Персональные данные: что изменилось для бизнеса с принятием нового закона?

Чтобы минимизировать случаи мошенничества, а также сохранить персональную информацию граждан в неприкосновенности, в Беларуси принят закон "О защите персональных данных". Вместе с менеджером по защищенным продуктам hoster.by Дмитрием Матюхиным разбираемся в том, что изменилось для бизнеса после 15-го ноября, когда закон вступил в силу, и как бизнесу соответствовать новым требованиям.
hoster2.jpg
Кого коснулся новый закон?

В широком смысле он затронул всех. Для физических лиц — это потенциальная возможность не волноваться за сохранность своих персональных данных, для бизнеса — необходимость эту сохранность обеспечивать.

Однако с 15 ноября понятие персональных данных существенно расширилось. Теперь персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

К ним относятся данные, полученные как с использованием средств автоматизации (например, формы заказа или регистрации на сайтах, формы обратной связи, базы данных в CRM-системе), так и без них, если данные систематизируются по определенным критериям, например, составляются списки, картотеки.

То есть, если я в магазине для получения бонусной карты оставляю сведения из паспорта и номер телефона…

…и думаете, что оставили свои персональные данные, то будете правы. Любая форма для сбора данных, по которым вас можно идентифицировать — это форма для сбора персональных данных. И не важно, она размещена онлайн или предлагается вам в бумажном виде.

Вопрос всегда в том, кому в руки попадут эти сведения. Взять хотя бы номер телефона: если для вашего соседа эти цифры будут лишь возможностью связаться с вами, то условный сотрудник банка может по нему достать любые данные о вас, начиная с имени-фамилии, номера паспорта, прописки, и заканчивая сведениями о взятом в рассрочку смартфоне.

Яркий пример утечки был в начале 2000-х, когда в сеть были слиты гигантские телефонные справочники одного из мобильных операторов. По фамилии можно было найти номер телефона человека и наоборот: по номеру узнать данные о его владельце. Возможно, кому-то из обывателей это и удобно — в руках был по сути бесплатный аналог "Жди меня". Но сведениями могли воспользоваться и злоумышленники.
hacker1.jpg
Что изменилось для бизнеса с 15-го ноября?

Изменение, которое стало заметно посетителям сайтов визуально — это появление согласия на обработку персональных данных. На сайте, собирающем данные пользователей, должно быть четко определено "Я согласен" и прописано, какой массив данных и с какой целью вы будете использовать для обработки и хранения.

Основные же изменения касаются внутренних процессов компании — это организационные, юридические и технические меры, которые необходимо предпринять для сохранности персональных данных ваших клиентов: назначить ответственного за персональные данные, определить пути движения данных в рамках компании, подготовить регламенты, побеспокоиться о защищенном хостинге и аттестации своей системы, в которой персональные данные хранятся.

Похоже, что список необходимых действий для защиты собираемых персональных данных немаленький. С чего лучше начать?

Прежде всего нужно назначить ответственного за защиту персональных данных в компании. В трудовых договорах тех сотрудников, кто будет работать с персональными данными, необходимо прописать, что у них есть не только обязанности по работе с массивом информации, но и ответственность за его несанкционированное распространение. Следующим шагом будет подготовка внутренних регламентов по работе с персональными данными, где будут определены пути перемещения персональных данных клиентов в вашей компании, а также те пользователи, которые с ними непосредственно взаимодействуют.

Напомню, с мая 2021 г. в Беларуси введена уголовная ответственность за утечку персональных данных, а с ноября появился контролирующий и исполнительный орган — Национальный центр защиты персональных данных. Если сотрудник, в трудовом договоре которого прописана ответственность за их несанкционированное распространение, допустил утечку, то вопросы, касающиеся ошибки, будут адресоваться ему. Если же вы не прописали ответственных ни в договоре, ни в регламенте, то при серьезных утечках вопросы у правоохранительных органов могут возникнуть и к руководителю организации.

Пора искать специалиста в области информационной безопасности?

