Регистрация прошла успешно

Регистрация прошла успешно

На ваш e-mail пришло письмо с подтверждением

На вашу почту отправлена ссылка для восстановления пароля

Восстановление пароля
Все новости
12:01, 28 Ноября
К чему приведёт цифровизация магазинов, и как это отразится на покупателях
12:15, 27 Ноября
ADAMAS открыл новый магазин в Самаре
10:23, 27 Ноября
Плюсы и минусы работы на Ozon
10:04, 27 Ноября
Цикл «Организации будущего». Встреча №5 «Культура инноваций: как двигаться в нужном направлении»
17:10, 26 Ноября
«Яндекс.Маркет» расширил географию продаж одежды и обуви почти на 60 регионов России
16:40, 26 Ноября
Половина россиян совершают спонтанные покупки в интернете
16:17, 26 Ноября
Россияне стали чаще заказывать в онлайн овощи и фрукты с рынков
16:14, 26 Ноября
Как подготовиться к «Чёрной пятнице»
15:35, 26 Ноября
Платформа App Annie представила рейтинги шоппинг-приложений в России
14:00, 26 Ноября
Большинство покупателей не жалеют о своих покупках в «Чёрную пятницу»
10 Января 2017, 09:41

Что подсказал нам 2016 год в вопросах защиты персональных данных

Представляем вашему вниманию обзор событий 2016 года, подготовленный аудиторами компании «Информзащита».

Без сомнения, 2016 год должен запомниться операторам персональных данных прежде всего яркостью реализации Федерального закона 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Заработала практика блокировки интернет-ресурсов, на которых выявлены нарушения законодательства РФ в области защиты ПДн. Существенным и самым громким на сегодняшний день событием подобной блокировки стало ограничение доступа из российского сегмента сети Интернет к популярной среди профессионалов социальной сети LinkedIn в ноябре 2016 года.

Нарушением со стороны социальной сети являлось невыполнение требования о «локализации базы данных», и данному требованию Роскомнадзор уделяет немалое внимание в ходе проведения проверок по вопросам защиты ПДн всех операторов персональных данных. В рамках проверки специалисты Роскомнадзора запрашивают и уточняют информацию о расположении баз данных, с помощью которых осуществляется сбор, запись, систематизация и другие действия с персональными данными граждан Российской Федерации. Также в 2016 году для исполнения этой нормы в электронную форму уведомления на сайте Службы добавлены отдельные поля, посвящённые этому требованию и обязательные к заполнению всеми операторами ПДн.

Кроме изменений, внесенных 242-ФЗ, в 2016 году специалистами Роскомнадзора сделаны существенные шаги по внесению уточнения в термин «персональные данные». Тут можно вспомнить о решении Московского городского суда по делу о социальной сети LinkedIn, так как именно в рамках этого дела было озвучено и в дальнейшем закреплено Роскомнадзором, что ip-адрес и cookies являются персональными данными. Это событие заставляет многих операторов ПДн в настоящее время переосмысливать свое понимание термина «персональные данные», пересматривать контролируемые процессы их обработки и уточнять состав защищаемых информационных систем.

В данном вопросе об уточнении термина «персональные данные» хотелось бы обратить внимание на существующий в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных документ «Матрица персональных данных», который в настоящее время не распространяется Роскомнадзором. Имеет смысл предложить Роскомнадзору сделать его публичным и модернизируемым, разместив на официальном сайте Службы, обновлять его после открытых дискуссий среди профессионалов, как это делают в отношении своих документов ФСБ и ФСТЭК Российской Федерации.

На основании проведенных проверок в этом году, хочется донести до операторов ПДн тот факт, что специалисты Роскомнадзора прекрасно разбираются в вопросах обработки ПДн, и не стоит надеяться на достаточность соблюдения Закона о персональных данных только в отношении нескольких общеизвестных внутренних процессов, таких как кадровый учет, бухгалтерский и налоговый учет и страхование работников. Специалисты Роскомнадзора прекрасно знают о существовании таких процессов как подбор персонала, оформление командировок, оформление доверенностей, организация контрольно-пропускного режима и т.п. Не забывайте учитывать программы лояльности и процессы оказания поддержки вашим клиентам, так как данные процессы обработки ПДн также хорошо известны представителям Роскомнадзора благодаря вашим сайтам и описанным на них услугам.

Также необходимо сказать о вопросах защиты ПДн в информационных системах и начать с сайтов, которые у большинства операторов ПДн также являются информационными системами персональных данных, но не учитываются как ИСПДн, хотя с их помощью собирается достаточно много персональных данных. Причем не только с помощью размещаемых форм опросов, форм ввода контактных данных, регистрационных данных или данных о покупателях, но и с помощью встроенных сервисов таких как Google Analytics или Яндекс Метрика, осуществляющих сбор ip-адресов, cookies, сведений об устройстве пользователя и др. 

Продолжая вопрос об информационных системах персональных данных, стоит отметить, что к таким системам могут относиться мобильные приложения, внутренние порталы, файловые серверы, системы колл-центров и т.д. Не стоит ограничиваться указанием только кадровой и бухгалтерской системы. Немалую часть информационных систем операторы ПДн демонстрируют при первых встречах с Роскомнадзором: СКУД, системы заявок на ресепшн, личные кабинеты на сайтах, системы колл-центра, мобильные приложения. 

В завершении хочется напомнить, что с 2015 года Планы деятельности, включающие план проверок по вопросам защиты ПДн, размещаются на сайтах каждого Управления Роскомнадзора (например, 77.rkn.gov.ru, 78.rkn.gov.ru, полный перечень представлен на сайте rkn.gov.ru/about/territorial/).
Понравился материал? Поделись.

Теги:
Подписывайтесь на наши группы,
чтобы быть в курсе событий отрасли.
Станьте нашим автором.
Увеличьте лояльность своих читателей