Утечка персональных данных и другие нарушения операторов

Персональные данные (ПД) - это любая информация, относящаяся прямо или косвенно к определённому физическому лицу. Без письменного согласия человека обработка персональных данных оператором, а также их передача третьим лицам  запрещена.

Субъект ПД - физическое лицо, давшее согласие на обработку своих данных.

Оператор ПД - юридическое лицо, государственная организация или ведомство, которое собирает и обрабатывает данные.

Есть четыре основных вида персональных данных, которые помогают идентифицировать человека:

  • Общие - данные, которые чаще всего есть в паспорте. Например,Ф. И. О., страна и город, дата рождения.
  • Специальные - национальность, вероисповедание, состояние здоровья, политические и философские взгляды, наличие судимости и другие личные данные человека. Эту информацию получают только с письменного разрешения.
  • Биометрические - биологические характеристики человека: внешние данные, отпечатки пальцев, голос, группа и резус-фактор крови, ДНК-анализ.
  • Иные - любые другие персональные данные, которые могут меняться с течением времени - например, социальный статус, трудовой стаж, размер заработной платы или номер телефона (согласно ФЗ № 152 «О персональных данных»).

После того, как ПД обработаны,  они отправляются на хранение в архив. Это может быть как отдельное специализированное помещение (если речь о бумажных документах), так и электронное хранилище (например, облачное). 

Данную информацию стремятся заполучить хакеры или конкуренты, чтобы заработать, нанести вред компании, украсть клиентов.

Утечка ПД обычно происходит по:

  • неосторожности (работник забыл правила безопасности и переслал с корпоративной почты на свою личную список клиентов – их Ф.И.О и номера телефонов. Он сделал это для своего удобства. Например, чтобы поработать с базой дома или посмотреть ее в телефоне по пути домой).
  • халатности аботник распространил в интернете пароли от рабочих систем, где есть ПД, и любой конкурент теперь может войти в клиентскую базу компании, скопировать или изменить интересующие его данные).
  • умышленно (работник передал кому-то конкретные ПД за денежное вознаграждение).

В случае попадания персональных данных в сеть «Интернет» они автоматически становятся доступными злоумышленникам, которые в любой момент способны использовать их в своих преступных целях.

Данную информацию необходимо хранить по строгим правилам, не разглашать и не допускать ее утечки за пределы компании.

Ответственность за нарушение законодательства в области персональных данных предусмотрена ст. 13.11 «Нарушение законодательства РФ в области персональных данных» КоАП РФ. Меры по защите ПД должны соблюдать не только операторы, но и субъекты.

2_81.jpg

Оператору ПД необходимо:

  • Внедрение системы идентификации и аутентификации сотрудников, имеющих к ним доступ;
  • Фиксация в журналах учета всех действий специалистов, осуществляющих обработку данных, позволяющая понять, что конкретно они делали с охраняемыми законом сведениями;
  • Установка средств антивирусной защиты;
  • Использование средств криптографической защиты для шифрования данных при хранении и передаче;
  • Применение способов и мер, которые могут предотвратить утечку данных по физическим каналам, например, путем фотографирования экрана компьютера, снятия звуковой информации, перехвата электромагнитного излучения.

Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и в крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам. Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить.

Субъекту ПД:

  • Не передавать персональные данные компаниям, не зарегистрированным в качестве операторов.
  • Осторожнее относиться к любым платежам в сети Интернет.
  • Всегда изучать текст согласия на обработку персональных данных, определяя, какими способами она производится, каковы цели обработки, возможность передачи сведений третьим лицам и в каких случаях.

Персональные данные - это конфиденциальная информация. Они помогают идентифицировать пользователей, но, чтобы этот процесс происходил безопасно для субъекта и оператора, нужно соблюдать все вышеперечисленные меры, которые позволят минимизировать риски по утечке информации.





Версия для печати