10:17, 29 Марта
Wildberries открывает новый портал туристических услуг
08:56, 29 Марта
В Ташкентском метро появилась первая наружная реклама маркетплейса, созданная искусственным интеллектом
16:38, 28 Марта
Alibaba разделила бизнес на шесть отдельных бизнес-групп
15:31, 28 Марта
Полевое тестирование ПО от IBS. Как оно повышает операционную эффективность
13:52, 28 Марта
Минпромторг предложил заменить 28 товаров из пластика более экологичной продукцией
12:50, 28 Марта
Delivery Club дал ресторанам новые инструменты для продвижения
12:00, 28 Марта
Яндекс Лавка подключила экспресс-доставку цветов в Санкт-Петербурге
11:41, 28 Марта
Сбер и X5 Group реализовали сервис снятия наличных во всех магазинах сети «Пятёрочка»
10:45, 28 Марта
Сбер предложил поставщикам X5 Group выгодный зелёный факторинг
10:25, 28 Марта
В Узбекистане с предпринимателей незаконно удержали «авансовый» налог на прибыль
Что подсказал нам 2016 год в вопросах защиты персональных данных

Представляем вашему вниманию обзор событий 2016 года, подготовленный аудиторами компании «Информзащита».
Без сомнения, 2016 год должен запомниться операторам персональных данных прежде всего яркостью реализации Федерального закона 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
Заработала практика блокировки интернет-ресурсов, на которых выявлены нарушения законодательства РФ в области защиты ПДн. Существенным и самым громким на сегодняшний день событием подобной блокировки стало ограничение доступа из российского сегмента сети Интернет к популярной среди профессионалов социальной сети LinkedIn в ноябре 2016 года.
Нарушением со стороны социальной сети являлось невыполнение требования о «локализации базы данных», и данному требованию Роскомнадзор уделяет немалое внимание в ходе проведения проверок по вопросам защиты ПДн всех операторов персональных данных. В рамках проверки специалисты Роскомнадзора запрашивают и уточняют информацию о расположении баз данных, с помощью которых осуществляется сбор, запись, систематизация и другие действия с персональными данными граждан Российской Федерации. Также в 2016 году для исполнения этой нормы в электронную форму уведомления на сайте Службы добавлены отдельные поля, посвящённые этому требованию и обязательные к заполнению всеми операторами ПДн.
Кроме изменений, внесенных 242-ФЗ, в 2016 году специалистами Роскомнадзора сделаны существенные шаги по внесению уточнения в термин «персональные данные». Тут можно вспомнить о решении Московского городского суда по делу о социальной сети LinkedIn, так как именно в рамках этого дела было озвучено и в дальнейшем закреплено Роскомнадзором, что ip-адрес и cookies являются персональными данными. Это событие заставляет многих операторов ПДн в настоящее время переосмысливать свое понимание термина «персональные данные», пересматривать контролируемые процессы их обработки и уточнять состав защищаемых информационных систем.
В данном вопросе об уточнении термина «персональные данные» хотелось бы обратить внимание на существующий в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных документ «Матрица персональных данных», который в настоящее время не распространяется Роскомнадзором. Имеет смысл предложить Роскомнадзору сделать его публичным и модернизируемым, разместив на официальном сайте Службы, обновлять его после открытых дискуссий среди профессионалов, как это делают в отношении своих документов ФСБ и ФСТЭК Российской Федерации.
На основании проведенных проверок в этом году, хочется донести до операторов ПДн тот факт, что специалисты Роскомнадзора прекрасно разбираются в вопросах обработки ПДн, и не стоит надеяться на достаточность соблюдения Закона о персональных данных только в отношении нескольких общеизвестных внутренних процессов, таких как кадровый учет, бухгалтерский и налоговый учет и страхование работников. Специалисты Роскомнадзора прекрасно знают о существовании таких процессов как подбор персонала, оформление командировок, оформление доверенностей, организация контрольно-пропускного режима и т.п. Не забывайте учитывать программы лояльности и процессы оказания поддержки вашим клиентам, так как данные процессы обработки ПДн также хорошо известны представителям Роскомнадзора благодаря вашим сайтам и описанным на них услугам.
Также необходимо сказать о вопросах защиты ПДн в информационных системах и начать с сайтов, которые у большинства операторов ПДн также являются информационными системами персональных данных, но не учитываются как ИСПДн, хотя с их помощью собирается достаточно много персональных данных. Причем не только с помощью размещаемых форм опросов, форм ввода контактных данных, регистрационных данных или данных о покупателях, но и с помощью встроенных сервисов таких как Google Analytics или Яндекс Метрика, осуществляющих сбор ip-адресов, cookies, сведений об устройстве пользователя и др.
Продолжая вопрос об информационных системах персональных данных, стоит отметить, что к таким системам могут относиться мобильные приложения, внутренние порталы, файловые серверы, системы колл-центров и т.д. Не стоит ограничиваться указанием только кадровой и бухгалтерской системы. Немалую часть информационных систем операторы ПДн демонстрируют при первых встречах с Роскомнадзором: СКУД, системы заявок на ресепшн, личные кабинеты на сайтах, системы колл-центра, мобильные приложения.
В завершении хочется напомнить, что с 2015 года Планы деятельности, включающие план проверок по вопросам защиты ПДн, размещаются на сайтах каждого Управления Роскомнадзора (например, 77.rkn.gov.ru, 78.rkn.gov.ru, полный перечень представлен на сайте rkn.gov.ru/about/territorial/).
МНЕНИЯ ЭКСПЕРТОВ

Полевое тестирование ПО от IBS. Как оно повышает операционную эффективность
Центр тестирования IBS QA Solutions предлагает услуги оценки цифровых ...

DDoS-атака на платежные процессы. Как интернет-магазину подготовиться заранее
Проактивность и тактика: советы по выбору платежного партнера и чек-ли...

Спасибо за покупку! Как устроить акцию с подарками для покупателей
За понятием BTL-маркетинга скрываются десятки достаточно эффективных с...
Все статьи