Как оператор узнает об утечке персональных данных?

Именно такой вопрос мне задали на недавнем вебинаре, посвященном новым штрафам за нарушения в сфере персональных данных, которые уже в мае вступят в силу. Получить бесплатно запись вебинара можно здесь.

Хороший вопрос. Ответ на него не всем понравится. Дело в том, что в компании так должны быть настроены все процессы, связанные с обработкой персональных данных, чтобы любое несанкционированное вмешательство сразу было бы заметно. Т.е., узнавать об утечках компания, по-хорошему, должна от самой системы обработки данных в компании.

В том, что касается исключительно автоматизированной обработки, когда вся информация и находится, и обрабатывается в информационных системах (ИСПДн), то любое внешнее или несанкционированное воздействие может быть отслежено. Это вопрос настроек информационной безопасности (ИБ).

Правильно настроенные доступы, разграничение пользователей внутри системы, запреты на скриншоты, скачивание и/или пересылку документов и данных даже внутри системы и т.д. Технические и программные средства защиты, настроенные на отслеживание любого внешнего воздействия. Все это поможет и защитить данные, и узнать о факте утечки.

Несколько сложнее с бумажными носителями. Во многих компаниях документы, содержащие персональные данные хранятся чуть ли не на проходе в открытых шкафах. Контроля за тем, кто и когда в эти документы залез, что скопировал (да просто телефоном сфотографировал) и как использовал – никакого.

При таком раскладе об утечке компания может узнать по факту, когда эти документы где-то используют. Самое неприятное – это узнать об утечке из СМИ или из письма Роскомнадзора с требованием объяснить происходящее. Вот это уже будет полный провал.

Так что, если у вас есть какие-то бумажные документы с персональными данными работников, клиентов и контрагентов, то их хранение и использование надо организовать правильно. Чтобы ваш ответственный за персональные данные точно понимал, у кого и когда есть доступы к этим документам, кто и что с ними делает, чтобы минимизировать вероятность утечек. А еще, иметь возможность отследить какие-то лишние действия с этими данными.

Помимо технических и организационных мер, которые хорошо бы не только на бумаге описать, но и в реальности в компании применять, есть такая штука как человеческий фактор. Ваши сотрудники. Те самые, которые непосредственно работают с персональными данными в вашей компании.

В 99% случаев для них вообще не проводятся никакие тренинги. Максимум – дали прочитать длинные регламенты, возможно – провели какие-то тесты на условное знание этих документов. Все. Понимания, в чем серьезность их работы, каких именно правил надо придерживаться и даже понимания того, что они могут получить уголовную статью за свои привычные ежедневные действия, у них нет.

На вебинаре я рассказала случай, свидетелем которому была пару недель назад. Сотрудник одного крупного банка прямо в автобусе громко, хорошо поставленным голосом договаривался по телефону о встречах с клиентами. Обращался по имени и отчеству, называл адрес, тему встречи – открытие дебетовой карты…

Это была чистой воды утечка. Банк о ней узнал от меня, когда я написала их ответственному за организацию обработки персональных данных. А могла бы сразу в РКН обратиться. Так что, еще один важный момент, который надо помнить в части работы с персональными данными – это обучение ваших сотрудников и контроль за их действиями.

#персональныеданные #утечкаданных #операторы

Автор

Елена Федорова

Юрисконсульт