Однако следует подчеркнуть, что данные рекомендации не являются исчерпывающими и их выполнение не гарантирует построения полноценной системы комплаенса в области защиты персональных данных, которая была бы способна эффективно противостоять утечкам. Обычно комплаенс предполагает не только строго формальное исполнение «буквы» закона, но также и настраивание бизнес-процессов, обучение сотрудников, работу с техническими специалистами и т.д.
Следует особо отметить, что в настоящее время ведется активная работа по разработке законопроекта о введении оборотных штрафов за утечки персональных данных. За первое нарушение предполагается установить штраф в размере от 3 млн руб. до 15 млн руб. За повторное нарушение, если оно затронуло от 1 тыс. субъектов, предлагается штраф в размере от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб. В этой связи построение полноценной системы комплаенса в области защиты персональных данных приобретает особо важное значение.
Команда Denuo в настоящий момент разрабатывает методологию построения такой системы комплаенса, которая позволит минимизировать вероятность утечек. Если вы хотели бы получить доступ к методологии и сопутствующим материалам, вы можете обратиться к авторам данной публикации.
Рекомендации Роскомнадзора
- Минимизировать перечень персональных данных, которые оператор собирается обрабатывать и которые уже обрабатываются. Следует использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации.
- Обеспечивать раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки.
- Хранить идентификаторы, указывающие на человека (ФИО, имейл, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) в разных, не связанных друг с другом непосредственно, базах данных. Использовать для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и хранить их отдельно от предыдущих двух баз.
- Отказаться от практики накопления персональных данных «на всякий случай», от формирования профилей клиента, если в этом нет необходимости для бизнес-деятельности организации. Своевременно уничтожать персональные данные при достижении цели их обработки (например, после оказания услуги).
- Использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности.
- Своевременно информировать Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов.
- Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.
- Назначать ответственного за защиту персональных данных, а также наделять его необходимыми полномочиями.
