Top.Mail.Ru
архив

Сокровенное знание

защита данных, информационная безопасность
В системе CRM вашей фирмы ведется учет клиентов, включая их ФИО, адреса, контакты? Микрофинансовая организация оценивает кредитоспособность потенциального заемщика по присланным им электронным документам? Банк, работая с клиентами в офлайне, передает коллекторам право требовать возврата кредита? Отдел кадров формирует личные дела персонала, а служба безопасности по своим каналам проверяет благонадежность соискателей? Сотрудник вашей охраны, сканируя паспорта посетителей, записывает их паспортные данные? Все вышеперечисленное - обработка персональных данных (ПД), а организации, ее осуществляющие, являются операторами персональных данных. И что это означает для бизнеса? Среди прочего, повышенный финансовый и организационный риск, опасность осложнения отношений с регуляторами и репутационные, имиджевые потери.

На нарушителя закона в области ПД могут наложить штраф в размере от 5000 до 100 000 руб. либо его деятельность может быть приостановлена на срок до 90 суток. Закон не исключает в рамках одного правонарушения применение санкций как к организации, так и к ее должностному лицу.

Что касается уголовной ответственности, то анализ судебной практики не выявил случаев привлечения к ней представителей коммерческих структур.

Любая проверка - помеха в работе организации. Как раз сейчас госорганы активно проверяют многих операторов ПД - те же микрофинансовые организации и банки, а также коллекторские и страховые фирмы, онлайн-магазины, ТСЖ и управляющие компании. Именно на них чаще всего жалуются граждане, просящие проверить законность операций с их ПД. Статистические данные подтверждают масштабы проводимой регуляторами работы. Так, по информации с сайта http://www.rsoc.ru/, в первой половине 2012 г. в Роскомнадзор поступило 9863 обращения, более половины из которых - жалобы на нарушения операторами ПД прав и законных интересов граждан. Выдано 762 предписания об устранении выявленных нарушений, составлено 2892 протокола об административных правонарушениях. Судами за указанный период по данной тематике вынесено 2392 решения, общая сумма наложенных штрафов достигла 4 341 450 руб.

Компаниям следует иметь в виду еще один немаловажный аспект: нередко за жалобами физических лиц скрываются действия недобросовестных конкурентов. Между тем в большинстве компаний система обработки ПД далека от совершенства, в том числе еще и потому, что руководители обращают на нее внимание по остаточному принципу. Так что задумавшему недоброе конкуренту остается только инициировать массовые обращения граждан с жалобами на нарушение организацией-"жертвой" закона и ждать, когда работа "жертвы" будет парализована проверками регуляторов. Причем количество и интенсивность заказных жалоб ограничены лишь терпением и финансовыми возможностями фирм-конкурентов, так как по закону правоохранительные органы обязаны провести проверку по каждому заявлению.


Работа над ошибками

Если вы оператор ПД, чего вам делать никак нельзя? Прежде всего игнорировать требования регуляторов, скажем, не представлять уведомления об обработке персональных данных в Роскомнадзор. В ответ получите протокол об административном нарушении. Не стоит не обращать внимания на запросы регуляторов или играть в молчанку с клиентами, когда те запрашивают сведения об обработке своих ПД. Регулятор огрызнется опять-таки санкциями, а гражданин - жалобой, по которой начнется проверка.

Нельзя обрабатывать и уж тем более использовать ПД граждан без их согласия. На деле очень часто оператор получает от гражданина информацию в объеме значительно большем, чем ему реально нужно, и таким образом самостоятельно увеличивает объем собственных обязанностей по защите ПД. При этом оператор ставит себя под удар, получая от человека его ПД без согласия на их обработку. В качестве примера реальной ответственности за несоблюдение требований закона можно привести решение Таганского районного суда г. Москвы по делу № 2-2275-11/10с, которым с ОАО "МТС" 25 августа 2011 г. была взыскана компенсация морального вреда за обработку и использование ПД гражданина без его согласия.

Необходимо исключить передачу ПД третьим лицам без уведомления и получения согласия гражданина. Количество жалоб регуляторам на передачу операторами ПД третьим лицам без соответствующих согласия и уведомления демонстрирует, что до сих пор даже крупные банковские структуры не всегда соблюдают требования закона (например, передавая функцию взыскания просроченных кредитов коллекторским агентствам).

Недопустимо использование незаконных методов и средств защиты информации. Обрабатывая ПД, операторы зачастую используют оборудование, документы, средства защиты, программное обеспечение и помещения, не соответствующие требованиям закона. Свидетельство тому - статистика проверок.


Верный курс

Нормативные акты, регулирующие обработку ПД, достаточно сложны для восприятия неспециалистами. Поэтому, если руководитель предприятия желает выстроить работу в этом направлении максимально эффективно и законно, стоит заказать комплексный аудит процессов обработки ПД, который выявит слабые места. Тут, впрочем, есть свои подводные камни, так что хотелось бы предостеречь руководителей от слепого следования рекомендациям аудитора: выполнение некоторых из них может быть дорогостоящим, поэтому не стесняйтесь требовать от аудитора презентации и защиты его отчета, активно критикуйте предложенные решения и тогда на выходе получите оптимальный для вашей организации рецепт. По итогам аудита стоит также провести среди сотрудников ликбез по правилам работы с ПД, уделив особое внимание тем, кто непосредственно осуществляет обработку информации.

Итак, что имеем в сухом остатке? Проблему ПД в первую очередь необходимо осознать в полном объеме, то есть понять, что этот сегмент может стать источником проблем, уяснить, что и как в нем работает, и выяснить, соответствует ли общей ситуации практика, сложившаяся в вашей компании. На этом, последнем, этапе могут быть целесообразными проведение аудита по ПД и выработка соответствующих организационных и практических решений. Так вы сможете избежать лишних проверок и не "подставите спину" конкурентам. "Во многая знания - многая печали" - это будет не про вашу компанию.


Еще по теме