Александр Барышников, руководитель направления Департамента консалтинга и аудита «Информзащита», подвел итоги 2016 года в вопросах защиты персональных данных. Без сомнения, 2016 год должен запомниться операторам персональных данных прежде всего яркостью реализации Федерального закона
Заработала практика блокировки Интернет-ресурсов, на которых выявлены нарушения законодательства РФ в области защиты ПДн. Существенным и самым громким на сегодняшний день событием подобной блокировки стало ограничение доступа из российского сегмента сети Интернет к популярной среди профессионалов социальной сети LinkedIn в ноябре 2016 года.
Нарушением со стороны социальной сети являлось невыполнение требования о «локализации базы данных», и данному требованию Роскомнадзор уделяет немалое внимание в ходе проведения проверок по вопросам защиты ПДн всех операторов персональных данных. В рамках проверки специалисты Роскомнадзора запрашивают и уточняют информацию о расположении баз данных, с помощью которых осуществляется сбор, запись, систематизация и другие действия с персональными данными граждан Российской Федерации. Также в 2016 году для исполнения этой нормы в электронную форму уведомления на сайте службы добавлены отдельные поля, посвящённые этому требованию и обязательные к заполнению всеми операторами ПДн.
Кроме изменений, внесенных
В данном вопросе об уточнении термина «персональные данные» хотелось бы обратить внимание на существующий в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных документ «Матрица персональных данных», который в настоящее время не распространяется Роскомнадзором. Имеет смысл предложить Роскомнадзору сделать его публичным и модернизируемым, разместив на официальном сайте Службы, обновлять его после открытых дискуссий среди профессионалов, как это делают в отношении своих документов ФСБ и ФСТЭК Российской Федерации.
На основании проведенных проверок в этом году, Александр Барышников хотел донести до операторов ПДн тот факт, что специалисты Роскомнадзора прекрасно разбираются в вопросах обработки ПДн, и не стоит надеяться на достаточность соблюдения Закона о персональных данных только в отношении нескольких общеизвестных внутренних процессов, таких как кадровый учет, бухгалтерский и налоговый учет и страхование работников. Специалисты Роскомнадзора прекрасно знают о существовании таких процессов как подбор персонала, оформление командировок, оформление доверенностей, организация контрольно-пропускного режима и т.п. Г-н Барышников рекомендовал не забывать учитывать программы лояльности и процессы оказания поддержки клиентам, так как данные процессы обработки ПДн также хорошо известны представителям Роскомнадзора благодаря сайтам и описанным на них услугам.
Также необходимо сказать о вопросах защиты ПДн в информационных системах и начать с сайтов, которые у большинства операторов ПДн также являются информационными системами персональных данных, но не учитываются как ИСПДн, хотя с их помощью собирается достаточно много персональных данных. Причем не только с помощью размещаемых форм опросов, форм ввода контактных данных, регистрационных данных или данных о покупателях, но и с помощью встроенных сервисов таких как Google Analytics или «Яндекс Метрика», осуществляющих сбор ip-адресов, cookies, сведений об устройстве пользователя и др.
Продолжая вопрос об информационных системах персональных данных, стоит отметить, что к таким системам могут относиться мобильные приложения, внутренние порталы, файловые серверы, системы колл-центров и т.д. Не стоит ограничиваться указанием только кадровой и бухгалтерской системы. Немалую часть информационных систем операторы ПДн демонстрируют при первых встречах с Роскомнадзором: СКУД, системы заявок на ресепшн, личные кабинеты на сайтах, системы колл-центра, мобильные приложения.
