Именно такой вопрос мне задали на недавнем вебинаре, посвященном новым штрафам за нарушения в сфере персональных данных, которые уже в мае вступят в силу. Получить бесплатно запись вебинара можно здесь.
Хороший вопрос. Ответ на него не всем понравится. Дело в том, что в компании так должны быть настроены все процессы, связанные с обработкой персональных данных, чтобы любое несанкционированное вмешательство сразу было бы заметно. Т.е., узнавать об утечках компания, по-хорошему, должна от самой системы обработки данных в компании.
Но тут есть нюансы.
В том, что касается исключительно автоматизированной обработки, когда вся информация и находится, и обрабатывается в информационных системах (ИСПДн), то любое внешнее или несанкционированное воздействие может быть отслежено. Это вопрос настроек информационной безопасности (ИБ).
Как внедрить ИБ
Правильно настроенные доступы, разграничение пользователей внутри системы, запреты на скриншоты, скачивание и/или пересылку документов и данных даже внутри системы и т.д. Технические и программные средства защиты, настроенные на отслеживание любого внешнего воздействия. Все это поможет и защитить данные, и узнать о факте утечки.
Несколько сложнее с бумажными носителями. Во многих компаниях документы, содержащие персональные данные хранятся чуть ли не на проходе в открытых шкафах. Контроля за тем, кто и когда в эти документы залез, что скопировал (да просто телефоном сфотографировал) и как использовал – никакого.
При таком раскладе об утечке компания может узнать по факту, когда эти документы где-то используют. Самое неприятное – это узнать об утечке из СМИ или из письма Роскомнадзора с требованием объяснить происходящее. Вот это уже будет полный провал.
Так что, если у вас есть какие-то бумажные документы с персональными данными работников, клиентов и контрагентов, то их хранение и использование надо организовать правильно. Чтобы ваш ответственный за персональные данные точно понимал, у кого и когда есть доступы к этим документам, кто и что с ними делает, чтобы минимизировать вероятность утечек. А еще, иметь возможность отследить какие-то лишние действия с этими данными.
Слабое звено во внедрении ИБ
Помимо технических и организационных мер, которые хорошо бы не только на бумаге описать, но и в реальности в компании применять, есть такая штука как человеческий фактор. Ваши сотрудники. Те самые, которые непосредственно работают с персональными данными в вашей компании.
В 99% случаев для них вообще не проводятся никакие тренинги. Максимум – дали прочитать длинные регламенты, возможно – провели какие-то тесты на условное знание этих документов. Все. Понимания, в чем серьезность их работы, каких именно правил надо придерживаться и даже понимания того, что они могут получить уголовную статью за свои привычные ежедневные действия, у них нет.
На вебинаре я рассказала случай, свидетелем которому была пару недель назад. Сотрудник одного крупного банка прямо в автобусе громко, хорошо поставленным голосом договаривался по телефону о встречах с клиентами. Обращался по имени и отчеству, называл адрес, тему встречи – открытие дебетовой карты…
Это была чистой воды утечка. Банк о ней узнал от меня, когда я написала их ответственному за организацию обработки персональных данных. А могла бы сразу в РКН обратиться. Так что, еще один важный момент, который надо помнить в части работы с персональными данными – это обучение ваших сотрудников и контроль за их действиями.
В мае штрафов за нарушения в этой сфере станет, во-первых, больше, во-вторых, сами штрафы станут больше. Ошибаться будет очень дорого. Если не уверены в том, что у вас обработка персональных данных проходит правильно, если хотите понять, где в ваших процессах слабые места или вам нужно обучение для сотрудников, приходите к нам на услугу Создание документального фонда по работе с персональными данными Мы не только поможем с документами, но и проведем аудит ваших процессов, а при необходимости – тренинги для ваших сотрудников и ответственного.