Нет. У вас прежде всего должен быть толковый юрист. Как правило именно юрист будет ответственен за хранение персональных данных. Вам также необходимо описать перемещение персональных данных от момента их получения вашей компанией, разработать политику, в которой прописано, какие сведения будут собираться, как храниться, куда передаваться, кто имеет к ним доступ, и именно сотрудник, ответственный за персональные данные, будет контролировать, чтобы созданный регламент соблюдался.

А что насчет технической стороны вопроса?

Бизнесу с вопросами по технической части можно обращаться непосредственно к своему хостинг-провайдеру. Возьмем hoster.by: уже сейчас мы храним персональные данные в системе, аттестованной согласно 66-му приказу Оперативно-аналитического центра. Это достаточно сложный процесс: каждый тип информации соответствует определенному классу защиты, который необходимо обеспечить. Для каждого класса есть целый список требований, которые должны быть применимы к конкретной информационной системе. Выполнение этих требований позволяет получить аттестат соответствия классу защиты. С ним вы можете спокойно хранить, обрабатывать информацию, передавать ее из одной аттестованной системы в другую. Тем самым вы не будете нарушать законодательство.

По сути, если вы выполняете все эти требования, у вас получится сложная комбинация из юридических процессов и технической части. В этом случае ваша информационная система будет достаточно строго защищена, а вся внутренняя информация — строго разграничена по доступам.

Подчеркну, хостинг-провайдер, который не получил лицензию ОАЦ, не имеет право аттестовывать вашу систему, он может закрыть лишь часть требований, которые находятся в его зоне ответственности. Оставшиеся требования находятся на стороне бизнеса. И выполнить их должна сама компания с помощью организаций, лицензируемых ОАЦ.

Получить аттестацию — это долго?

Аттестация — достаточно долгий процесс. Тут все зависит от величины и сложности системы. Из опыта многих наших коллег скажу, что аттестация, особенно если системы достаточно объемные, может занимать порядка года. Рекордно быстрый срок, о котором мы слышали, для небольшой системы — месяц.

Компания, которая хочет получить аттестацию, может обратиться к лицензиару, но лучше сразу в hoster.by, поскольку мы сотрудничаем с одной из лицензированных ОАЦ компаний. Для вас будет проведен аудит, составлена техническая документация, техническое задание, где будет расписано построение структуры, какие компоненты входят в информационную систему и пр. После этого в соответствии с разработанной информационной системой hoster.by подготовит необходимую инфраструктуру, в которой будут храниться и обрабатываться персональные данные ваших клиентов. И после этого можно будет получить аттестат.

Так как все вышеперечисленное — достаточно объемный кусок работы, естественно, разработка займет много времени.
hacker2.jpg
Звучит хорошо, но ведь это дорого. Есть ли возможность разумно сократить расходы?

Достаточно дорого стоит непосредственно сам процесс аттестации. Выполнение всех информационно-технических мероприятий — это тоже большое вложение денег. Чтобы минимизировать затраты, мы предлагаем клиентам специальные решения, которые уже содержат сертифицированные средства защиты информации.

Допустим, вы хотите разместить свою собственную информационную систему и самостоятельно аттестовать ее. Для этого вам сначала нужно приобрести всевозможные комплектующие, серверное оборудование, аттестованные средства защиты информации. Если же они не имеют сертификата, то их сертифицировать.

А можно пойти другим путем: обратиться в hoster.by, получить бесплатную консультацию по вопросу хранения персональных данных и после этого запустить полный процесс аттестации — от проведения аудита и построения информационной системы до получения самого аттестата.

Второй вариант позволит существенно сэкономить. Во-первых, инфраструктура hoster.by уже аттестована в соответствии с законодательством. Естественно, такие услуги дороже обычного хостинга, но они предполагают соблюдение всех требований, наличие сертифицированных средств защиты информации и постоянное использование только сертифицированного оборудования. Во-вторых, вам не нужно будет искать компанию-лицензиара, заключать новые договоры и запускать новые процессы — благодаря тому, что мы напрямую взаимодействуем с лицензиаром, всю аттестацию можно закрыть, обратившись в hoster.by.

Беседовала Анастасия Панкратова