В последние годы законодательства различных стран, регулирующие правила работы с персональными данными, ужесточаются. При этом количество утечек год от года только растет. Если раньше они грозили в основном судебными исками и репутационным ущербом, то теперь штрафы от регуляторов могут составлять значительную часть потерь компании в результате инцидента. Поэтому мы решили опубликовать ряд советов, которые помогут вам организовать безопасные процессы сбора, хранения и передачи данных в своей компании…
Сбор персональных данных
Главное: cобирайте данные, только если имеете на это достаточно юридических оснований. Таким основанием может быть закон страны, в которой ваша компания работает; договор, предусматривающий обработку ПДн; или же явно выраженное согласие в электронной или бумажной форме. Кроме того:
- сохраняйте факт получения согласия на обработку и хранение на случай возникновения претензий или проверок регулятора;
- не собирайте данные, которые реально не нужны для ваших рабочих процессов (данные не могут собираться «на всякий случай»);
- если не требующиеся для работы данные были собраны в силу какой-либо ошибки или недопонимания, незамедлительно удалите их.
Хранение персональных данных
Если вы в принципе собираете персональные данные, то важнее всего четко понимать, где они хранятся, кто имеет к ним доступ и как они обрабатываются. Для этого разумно составить своеобразную «карту», на которой отмечены все процессы, связанные с ПДн; разработать регламенты по хранению и обработке данных и следить за их четким исполнением. Также мы советуем:
- хранить ПДн исключительно на носителях, к которым не имеют доступа посторонние;
- ограничить доступ к ПДн минимальным количеством лиц (такой доступ должен быть только у тех, кому он действительно необходим);
- оперативно удалять ПДн, которые больше не требуются непосредственно для работы;
- если рабочие процессы предусматривают хранение документов на бумажных носителях, то их следует помещать исключительно в защищенные места (например, закрывающиеся на ключ сейфы);
- ненужные документы на бумажных носителях необходимо уничтожать с помощью шредеров;
- если данные не нужны в явном виде, то следует провести их анонимизацию (лишить уникальных идентификаторов, чтобы даже в случае утечки было невозможно идентифицировать субъекта);
- если провести анонимизацию не представляется возможным, следует провести псевдоанонимизацию данных — преобразовать ПДн в уникальную строку, так чтобы идентификация субъекта была невозможна без дополнительной информации;
- избегайте хранения ПДн на рабочих устройствах и внешних накопителях (они могут быть украдены или потеряны, а данные с компьютера могут быть похищены злоумышленником);
- не храните и не обрабатывайте реальные ПДн на тестовой инфраструктуре;
- не используйте новые сервисы для хранения и обработки данных, пока не убедитесь, что они выполняют базовые требования безопасности.
Передача персональных данных
Все процессы, связанные с передачей персональных данных, должны быть запротоколированы и согласованы. Соответственно, все сотрудники, имеющие доступ к ПДн, должны иметь четкие инструкции о том, как в вашей компании данные должны передаваться, какие корпоративные или сторонние сервисы для этого могут использоваться и кому они могут быть переданы. Помимо этого, следует следить за тем, чтобы:
- у организаций-подрядчиков (например, MSP-сервисов) не было доступа с правами администратора к системам, содержащим ПДн;
- доступ к данным разграничивался по экстерриториальному признаку (данные граждан одной страны не должны быть доступны из других стран, если процесс трансграничной передачи не урегулирован);
- при передаче ПДн использовалось шифрование (особенно это важно при пересылке данных по электронной почте);
- при передаче ПДн в сторонние организации с ними был заключен договор поручения на обработку ПДн (DPA);
- у вас было юридическое право передавать ПДн третьим лицам (то есть на это есть четкое согласие от субъекта ПДн, это прописано в договоре или того требует закон).
Разумеется, ни знакомство с этими советами, ни подписанные всеми сотрудниками локальные нормативно-правовые акты не могут исключить человеческие ошибки. Поэтому, кроме всего прочего, мы рекомендуем периодически проводить тренинги по повышению осведомленности сотрудников о современных угрозах в сфере информационной безопасности и приватности. Желательно выбирать платформы для обучения, имеющие уроки, касающиеся работы с персональными данными.