
Сбор, обработка и передача персональных данных

Сбор, обработка и передача персональных данных — неотъемлемая часть деятельности практически любой компании. Особо актуальной защита персональных данных становится сейчас: количество утечек растёт, а законодательство ужесточается. Как обезопасить бизнес от возможных угроз, по мнению Лаборатории Касперского.
Какие данные относятся к персональным
Действующее законодательство (Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ) под персональными данными понимает любую информацию, которая относится к определённому или определяемому физическому лицу прямо или косвенно.
При этом в законе мы не найдём конкретного перечня персональных данных: настолько широкое определение не позволяет составить универсальный список.
По сложившейся практике (в том числе судебной), к персональным данным относят:
- ФИО и дату рождения;
- паспортные данные;
- адрес и номер телефона;
- данные водительского удостоверения;
- место работы и доход;
- отпечатки пальцев и ДНК гражданина;
- радужную оболочку глаз;
- индивидуальные анатомические особенности;
- сведения из медицинских книжек, личных дел;
- информацию о национальной принадлежности и т.д.
Все подлежащие защите персональные данные подразделяют на четыре категории — общие, специальные, биометрические и иные. И если первые три чаще не вызывают вопросов, то категория «Иные» заставляет задуматься.
Обратите внимание: одни и те же данные, но указанные не в комбинации, а по отдельности, могут не иметь статус персональных. Так, например, Верховный суд РФ полагает, что номер телефона без ФИО и других идентификаторов не относится к персональным данным.
Как обезопасить процесс сбора персональных данных
Ключевой момент: собирать персональные данные компания может только в случае, если имеет на это юридическое основание. Достаточным основанием считаются действующее законодательство, соответствующий договор или согласие — как в электронном виде, так и в бумажной форме.
Для безопасного сбора персональных данных эксперты также рекомендуют учитывать еще несколько советов:
- Обязательно сохраняйте согласие. При проверке или при возникновении претензий со стороны человека вы всегда сможете предоставить электронный или бумажный документ, который подтвердит факт получения согласия на обработку персональных данных.
- Незамедлительно избавляйтесь от ненужных данных. Если по какой‑то причине в вашем распоряжении оказались данные, собранные по ошибке, следует как можно скорее их удалить.
- Не собирайте данные «впрок». Накапливать данные, которые для такущих задач не нужны — большая ошибка. Компаниям следует собирать персональные данные, действительно необходимые для решения конкретных задач.
Защита персональных данных в процессе хранения
Хранение — наиболее ответственная составляющая всей работы с персональными данными. Необходимо чётко определить, где и как хранятся персональные данные, у кого есть доступ к ним и как происходит обработка. Минимизировать риски при хранении персональных данных помогает разработка регламентов и контроль за их исполнением.
Эффективный метод — составление «карты», включающей в себя все процессы, связанные с персональными данными. Также для безопасного хранения персональных данных рекомендуется:
- предоставлять доступ к данным только тем лицам, которым он действительно необходим;
- незамедлительно удалять персональные данные, которые больше не нужны;
- проводить анонимизацию данных, если нет потребности в их использовании в первозданном виде;
- по возможности проводить псевдоанонимизацию персональных данных;
- отказаться от использования новых сервисов для хранения и обработки персональных данных до получения гарантий их безопасности;
- не применять тестовую инфраструктуру для работы с персональными данными.
Техническая защита начинается с самого простого — установки и использования хотя бы базовых решений для конечных точек, которые помогут заблокировать массовые киберугрозы.
Например, линейка решений для защиты конечных точек Kaspersky Security для бизнеса включает в себя набор функций, которые гарантируют безопасность данных на компьютерах, серверах, мобильных устройствах компании.
Для хранения данных следует выбирать только те носители, к которым исключён доступ посторонних. Если отказаться от бумажной документации нет возможности, хранить такие документы нужно в надежно защищённых местах — например, в закрывающемся ящике или сейфе. На рабочем столе бумажные носители находятся только тогда, когда сотрудник с ними работает.
Важно. Хранить пароли следует в специальных программах. Такая информация не должна быть записана в ежедневнике или на стикерах: раскрытие пароля позволит злоумышленникам легко получить доступ к персональным данным.
Как передавать персональные данные без риска для бизнеса
Любые действия по передаче персональных данных согласовывают и протоколируют. Каждый сотрудник компании, работающий с персональными данным, в обязательном порядке информируется обо всех процедурах.
При передаче персональных данных также соблюдают следующие требования:
- использование шифрования при передаче данных;
- отсутствие доступа с правами администратора к системам с персональными данными у компаний‑подрядчиков;
- заключение договора поручения на обработку персональных данных при их передаче в другие компании.
Ещё один важный момент, о котором нередко забывают: доступ к персональным данным должен разграничиваться по экстерриториальному признаку.
Что это означает? Если процесс трансграничной передачи персональных данных не был урегулирован, доступ граждан одной страны к персональным данным граждан другой страны не допускается.
Одна из главных составляющих безопасности при работе с персональными данными — профессионализм сотрудников. Повысить осведомленность персонала о существующих угрозах и правилах работы с персональными данными помогут тренинги. Такое обучение научит принимать правильные решения и минимизируют риски утечки данных в результате человеческого фактора.
На платформе Kaspersky Automated Security Awareness Platform представлены основные и экспресс‑курсы по кибербезопасному поведению. Простой и при этом эффективный онлайн‑инструмент позволяет освоить нужные в работе навыки в короткие сроки. Микромодули и гибкий подход дают возможность изучать только то, что действительно необходимо. На платформе доступно отслеживание данных учащихся в реальном времени: можно узнать, каким отделам нужно уделить максимум внимания.
В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», информационно-правового портала«Гарант.Ру», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, сайта klerk.ru, сайта www.buhonline.ru, а также материалы и обзоры из их телеграм-каналов.
Владельцам бизнеса
Штрафов и конфликтов с контролирующими организациями вы можете избежать полностью, если заключите с нами Договор на Аутсорсинг бухгалтерских услуг
ООО «Аврора Консалт» — команда аттестованных специалистов, которая готова взять на себя: бухгалтерский, налоговый и кадровый учёт, составление отчётности, ведение 1С, расчёт заработной платы, а также юридическую поддержку. Если бухгалтерский и налоговый учёт, уплата и возврат налогов вызывают у вас затруднения, то мы подхватим его на лету.
Мы обеспечим прозрачный учёт, защиту базы данных и предоставим страховку от штрафов.
В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ЖСК и СНТ зарегистрированными и ведущими свою деятельность на территории Санкт-Петербурга и Ленинградской области.
Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.
Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.
Все возникающие вопросы вы можете задать, связавшись с нами любым удобным для вас способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:
или оставить заявку в чате.