Ранее мы делились информацией о штрафных санкциях за нарушение обработки персональных данных. Сейчас же хотим уделить внимание конкретной позиции, которая была на слуху практически у каждой компании - подача уведомления в Роскомнадзор (далее - РКН) об обработке персональных данных.
В течение последних двух недель мая мы получали различные типовые коммерческие предложения от компаний, где основой являлась помощь в подаче уведомления. Мы предположили, что на фоне этой волны многие компании отправили уведомления и расслабились. Может быть это не так, но дальнейшая часть нашего сообщения базируется на этом предположении.
Итак, нужно ли что-то делать, если вы отправили уведомление в Роскомнадзор?
Мы спросили у аналитиков, которые ежедневно проводят аудит компаний на предмет соответствия законодательству по защите персональных данных, нужно ли было срочно подавать уведомление в РКН или не стоило торопиться?
- Подать уведомление нужно, с точки зрения законодательства. Но важно понимать смысл подачи. Уведомление в РКН сообщает о том, что компания является оператором персональных данных, то есть обрабатывает персональные данные сотрудников или клиентов. В свою очередь РКН может в любой момент проверить как ведется обработка персональных данных у оператора, который числится в списке операторов.
- Важно учитывать то, что именно указано в уведомлении. Ведь персональные данные должны быть обеспечены защитой: на рабочем месте, на котором проводится обработка ПДн, должны быть организованы организационно-правовые и технические меры.
- Если компания заявляет в уведомлении о том, что меры по защите персональных данных реализованы, то так в действительности и должно быть. В противном случае, проверка рано или поздно выявит наличие проблем и тогда компании могут грозить штрафные санкции.
Каждая информационная система уникальна и обработка данных в ней может производиться по-разному. Например, если в информационной системе обрабатываются данные сотрудников, тогда необходима информация обо всей инфраструктуре компании. Информация дает возможность понять какие средства защиты подойдут для организации правильной обработки персональных данных. Также данные о сотрудниках наверняка передаются в государственные органы, тогда требуется средство криптографической защиты информации (далее - СКЗИ).
Все ли версии СКЗИ сертифицированы и подходят для обработки персональных данных? Однозначно - нет, некоторые версии выпускаются разработчиками с пометкой "Предлагаемые версии не являются сертифицированными средствами криптографической защиты информации (СКЗИ) или сертифицированными СЗИ по требованиям ФСТЭК, и не могут применяться в существующих информационных системах для реализации требований к защите информации и ИС в соответствии с законодательством РФ". Все потому, что они созданы для тестирования пользователями/разработчиками, например, операционных систем.
Все ли версии СКЗИ сертифицированы и подходят для обработки персональных данных? Однозначно - нет, некоторые версии выпускаются разработчиками с пометкой "Предлагаемые версии не являются сертифицированными средствами криптографической защиты информации (СКЗИ) или сертифицированными СЗИ по требованиям ФСТЭК, и не могут применяться в существующих информационных системах для реализации требований к защите информации и ИС в соответствии с законодательством РФ". Все потому, что они созданы для тестирования пользователями/разработчиками, например, операционных систем.
Несмотря на то, что в каждой компании определенно есть информационная система, которую можно именовать как "Бухгалтерия и кадры", каждая система уникальна и она не может быть "типовой". Именно поэтому аналитики проводят тщательное обследование инфраструктуры и бизнес-процессов компании, для того чтобы составить акт обследования с рекомендациями по защите персональных данных. После получения рекомендаций компания принимает решение что делать с ними, например, провести оценку эффективности или аттестацию. Подробнее про аттестацию можете посмотреть здесь.
Но и это не все, ведь бизнес-процессы в компании могут меняться с течением времени и важно компании проводить анализ изменений: обработки данных, технических мер по защите, соблюдения внутренних регламентов и положений по обработке персональных данных и т.д. Поэтому раз в год мы рекомендуем проводить оценку эффективности системы защиты персональных данных, все еще ли она актуальна или нужно что-то изменить.
Такие меры необходимы в случае если компания действительно желает не просто соответствовать законодательству, а сохранять персональные данных клиентов и сотрудников в секрете. Таким образом сохраняя свою репутацию не только перед контролирующим органами, но и перед своими клиентами.