cookies
Согласие на обработку cookie
Сайт использует файлы cookie для обеспечения удобства пользователей сайта, его улучшения, предоставления персонализированных рекомендаций. Вы можете настроить обработку cookie. Отозвать соглаcие можно на странице Политики обработки файлов cookie.
Сайт может перестать корректно работать
Часть функционала сайта перестанет работать. Мы не сможем хранить персональные настройки и рекомендации.
Для полноценной работы всего сайта рекомендуем принять все cookie или выполнить настройку.
Отклонить
Настроить
Принять соглашение

90% компаний обрабатывают персональные данные с нарушениями

90% компаний обрабатывают персональные данные с нарушениями
Предоставлено партнером материала
Предоставлено партнером материала
87
Чтение: 5 мин.
Содержание

Необходимость защиты персональных данных, похоже, осознали все: и государство, и бизнес, и все в большей степени – владельцы этих самых данных. Так, количество рассмотренных Национальным центром защиты персональных данных (НЦЗПД) жалоб от интернет-пользователей и клиентов организаций в 2024 году оказалось почти в 3 раза больше, чем годом ранее.

Только за текущий год по требованию НЦЗПД различными компаниями было удалено более 6 млн единиц информации. Наиболее распространенные нарушения – обработка без правовых оснований, хранение персданных свыше необходимого срока.

Многие ли организации задумываются о том, что с вероятностью, близкой к 90%, они собирают, обрабатывают и хранят персданные своих клиентов и сотрудников с нарушением правил текущего законодательства? Нет, львиная доля владельцев бизнеса даже не знает о том, что обрабатывает информацию, которая требует определенной защиты.

Сегодня мы попробуем пошагово разобраться в вопросе подготовки своей информационной системы к работе с персональными данными.

Определяем, присутствуют ли в информационной системе персданные

На данном этапе достаточно просто ответить себе на вопрос в формате «да или нет». Если у вас есть клиенты или сотрудники, то, скорее всего, ответ будет положительным. Сюда относятся не только паспортные данные, имя, адрес, номера телефонов, но и неочевидные моменты вроде фото с мероприятий на сайте, cookie-файлов, IP-адресов или, скажем, дней рождения сотрудников.

Обратите внимание: номер телефона или e-mail потенциального клиента будут считаться персданными, даже если вы не знаете его имени и фамилии.

Уже на этом этапе мы рекомендуем подробно описать процесс взаимодействия с клиентами: где, как и с какой целью вы собираете такие данные, сколько они хранятся в системе. Это поможет вам оптимизировать процессы, к тому же такой «роадмап» пригодится на следующем этапе. Вероятно, вы сразу же самостоятельно увидите в нем недостатки: например, персональные данные нельзя хранить бессрочно. Ошибки приведут к фактически незаконной обработке данных (например, согласие на обработку персональных данных, включенное в договор, не является согласием).

Как персональные данные попадают в вашу систему и где используются? Личный кабинет на сайте и формы обратной связи, карты лояльности и дисконтные программы, CRM-системы и сборщики лидов, e-mail-рассылки и система видеонаблюдения, фотографии работников в корпоративных соцсетях и их больничные листы, полисы медицинского страхования и даже переписка – список можно продолжать.

То есть персональные данные буквально повсюду? Да, и ответственность в случае нарушений, связанных с обязательными мерами защиты, может составить до 50 базовых величин. Также вероятные последствия – приостановка ресурсов, перебои в работе бизнеса, проблемы с репутацией. По результатам проверок НЦЗПД в 2024 году в 75 случаях материалы направлены в органы внутренних дел для решения вопроса о начале административных процессов.

Если вы поняли, что собираете, обрабатываете или храните персональные данные, переходим к следующему шагу.

Приводим систему в соответствие с требованиями законодательства

Кратко этот процесс выглядит так:

  1. Аудит организационных и правовых мер по обеспечению защиты персональных данных (правовой аудит)*.
  2. Аудит текущего состояния ресурсов, формирование технического задания с требованиями к будущей системе защиты информации (СЗИ)**.
  3. Реализация обязательных мер и создание СЗИ.
  4. Аттестация СЗИ.

*Меры определены в Законе Республики Беларусь № 99-З «О защите персональных данных» от 7 мая 2021 г. и Указе Президента Республики Беларусь № 422 от 28 октября 2021 года «О мерах по совершенствованию защиты персональных данных».

**Технические меры защиты информации определены в Приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66.

Важно: одна лишь аттестация без реализации остальных шагов не закроет вопрос корректной и правовой обработки персональных данных. В случае проверки и выявления недостатков, может потребоваться переаттестация, которая неизбежно повлечет дополнительные затраты.

Кратко перечень обязательных шагов для реализации организационно-правовых и технических мер защиты выглядит примерно так:

  • Определить правовое основание обработки персональных данных, их объем и период их хранения.
  • Описать процесс обработки данных в информационной системе. Это необходимо выполнить в рамках документов, которые определяют политику компании в отношении персданных.
  • Добавить информационную систему в список ресурсов, на которых обрабатываются персональные данные, и указать их категории.
  • Установить порядок доступа к таким данным в информационной системе.
  • Включить все организации, которые обслуживают информационные ресурсы, содержащие персданные, в список уполномоченных лиц и заключить с каждым соглашение об обработке персональных данных.
  • Проектирование и создание системы защиты информации (СЗИ). В частности, разработка политики информационной безопасности, технического задания, структурной и логической схем, ряд локальных правовых актов.
  • Аттестация системы.

Теперь нужно определиться, готовы ли вы пройти весь процесс силами штатных юристов и IT-специалистов или более эффективным решением будет работа с профессиональным подрядчиком.

Если вам ближе путь минимизации риска ошибок, то в hoster.by помогут закрыть вопрос работы с персданными комплексно, а не только в юридической или технической части. Вы при этом получаете индивидуальный «роадмап» с четкими рекомендациями и помощь в создании и аттестации системы. Риск переаттестации или работы с нарушениями законодательства в области защиты персданных в этом случае практически сводится к нулю.

Если по какой-то причине вам потребуется только часть работ – например, отдельно аудит персданных или аттестация системы защиты информации, – то доступны и такие услуги.

Важно запустить процесс приведения своей информационной системы в соответствие с требованиями законодательства уже сегодня, если вы еще не сделали этого ранее. Подайте заявку на бесплатную консультацию наших специалистов. Это займет менее минуты.

Почему hoster.by

  • Компания с комплексным подходом аттестации СЗИ с аудитом персональных данных.
  • Отдельное подразделение из специалистов с опытом приведения бизнес-процессов в соответствие с требованиями законодательства в области персданных.
  • Первый в Беларуси аттестованный коммерческий центр кибербезопасности.
  • Компания, которой уже доверились более ⅔ интернет-проектов страны.

*Партнерский материал. ООО «Надежные программы», УНП 100160363

Мнение
hoster.by
Если вы заметили ошибку в тексте новости, пожалуйста, выделите её и нажмите Ctrl+Enter
Оцените статью:
Отправить редакции myfin.by сообщение об ошибке в тексте
Текст:
Комментарий
Оформление заявки
Оставьте заявку и получите:
Отправить заявку
Оставьте заявку и получите:
Отправить заявку
Расчетно-кассовое обслуживание
Торговый эквайринг
Интернет-эквайринг
Кассовое и терминальное оборудование
Облигации
Ещё
Оформление заявки
Оставьте заявку и получите:
Отправить заявку