Практика

Уровень 7 - Стратегия и дипломатия

Перед прохождением уровня, возьмем на себя смелость, считать, что за несколько дней, в экстремальных условиях, мы почти готовы к наступлению 1 июля. Нам остаются небольшие, но очень важные детали. Например, убедиться, что персональные данные (кроме К4) не передаются в открытом виде по каналам связи, например, при сдаче отчетности через интернет. Требования обязывают при такой передаче использовать только сертифицированные средства криптографического шифрования.

Также крайне полезно всеми возможными способами донести важность вопроса до понимания всех коллег по работе, чтобы при появлении в информационном поле организации любых писем, сообщений, вопросов по тегу «персональные данные», они сразу же перенаправлялись ответственному, пусть даже это будет рекламная рассылка и вопрос клиента в телефонном разговоре. В последующем, когда определится набор наиболее типовых вопросов, конечно, появится смысл разработать инструкцию для сотрудников о том, как на них отвечать.

Немного о проверках

Большое значение имеет план выполнения мероприятий в будущих периодах, если он есть и есть движение по нему, то можно рассчитывать (в разумных пределах) на понимание со стороны проверяющих.

С вступлением закона не исключаются «местные перегибы» с абсурдными требованиями или подходами к практике защиты ПДн. В таких случаях совсем необязательно всеми возможными способами уходить от правового конфликта, если есть юридически подкрепленная позиция, то есть и шансы успешно отстоять её в суде.

Логично провести небольшую подготовку к проверкам законности персональных данных. Например, изучить "Регламент.." проведения проверок, убедиться, что любая, даже внеплановая проверка не может появиться в офисе оператора подобно кавалерийскому наскоку. В каждом случае должно быть как минимум одно правовое основание для её проведения.

Полный перечень таких оснований:

  • истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения в области персональных данных;
  • поступление в Службу (Роскомнадзор) или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о фактах возникновения угрозы причинения или причинения вреда для жизни, здоровья граждан;
  • приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента РФ, Правительства РФ;
  • нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных;
  • нарушение Операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности;

О проведении внеплановой выездной проверки Оператор уведомляется Службой или ее территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом. Анонимные обращения и заявления граждан не могут служить основанием для проведения внеплановых проверок. Проверяющие могут изучать любую документацию по процессам обработки персональных данных, но не должны (без соответствующего допуска или решения суда) требовать доступ к персональным данным в вашей ИСПДн.

Основные принципы построения систем обеспечения безопасности персональных данных

Одним из главных принципов нашей работы должна оставаться непрерывность. Охрана персональных данных – не разовое мероприятие и не набор средств защиты, это непрерывный, целенаправленный процесс, предполагающий постоянное организационное и техническое сопровождение ИСПДн. Нужно понимать, что наша ИСПДн и сформированная система защиты могут быть небезупречны и требовать дальнейшего совершенствования.

Пусть в текущем историческом моменте совсем не понятно в какую сторону двигаться, с высокой вероятностью в текущем году будут приняты поправки к ФЗ-152, но сроки их вступления в силу и объем изменений остаются неочевидными. Например, вполне вероятно, что практически вся документация по вопросам обработки персональных данных может стать обязательной для её раскрытия перед клиентами, например, в виде публикации на сайте. Быть может, будут отменены обязательная разработка модели угроз и построение системы защиты.

Вполне возможно, что практика обработки приватных данных будет развиваться по западным принципам, когда за операторами не бегают «няньки» из разных ведомств и каждый сам решает как он защищает свою ИСПДн, но при инцидентах нарушения приватности персональных данных по результатам расследований будут налагаться немалые штрафы, привязанные напрямую к величине доходов виновника. В любом случае отслеживать все изменения законодательства и нормативных требований ответственному за направление персональных данных придется постоянно, на всех этапах жизненного цикла ИСПДн.

Главное, что мы сделали уже сегодня - не остались в тени беззакония, выстроили пусть и не идеальную, но минимально соответствующую нормативным требованиям ИСПДн, которая базируется не просто на использовании сертифицированных продуктов , а включает в себя необходимый набор нормативных документов и проведенных организационных действий. А это значит, что даже если и появится в нашем офисе неожиданная проверка со стороны ФСТЭК, Роскомнадзора или ФСБ, то у нас будет пусть небольшой, но прочный запас уверенности в доблестном отношении к охране персональных данных и в праве на конструктивный диалог с представителями регулирующих органов.

Надеемся, что некоторая часть информации данного проекта, оказалась для вас полезной. Спасибо за внимание и всяческих успехов вам в доблестных делах защиты данных физических лиц!

Стать защитником персональных данных! >>