Безопасная работа с персональными данными

Сбор, обработка и передача персональных данных ― неотъемлемая часть деятельности практически любой компании. Особо актуальной защита персональных данных становится сейчас: количество утечек растет, а законодательство ужесточается. Рассказываем, как обезопасить бизнес от возможных угроз.

Какие данные относятся к персональным

Действующее законодательство (ч. 1 ст. 3 закона от 27.07.2006 N 152-ФЗ «О персональных данных») под персональными данными (ПД) понимает любую информацию, которая относится к определенному или определяемому физическому лицу прямо или косвенно. 

При этом в законе мы не найдем конкретного перечня персональных данных: настолько широкое определение не позволяет составить универсальный список. По сложившейся практике (в том числе судебной), к персональным данным относят:

  • ФИО и дату рождения;

  • паспортные данные; 

  • адрес и номер телефона;

  • данные водительского удостоверения;

  • место работы и доход;

  • отпечатки пальцев и ДНК гражданина;

  • радужную оболочку глаз;

  • индивидуальные анатомические особенности;

  • сведения из медицинских книжек, личных дел;

  • информацию о национальной принадлежности и т.д.

Все подлежащие защите персональные данные подразделяют на четыре категории ― общие, специальные, биометрические и иные. И если первые три чаще не вызывают вопросов, то категория «Иные» заставляет задуматься.

Как правило, иными персональными данными считают сведения, которые нельзя включить ни в одну из перечисленных групп. Это может быть, например, информация о принадлежности человека к социальной группе.

Обратите внимание: одни и те же данные, но указанные не в комбинации, а по отдельности, могут не иметь статус персональных. Так, например, Верховный суд РФ полагает, что номер телефона без ФИО и других идентификаторов не будет считаться персональными данными.

Как обезопасить процесс сбора персональных данных

Ключевой момент: собирать персональные данные компания может только в случае, если имеет на это юридическое основание. Достаточным основанием считаются действующее законодательство, соответствующий договор или согласие — как в электронном виде, так и в бумажной форме.

Для безопасного сбора персональных данных эксперты также рекомендуют учитывать еще несколько советов:

  • Обязательно сохраняйте согласие. При проверке или при возникновении претензий со стороны человека вы всегда сможете предоставить электронный или бумажный документ, который подтвердит факт получения согласия на обработку персональных данных.

  • Незамедлительно избавляйтесь от ненужных данных. Если по какой-то причине в вашем распоряжении оказались данные, собранные по ошибке, следует как можно скорее их удалить.

  • Не собирайте данные «впрок». Накапливать данные, которые на сейчас момент не нужны ― большая ошибка. Компаниям следует собирать персональные данные, действительно необходимые для решения конкретных задач.   

Защита персональных данных в процессе хранения

Хранение — наиболее ответственная составляющая всей работы с персональными данными. Необходимо четко определить, где и как хранятся персональные данные, у кого есть доступ к ним и как происходит обработка. Минимизировать риски при хранении персональных данных помогает разработка регламентов и контроль за их исполнением.

Эффективный методсоставление «карты», включающей в себя все процессы, связанные с персональными данными. Также для безопасного хранения персональных данных рекомендуется:

  • предоставлять доступ к данным только тем лицам, которым он действительно необходим;

  • незамедлительно удалять персональные данные, которые больше не нужны;

  • проводить анонимизацию данных, если нет потребности в их использовании в первозданном виде;

  • по возможности проводить псевдоанонимизацию персональных данных;

  • отказаться от использования новых сервисов для хранения и обработки персональных данных до получения гарантий их безопасности;

  • не применять тестовую инфраструктуру для работы с персональными данными.

Защита персональных данных и профилактика утечек — комплексный процесс. Его основные составляющие — техническая, организационная и образовательная.

Техническая защита начинается с самого простого — установки и использования хотя бы базовых решений для конечных точек, которые помогут заблокировать массовые киберугрозы. 

Например, линейка решений для защиты конечных точек Kaspersky Security для бизнеса  включает в себя набор функций, которые гарантируют безопасность данных на компьютерах, серверах, мобильных устройствах компании. 

Для хранения данных следует выбирать только те носители, к которым исключен доступ посторонних. Если отказаться от бумажной документации нет возможности, хранить такие документы нужно в надежно защищенных местах — например, в закрывающемся ящике или сейфе. На рабочем столе бумажные носители находятся только тогда, когда сотрудник с ними работает. 

Важно. Хранить пароли следует в специальных программах. Такая информация не должна быть записана в ежедневнике или на стикерах: раскрытие пароля позволит злоумышленникам легко получить доступ к персональным данным.  

Как передавать персональные данные без риска для бизнеса

Любые действия по передаче персональных данных согласовывают и протоколируют. Каждый сотрудник компании, работающий с персональными данным, в обязательном порядке информируется обо всех процедурах.

Такой подход исключает риск того, что сотрудник передаст данные, которые компания не имела права передавать или использует для передачи недопустимые сервисы.

При передаче персональных данных также соблюдают следующие требования:

  • использование шифрования при передаче данных;

  • отсутствие доступа с правами администратора к системам с персональными данными у компаний-подрядчиков;

  • заключение договора поручения на обработку персональных данных при их передаче в другие компании.

При росте компании, масштабировании и усложнении ее инфраструктуры ей требуются больший функционал для контроля и обеспечения информационной безопасности. На этом этапе логично подключить экспертные инструменты, например, SIEM и EDR. Теперь такие технологии стали доступны и для небольших компаний в рамках решения Kaspersky Smart.

Еще один важный момент, о котором нередко забывают: доступ к персональным данным должен разграничиваться по экстерриториальному признаку. Что это означает? Если процесс трансграничной передачи персональных данных не был урегулирован, доступ граждан одной страны к ПД граждан другой страны не допускается.

Одна из главных составляющих безопасности при работе с персональными данными ― профессионализм сотрудников. Повысить осведомленность персонала о существующих угрозах и правилах работы с ПД помогут тренинги. Такое обучение научит принимать правильные решения и минимизируют риски утечки данных в результате человеческого фактора. 

На платформе Kaspersky Automated Security Awareness Platform представлены основные и экспресс-курсы по кибербезопасному поведению. Простой и при этом эффективный онлайн-инструмент позволяет освоить нужные в работе навыки в короткие сроки. Микромодули и гибкий подход дают возможность изучать только то, что действительно необходимо. На платформе доступно отслеживание данных учащихся в реальном времени: можно узнать, каким отделам нужно уделить максимум внимания.

Получите бесплатный чек-лист по киберзащите бизнеса на удаленке

Поможем избежать атак программ-вымогателей

Узнайте, как безопасно организовать работу в условиях удаленной работы

Заполните форму ниже и мы пришлем чек-лист на ваш e-mail:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8JzgFS

Комментарии

2
  • Здравствуйте! Поясните - какого лешего тут упомянут Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»?

  • Лаборатория Касперского

    Здравствуйте! Спасибо за вашу внимательность и справедливое замечание. Вы правы, упоминание закона № 54-ФЗ в тексте было ошибочным. Внесли соответствующее исправление в статью.