Регистрация прошла успешно

Регистрация прошла успешно

На ваш e-mail пришло письмо с подтверждением

На вашу почту отправлена ссылка для восстановления пароля

Восстановление пароля
Все новости
16:37, 22 Апреля
Рост цен на продукты оказался втрое быстрее инфляции
16:21, 22 Апреля
Как ритейлеру не оказаться за бортом в эпоху разумного потребления, экономики обмена и микросообществ
16:20, 22 Апреля
63% потребителей готовы платить за качество продукта
16:16, 22 Апреля
AliExpress и журнал Forbes разработали настольную игру Aliполия
15:53, 22 Апреля
Ярмарка мастеров и DPD: неделя бесплатных доставок
15:41, 22 Апреля
Макдоналдс запускает всероссийскую экологическую акцию #МойЭкоДень
14:23, 22 Апреля
В России растет спрос на мощные видеокарты и процессоры
14:16, 22 Апреля
Магнит начал внедрять в магазинах оплату взглядом
12:49, 22 Апреля
Магнит и ВТБ запустили хакатон для разработчиков с призовым фондом в миллион рублей
12:38, 22 Апреля
Bosch: ИИ, электрификация и зеленый водород – это движение вперед
10 Января 2017, 09:41

Что подсказал нам 2016 год в вопросах защиты персональных данных

Представляем вашему вниманию обзор событий 2016 года, подготовленный аудиторами компании «Информзащита».

Без сомнения, 2016 год должен запомниться операторам персональных данных прежде всего яркостью реализации Федерального закона 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Заработала практика блокировки интернет-ресурсов, на которых выявлены нарушения законодательства РФ в области защиты ПДн. Существенным и самым громким на сегодняшний день событием подобной блокировки стало ограничение доступа из российского сегмента сети Интернет к популярной среди профессионалов социальной сети LinkedIn в ноябре 2016 года.

Нарушением со стороны социальной сети являлось невыполнение требования о «локализации базы данных», и данному требованию Роскомнадзор уделяет немалое внимание в ходе проведения проверок по вопросам защиты ПДн всех операторов персональных данных. В рамках проверки специалисты Роскомнадзора запрашивают и уточняют информацию о расположении баз данных, с помощью которых осуществляется сбор, запись, систематизация и другие действия с персональными данными граждан Российской Федерации. Также в 2016 году для исполнения этой нормы в электронную форму уведомления на сайте Службы добавлены отдельные поля, посвящённые этому требованию и обязательные к заполнению всеми операторами ПДн.

Кроме изменений, внесенных 242-ФЗ, в 2016 году специалистами Роскомнадзора сделаны существенные шаги по внесению уточнения в термин «персональные данные». Тут можно вспомнить о решении Московского городского суда по делу о социальной сети LinkedIn, так как именно в рамках этого дела было озвучено и в дальнейшем закреплено Роскомнадзором, что ip-адрес и cookies являются персональными данными. Это событие заставляет многих операторов ПДн в настоящее время переосмысливать свое понимание термина «персональные данные», пересматривать контролируемые процессы их обработки и уточнять состав защищаемых информационных систем.

В данном вопросе об уточнении термина «персональные данные» хотелось бы обратить внимание на существующий в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных документ «Матрица персональных данных», который в настоящее время не распространяется Роскомнадзором. Имеет смысл предложить Роскомнадзору сделать его публичным и модернизируемым, разместив на официальном сайте Службы, обновлять его после открытых дискуссий среди профессионалов, как это делают в отношении своих документов ФСБ и ФСТЭК Российской Федерации.

На основании проведенных проверок в этом году, хочется донести до операторов ПДн тот факт, что специалисты Роскомнадзора прекрасно разбираются в вопросах обработки ПДн, и не стоит надеяться на достаточность соблюдения Закона о персональных данных только в отношении нескольких общеизвестных внутренних процессов, таких как кадровый учет, бухгалтерский и налоговый учет и страхование работников. Специалисты Роскомнадзора прекрасно знают о существовании таких процессов как подбор персонала, оформление командировок, оформление доверенностей, организация контрольно-пропускного режима и т.п. Не забывайте учитывать программы лояльности и процессы оказания поддержки вашим клиентам, так как данные процессы обработки ПДн также хорошо известны представителям Роскомнадзора благодаря вашим сайтам и описанным на них услугам.

Также необходимо сказать о вопросах защиты ПДн в информационных системах и начать с сайтов, которые у большинства операторов ПДн также являются информационными системами персональных данных, но не учитываются как ИСПДн, хотя с их помощью собирается достаточно много персональных данных. Причем не только с помощью размещаемых форм опросов, форм ввода контактных данных, регистрационных данных или данных о покупателях, но и с помощью встроенных сервисов таких как Google Analytics или Яндекс Метрика, осуществляющих сбор ip-адресов, cookies, сведений об устройстве пользователя и др. 

Продолжая вопрос об информационных системах персональных данных, стоит отметить, что к таким системам могут относиться мобильные приложения, внутренние порталы, файловые серверы, системы колл-центров и т.д. Не стоит ограничиваться указанием только кадровой и бухгалтерской системы. Немалую часть информационных систем операторы ПДн демонстрируют при первых встречах с Роскомнадзором: СКУД, системы заявок на ресепшн, личные кабинеты на сайтах, системы колл-центра, мобильные приложения. 

В завершении хочется напомнить, что с 2015 года Планы деятельности, включающие план проверок по вопросам защиты ПДн, размещаются на сайтах каждого Управления Роскомнадзора (например, 77.rkn.gov.ru, 78.rkn.gov.ru, полный перечень представлен на сайте rkn.gov.ru/about/territorial/).
Теги:
Понравился материал? Поделись.
ЖУРНАЛ RETAIL&LOYALTY №8 (95) 2020

будь в курсе
новостей индустрии