Персональные данные: определение и что к ним относится

Персональные данные клиентов — это личные сведения о клиентах: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы. Разглашение или утечка таких данных за пределы компании преследуется по закону и грозит штрафом до 1 млн. руб., в особых случаях до 18 млн. За неуведомление субъекта об утечке оператору могут назначить штраф от 40 000 до 80 000 Р. Если компания входит в Единый реестр субъектов малого и среднего предпринимательства, заплатит штраф как ИП — от 20 000 до 40 000 Р.

Регламентирует сбор и охрану персональных данных Федеральный закон РФ № 152-ФЗ «О персональных данных», определяет требования по работе с персональными данными (ПДн) российских граждан, обеспечивает защиту их интересов и надлежащий уровень защиты. Суть закона в том, что собирать, обрабатывать и хранить ПДн людей (сотрудников или клиентов, подписчиков или посетителей сайта) можно (за некоторыми исключениями) только с их согласия.

Злоумышленники, которые используют данные о клиентах:

• Хакеры, с целью шантажа и вымогательства.
• Конкуренты, чтобы нанести вред репутации бизнеса и украсть клиентов.
• Сотрудники, случайно, из-за незнания законов, технических правил, как пользоваться информацией в интернете, и этических норм.
• Мошенники и СПАМеры.

Ошибки сотрудников, которые необходимо контролировать:

1. В системе (сайт, приложение, ПО) не отражено согласие на обработку персональных данных;
2. Обращения клиента игнорируются, когда тот просит прекратить использовать его персональные данные;
3. В систему входят третьи лица по логину и паролю работника.

Примеры умышленных и не умышленных сливов персональных данных сотрудниками компании

Сливы происходят по неосторожности или халатности работника, компании, предпринимателя, либо умышленно.

Примеры слива данных по неосторожности (глупости) сотрудника, в чьи обязанности входит обработка персональных данных в клиентской базе работодателя.

• Забыв правила безопасности, сотрудник переслал с корпоративной почты на личную список клиентов — ФИО и номера телефонов. Он сделал это для удобства, чтобы поработать с базой дома, без злого умысла.
• Еще один часто встречающийся случай - финишг: хакер присылает работнику письмо с электронной почты вроде avito@bjkl.ru или amazon1@lmn.com, а в письме вирус, скачивающий нужную информацию с компьютера адресата. Работник может не заподозрить плохого и перейти по ссылке.
• Распространение работником в интернете пароля от рабочих систем, где есть персональные данные – это халатность, т.к. конкуренты теперь могут войти в клиентскую базу компании или ИП, скопировать или изменить интересные ему данные.
• Умышленные сливы участились во время пандемии и режима удаленной работы.

Как уберечь клиентскую базу?

1. Проводить аудиты бизнес-процессов, в которых используются персональные данные клиентов.
2. Издать локальные акты, которые описывают порядок работы оператора с персональными данными, и ознакомить с ними работников. Сделать это можно онлайн, в информационных системах компании.
3. Ознакомить клиента с тем, как вы работаете с данными в простой и понятной форме. Обработка данных незаконна, если на это нет согласия субъекта.
4. Вести учет носителей персональных данных: вносить сведения об используемых флешках, персональных компьютерах, серверах в специальный журнал (бумажный или электронный).
5. Проводить с работниками обучение, тесты, опросы, совещания и конференции на темы безопасности, утечки и ответственности за передачу личной информации.
6. При выявлении нужно восстановить техническую защиту информации — сменить пароли, поставить новое средство защиты.
7. Если есть подозрения, что произошел слив корпоративных паролей или персональных данных, то клиентам нужно разослать уведомление о том, что конфиденциальность данных, возможно, нарушена.

Программное обеспечение, необходимое для сохранения и защиты персональных данных

• ПО, алгоритмы которого настроены на обнаружение, оповещение и предостережение от несанкционированного доступа вредоносными программами и вирусами 
• Операционная система со встроенными средствами защиты информации для работы с данными ограниченного доступа. Например, Astra Linux Special Edition – это единственная в стране ОС, которая имеет полный набор сертификатов Минобороны России, ФСТЭК России и ФСБ России и входит в реестр Минкомсвязи России. Рекомендована для использования на предприятиях оборонной промышленности, а также в специализированных программно-аппаратных комплексах, предназначенных для обработки данных, составляющих государственную тайну, в том числе с грифом особой важности 
• Аутентификаторы и электронные цифровые подписи - помогут обезопасить данные через дополнительную сверку пароля пользователя, в виде приложения на телефоне или usb-устройства.
• Межсетевые экраны - послужат защитой конфиденциальной информации от несанкционированного доступа накладного типа в автономных и сетевых автоматизированных рабочих местах (АРМ)
• Софт для слежения за компьютерами сотрудников. С помощью этих специальных программ действия работников можно частично контролировать как выполняются рабочие функции, к каким сетям подключается, какие носители информации использует.

Важно! Серверы, на которые собирают персональные данные граждан РФ, должны быть физически размещены в России — это называется «требование о локализации». Если не обеспечить это, то оператору средней или крупной организации грозит штраф до 18 млн. руб.

Что делать, если работник слил персональные данные

1. Провести служебное расследование: создать комиссию, изучить обстоятельства. По результатам составить акт о нарушении должностных обязанностей. Только с актом, как результатом служебного расследования, издать приказ и наложить дисциплинарное взыскание.
2. Сотрудника, сливающего персональные данные клиентов, по результатам расследования, работодатель может привлечь к дисциплинарной ответственности, а также обратиться в полицию или прокуратуру, для привлечения работника к административной или уголовной ответственности.
3. Потребовать письменное объяснение, если стало известно, что работник передал клиентскую базу. Работник должен дать объяснение минимум в течение двух рабочих дней: чем скорее, тем лучше. Если работник не предоставит письменное объяснение или откажется давать, работодатель составляет об этом акт.
4. Издать приказ о наложении дисциплинарного взыскания, в течение одного месяца со дня обнаружения проступка, но не позднее шести месяцев со дня совершения проступка. С приказом работник должен ознакомиться и поставить подпись.

Помните, что утечку данных лучше предупредить, чем устранять последствия!