Что сделать прямо сейчас, чтобы защитить сведения о сотрудниках и клиентах
Рассказываем, что предусмотреть, чтобы снизить риск утечки персональных данных, которыми владеет бухгалтерия. Ведь штрафы за нарушения растут, и наказывают компании все чаще. Узнайте, что сделать прямо сейчас и как действовать, если потеря данных все-таки произошла.
Проще
Скачайте образец регламента допуска к обработке персданных и приказ об утверждении перечня допущенных к работе с персданными.
Как уберечь персональные данные, которые есть в распоряжении бухгалтерии
Закон не устанавливает, как именно компания должна организовать защиту персданных. Каждая организация решает этот вопрос самостоятельно, разработав свою собственную стратегию. Подсказываем основные действия.
Защитите персданные от внутренних угроз. В первую очередь нужно ограничить круг лиц, которые имеют доступ к персональным данным сотрудников.
Порядок допуска к личной информации сотрудников и других физлиц закрепите в локальном акте, например в регламенте допуска к обработке персональных данных. Также издайте приказ, в котором зафиксируете должности, Ф. И. О. сотрудников и закрепленные за ними объекты обработки (п. 13 Положения, утв. постановлением Правительства от 15.09.2008 № 687). Образец 1.
- Перечень сотрудников
Перечень сотрудников
Зафиксируйте, кто в компании имеет допуск к персональным данным работников и других физлиц.- Защита персданных
Защита персданных
Чтобы сотрудники бережно относились к чужим персональным данным, подпишите с ними соглашения о неразглашении информации.
Обязанность компании — обеспечить физическую сохранность персональных данных. Расскажите директору, что для этого нужно оборудовать помещение, где будут храниться документы, несгораемыми шкафами с замками. Доступ в такое помещение необходимо ограничить и установить камеры видеонаблюдения.
Еще один обязательный пункт — информационная защита. Компания должна исключить возможность утечки персональных данных, которые хранятся под ее контролем в электронном виде. Привлеките к этой работе системного администратора или специализированную компанию.
Защитите персданные от внешних угроз. Под внешней защитой персональных данных понимают любые меры, которые позволяют уберечь личную информацию сотрудников, клиентов и других физлиц от утечки. Так, стоит ограничить доступ посетителей в помещения компании, где хранятся данные, установить с помощью ИТ-специалистов технические средства защиты, пользоваться только лицензионными программами, регулярно обновлять на компьютерах антивирусы.
К защитным мероприятиям также относят разработку положения о персональных данных, в котором будет четко зафиксировано, как передавать персональные данные, как их хранить, копировать, уничтожать и т. д.
Разработайте регламент, как действовать при утечке персональных данных. Этот документ поможет не потерять время на организацию расследования и вовремя уведомить Роскомнадзор в случае утечки. К тому же регламент продемонстрирует контролерам, что компания приняла все необходимые меры после утечки.
В регламенте распределяют ответственность между подразделениями. Например, кто должен следить за этой работой и обнаружить такой инцидент. Кто будет устранять его последствия и собирать информацию для того, чтобы уведомить Роскомнадзор. Обычно эту работу возлагают на службу информационной безопасности компании. А вот квалифицируют инцидент в качестве утечки, проводят оценку вреда субъектам и подают уведомления, как правило, юристы.
- Ответственность
Ответственность
Напишите, что работники обязаны сообщать о случаях утечки персданных.- Уведомление
Уведомление
Укажите, что об утечке компания обязана уведомить Роскомнадзор.- Расследование
Расследование
Зафиксируйте, что по факту утечки нужно провести внутреннее расследование, а о его результатах уведомить Роскомнадзор.
Что делать, если утечка персданных уже произошла
Квалифицировать инцидент с персональными данными как утечку можно по двум признакам. Первый — персональные данные стали доступны третьему лицу, у которого нет прав на работу с ними. Даже если это вышло случайно. Второй — нарушены права человека, чьи данные были раскрыты.
Классический пример утечки: злоумышленники взломали сервер компании и получили доступ к базе клиентов. Но бывают и другие ситуации. Например, по неосмотрительности работников копия базы данных клиентов попала в интернет. Или, допустим, сотрудник оставил на рабочем столе документы, среди которых были сканы паспортов клиентов, а посетители сфотографировали их. Даже если бухгалтер случайно направил справку о размере зарплаты по ошибочному адресу электронной почты, это тоже утечка персданных.
Не имеет значения, сколько сведений утекло. Даже если права одного человека нарушены, как в случае со случайным раскрытием размера зарплаты работника, у компании возникает обязанность уведомить Роскомнадзор.
Не любой инцидент с персональными данными признают утечкой. Например, менеджер при увольнении со злости удалил базу данных клиентов. Это считают инцидентом безопасности, но, поскольку утраты конфиденциальности данных нет, уведомлять Роскомнадзор не нужно.
Что предпринять в первые 24 часа после утечки. Если обнаружили утечку, у компании есть сутки, чтобы уведомить Роскомнадзор. Сделать это можно на бумаге или электронно на сайте ведомства (pd.rkn.gov.ru/incidents/form). Второй вариант проще: не придется тратить время на отправку письма по почте и придумывать форму, ведь утвержденной нет.
В уведомлении опишите известную информацию об инциденте: какие и чьи данные утекли, из каких информационных систем. Приведите предполагаемые причины инцидента, вред и меры, которые приняли, чтобы устранить последствия. Понадобятся еще Ф. И. О., электронная почта, адрес и номер телефона контактного лица, которое будет в дальнейшем взаимодействовать с Роскомнадзором по поводу утечки (п. 2 Порядка, утв. приказом Роскомнадзора от 14.11.2022 № 187).
Инициировать внутреннее расследование — второй шаг в первые 24 часа. На само расследование у компании будет трое суток. Обычно создают рабочую группу, в которую включают специалистов безопасности, юриста, бухгалтера или кадровика, IT-специалистов. При необходимости можно привлечь сотрудников из других подразделений. Например, тех, кто непосредственно использует утекшие данные в своей работе. Результат их работы нужно зафиксировать в акте. Порядок, как проводить расследование, и форму акта заранее закрепите внутренним регламентом.
Срок для уведомления начинают отсчитывать с того момента, когда об утечке узнали оператор, Роскомнадзор или любое третье лицо (ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ). Отсрочки для уведомления закон не дает. Поэтому, если утечку персданных выявили в пятницу, уведомлять Роскомнадзор и начинать расследование придется в выходные.
Что нужно успеть сделать в течение 72 часов. Помимо первого уведомления об утечке, придется направить еще одно — о результатах внутреннего расследования, которые подтвердят либо опровергнут факт утечки. Срок — в течение 72 часов после того, как выявили инцидент (п. 2 ч. 3.1 ст. 21 Закона № 152ФЗ).
К уведомлению приложите все имеющиеся доказательства, например копию акта или протокола о результатах, выгрузки из информационных систем. Порядок направления документов тот же, что и с первым уведомлением: можно сделать это на бумаге или в электронном виде.
за правильный ответ
