Статья Безопасная работа с персональными данными

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Как корректно организовать хранение и обработку персональных данных в компании.


В последние годы законодательства различных стран, регулирующие правила работы с персональными данными, ужесточаются. При этом количество утечек год от года только растет. Если раньше они грозили в основном судебными исками и репутационным ущербом, то теперь штрафы от регуляторов могут составлять значительную часть потерь компании в результате инцидента. Поэтому мы решили опубликовать ряд советов, которые помогут вам организовать безопасные процессы сбора, хранения и передачи данных в своей компании…

Советы по сбору, хранению и передаче ПДн

Сбор персональных данных​

Главное: cобирайте данные, только если имеете на это достаточно юридических оснований. Таким основанием может быть закон страны, в которой ваша компания работает; договор, предусматривающий обработку ПДн; или же явно выраженное согласие в электронной или бумажной форме. Кроме того:
  • сохраняйте факт получения согласия на обработку и хранение на случай возникновения претензий или проверок регулятора;
  • не собирайте данные, которые реально не нужны для ваших рабочих процессов (данные не могут собираться «на всякий случай»);
  • если не требующиеся для работы данные были собраны в силу какой-либо ошибки или недопонимания, незамедлительно удалите их.

Хранение персональных данных​

Если вы в принципе собираете персональные данные, то важнее всего четко понимать, где они хранятся, кто имеет к ним доступ и как они обрабатываются. Для этого разумно составить своеобразную «карту», на которой отмечены все процессы, связанные с ПДн; разработать регламенты по хранению и обработке данных и следить за их четким исполнением.

Также мы советуем:
  • хранить ПДн исключительно на носителях, к которым не имеют доступа посторонние;

  • ограничить доступ к ПДн минимальным количеством лиц (такой доступ должен быть только у тех, кому он действительно необходим);

  • оперативно удалять ПДн, которые больше не требуются непосредственно для работы;

  • если рабочие процессы предусматривают хранение документов на бумажных носителях, то их следует помещать исключительно в защищенные места (например, закрывающиеся на ключ сейфы);

  • ненужные документы на бумажных носителях необходимо уничтожать с помощью шредеров;

  • если данные не нужны в явном виде, то следует провести их анонимизацию (лишить уникальных идентификаторов, чтобы даже в случае утечки было невозможно идентифицировать субъекта);

  • если провести анонимизацию не представляется возможным, следует провести псевдоанонимизацию данных — преобразовать ПДн в уникальную строку, так чтобы идентификация субъекта была невозможна без дополнительной информации;

  • избегайте хранения ПДн на рабочих устройствах и внешних накопителях (они могут быть украдены или потеряны, а данные с компьютера могут быть похищены злоумышленником);

  • не храните и не обрабатывайте реальные ПДн на тестовой инфраструктуре;

  • не используйте новые сервисы для хранения и обработки данных, пока не убедитесь, что они выполняют базовые требования безопасности.

Передача персональных данных​

Все процессы, связанные с передачей персональных данных, должны быть запротоколированы и согласованы. Соответственно, все сотрудники, имеющие доступ к ПДн, должны иметь четкие инструкции о том, как в вашей компании данные должны передаваться, какие корпоративные или сторонние сервисы для этого могут использоваться и кому они могут быть переданы.

Помимо этого, следует следить за тем, чтобы:
  • у организаций-подрядчиков (например, MSP-сервисов) не было доступа с правами администратора к системам, содержащим ПДн;

  • доступ к данным разграничивался по экстерриториальному признаку (данные граждан одной страны не должны быть доступны из других стран, если процесс трансграничной передачи не урегулирован);

  • при передаче ПДн использовалось шифрование (особенно это важно при пересылке данных по электронной почте);

  • при передаче ПДн в сторонние организации с ними был заключен договор поручения на обработку ПДн (DPA);

  • у вас было юридическое право передавать ПДн третьим лицам (то есть на это есть четкое согласие от субъекта ПДн, это прописано в договоре или того требует закон).

Разумеется, ни знакомство с этими советами, ни подписанные всеми сотрудниками локальные нормативно-правовые акты не могут исключить человеческие ошибки. Поэтому, кроме всего прочего, мы рекомендуем периодически проводить тренинги по повышению осведомленности сотрудников о современных угрозах в сфере информационной безопасности и приватности.

Желательно выбирать платформы для обучения, имеющие уроки, касающиеся работы с персональными данными.

 
  • Теги
    безопасность персональные данные сбор и хранение персональных данных
  • Сверху Снизу