам персональных данных прежде всего яркостью реализации Федерального закона 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Заработала практика блокировки Интернет-ресурсов, на которых выявлены нарушения законодательства РФ в области защиты ПДн. Существенным и самым громким на сегодняшний день событием подобной блокировки стало ограничение доступа из российского сегмента сети Интернет к популярной среди профессионалов социальной сети LinkedIn в ноябре 2016 года.

Нарушением со стороны социальной сети являлось невыполнение требования о «локализации базы данных», и данному требованию Роскомнадзор уделяет немалое внимание в ходе проведения проверок по вопросам защиты ПДн всех операторов персональных данных. В рамках проверки специалисты Роскомнадзора запрашивают и уточняют информацию о расположении баз данных, с помощью которых осуществляется сбор, запись, систематизация и другие действия с персональными данными граждан Российской Федерации. Также в 2016 году для исполнения этой нормы в электронную форму уведомления на сайте Службы добавлены отдельные поля, посвящённые этому требованию и обязательные к заполнению всеми операторами ПДн.

Кроме изменений, внесенных 242-ФЗ, в 2016 году специалистами Роскомнадзора сделаны существенные шаги по внесению уточнения в термин «персональные данные». Тут можно вспомнить о решении Московского городского суда по делу о социальной сети LinkedIn, так как именно в рамках этого дела было озвучено и в дальнейшем закреплено Роскомнадзором, что ip-адрес и cookies являются персональными данными. Это событие заставляет многих операторов ПДн в настоящее время переосмысливать свое понимание термина «персональные данные», пересматривать контролируемые процессы их обработки и уточнять состав защищаемых информационных систем.

В данном вопросе об уточнении термина «персональные данные» хотелось бы обратить внимание на существующий в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных документ «Матрица персональных данных», который в настоящее время не распространяется Роскомнадзором. Имеет смысл предложить Роскомнадзору сделать его публичным и модернизируемым, разместив на официальном сайте Службы, обновлять его после открытых дискуссий среди профессионалов, как это делают в отношении своих документов ФСБ и ФСТЭК Российской Федерации.

На основании проведенных проверок в этом году, хочется донести до операторов ПДн тот факт, что специалисты Роскомнадзора прекрасно разбираются в вопросах обработки ПДн, и не стоит надеяться на достаточность соблюдения Закона о персональных данных только в отношении нескольких общеизвестных внутренних процессов, таких как кадровый учет, бухгалтерский и налоговый учет и страхование работников. Специалисты Роскомнадзора прекрасно знают о существовании таких процессов как подбор персонала, оформление командировок, оформление доверенностей, организация контрольно-пропускного режима и т.п. Не забывайте учитывать программы лояльности и процессы оказания поддержки вашим клиентам, так как данные процессы обработки ПДн также хорошо известны представителям Роскомнадзора благодаря вашим сайтам и описанным на них услугам.

Также необходимо сказать о вопросах защиты ПДн в информационных системах и начать с сайтов, которые у большинства операторов ПДн также являются информационными системами персональных данных, но не учитываются как ИСПДн, хотя с их помощью собирается достаточно много персональных данных. Причем не только с помощью размещаемых форм опросов, форм ввода контактных данных, регистрационных данных или данных о покупателях, но и с помощью встроенных сервисов таких как Google Analytics или Яндекс Метрика, осуществляющих сбор ip-адресов, cookies, сведений об устройстве пользователя и др.

Продолжая вопрос об информационных системах персональных данных, стоит отметить, что к таким системам могут относиться мобильные приложения, внутренние порталы, файловые серверы, системы колл-центров и т.д. Не стоит ограничиваться указанием только кадровой и бухгалтерской системы. Немалую часть информационных систем операторы ПДн демонстрируют при первых встречах с Роскомнадзором: СКУД, системы заявок на ресепшн, личные кабинеты на сайтах, системы колл-центра, мобильные приложения.

В завершении хочется напомнить, что с 2015 года Планы деятельности, включающие план проверок по вопросам защиты ПДн, размещаются на сайтах каждого Управления Роскомнадзора (например, 77.rkn.gov.ru, 78.rkn.gov.ru, полный перечень представлен на сайте rkn.gov.ru/about/territorial/). 

В преддверии 2017 года мы желаем операторам ПДн поддерживать в соответствии, совершенствовать и развивать системы защиты персональных данных не только в технической части, но и в организационной её составляющей. Не допускать и предотвращать атаки на ваши информационные системы, не позволять злоумышленникам получать доступ к обрабатываемым персональным данным. А также поменьше обращений от субъектов ПДн и уполномоченного органа по вопросам защиты ПДн из-за возможных к вам вопросов. 

С Новым годом!

Александр Барышников,

Руководитель направления

Департамента консалтинга и аудита

ЗАО НИП «ИНФОРМЗАЩИТА»