В этом году штрафы за нарушение законодательства по защите персональных данных выросли до 15 миллионов рублей. Как обезопасить свою компанию от утечек? Продюсеру радио «Business FM Челябинск» Марии Полевщиковой об этом рассказал председатель комитета по цифровой экономике Челябинского отделения «Опоры России», генеральный директор компании «ПНК» Алексей Коваль.
— Алексей, вопрос, казалось бы, простой, но на самом деле, как я понимаю, не все знают на него правильный ответ. Что такое персональные данные?
— Персональные данные — это любая информация, которая прямо или косвенно может определить физическое лицо: фамилия, имя, отчество, электронная почта, номер телефона, адрес проживания. Бывают разные виды персональных данных. Это общие, специальные, биометрические и иные. Общие — это стандартные персональные данные: номер телефона, фамилия, имя, отчество. Специальные — это когда добавляется, допустим, заработная плата, вероисповедание. Биометрические — это уже те данные, фотографии, видео, по которым можно идентифицировать человека. Компании, которые эти персональные данные обрабатывают, попадают под действие 152-го федерального закона.
— Хорошо, а кто проверяет субъекты МСП в части обработки персональных данных? И как не получить штраф?
— Существует надзорный орган, Роскомнадзор, а регулятором по защите персональных данных является ФСБ. Роскомнадзор вправе провести проверку любого субъекта МСП и крупного бизнеса о том, какие меры приняты оператором по обработке персональных данных согласно действующему законодательству. И при этом, если необходимые меры, которые описаны в 152 федеральном законе, не приняты в компании, Роскомнадзор вправе наложить штраф.
— Как быть компаниям, когда персональные данные могут быть утеряны, или украдены, или скомпрометированы? Это сейчас, к сожалению, распространенное явление.
— Недавно произошли изменения в Кодексе об административных правонарушениях. Если ваши данные были утеряны, что вы должны сделать? Первое — зафиксировать инцидент: дату, время, когда произошла утечка, масштабы бедствия, какое количество персональных данных утекло. Вторым этапом вы должны изолировать утечку. Например, вы понимаете, что ваша 1С была взломана, вы как минимум должны отключить ее от интернета. Если вы понимаете, что возможно какой-то логин или пароль был скомпрометирован, то эту учетную запись тоже нужно отключить. Следующее — в течение 24 часов вы обязаны сообщить в Роскомнадзор о том, что у вас произошла утечка, примерные масштабы и какое количество субъектов персональных данных было скомпрометировано. Вы должны провести внутреннее расследование в течение 72 часов. Затем разработать план мероприятий, определить, каким образом эта утечка произошла.
— По горячим следам.
— По горячим следам, да, совершенно верно. Разработать план мероприятий, чтобы повторной утечки не произошло, и потом в течение, как я уже сказал, 72 часов сообщить в Роскомнадзор о том, какие мероприятия были проведены, что расследование завершено. Нужно уведомить субъектов, персональных данных о том, что их данные были утеряны.
— Какие могут быть последствия для компании и должностных лиц, для физических лиц после такого инцидента?
— Сейчас штраф при утечке персональных данных может быть до 600 тысяч на должностное лицо и до 15 миллионов на компанию. Самое страшное, если у вас произошел повторный инцидент, то штраф может быть 3% от годового оборота.
— Достаточно суровые наказания. В связи с этим давайте расскажем, какие меры необходимы для защиты персональных данных?
— Самое главное, с чего нужно начать, это принять у себя в компании политику по обработке персональных данных, уведомить все субъекты о том, что их персональные данные будут обрабатываться с такой-то целью. Например, ведение кадрового, бухгалтерского учета. Если это ваши клиенты, то вы должны сообщить, зачем вы храните их данные, как долго, где. Дальше вы должны выпустить определенные приказы, назначить ответственность за обработку и хранение персональных данных и применить необходимые хотя бы минимальные меры по технической защите. Это антивирус, межсетевой экран и средства защиты от несанкционированного доступа на тех рабочих местах, где вы эти персональные данные обрабатываете.
— Стоит ли обучать сотрудников, как правильно обрабатывать персональные данные?
— Обязательно.
— Почему?
— Потому что бывают такие случаи, когда, например, пришел к секретарю какой-то клиент и говорит: «Слушай, дорогая, а можешь распечатать мне документ с флешки?». И ничего не подозревающий секретарь вставляет флешку в свой компьютер, печатает документ, а на этой флешке находится троян.
— И копируется база, да?
— Может быть скопирована или заархивирована база. Дальше могут быть различные последствия, в том числе шантаж, получение доступа к счетам и так далее. Поэтому начинать нужно с социальной инженерии, конечно.
— Кто может помочь в осуществлении всех мероприятий по защите персональных данных на предприятиях малого и среднего предпринимательства?
— Существует компании с лицензией ФСБ и СТЭК, которые выполняют мероприятия согласно законодательству по защите персональных данных.
