Персональные данные — главная валюта современного мира. Именно поэтому их сбор и хранение регулируется законом.
Однако законодательство постоянно меняется, появляются новые законопроекты, а существующие нормы ужесточаются. Вместе с нашими коллегами-экспертами из Sendsay, российской омниканальной CDP, помогаем разобраться в нюансах темы и рассказываем, как максимально обезопасить себя от утечек данных и подобных неприятностей.
Какие данные являются персональными
Первое, с чем стоит разобраться, — сам термин.
Если ориентироваться на правовые документы, к персональным данным относится любая информация, которая прямо или косвенно касается определенного или определяемого физического лица.
Какого-то конкретного перечня того, что можно, а что нельзя считать персональными данными, в законе нет, и в этом главная сложность
Здесь приходится опираться на само определение: если информация даже теоретически позволяет установить личность человека — значит, это персональные данные. Отсюда в законе и появляется слова «определенный» и «определяемый». Определенное лицо — конкретное. Определяемое — лицо, личность которого можно установить, опираясь на данные.
При этом относительно той информации, которую чаще всего собирают бренды, сомнений нет: ФИО, адрес, номер мобильного телефона или фото — это точно персональные данные. Значит, если компания их собирает и хранит, ее деятельность уже подпадает под закон «О персональных данных».
Именно поэтому бренд не имеет права делать массовые рассылки по всем контактам, которые есть в базе, если пользователи не давали согласие на подписку: с точки зрения закона это действие будет расценено как неправомерное обращение с персональными данными.
Так что рекомендуем не просто собирать согласие на получение рекламных рассылок, а использовать двухэтапную подписку (Double opt-in).
Double opt-in — это когда пользователь не просто ставит галочку в форме подписки на сайте, но затем еще подтверждает действие через переход по ссылке в письме.
Пример того, как может выглядеть письмо с подтверждением почты. Изображение из архива автора
За счет такого метода вы минимизируете вероятность ошибки: в базу не попадет неправильно написанный email. Следовательно, вы не отправите рассылку на несуществующий или принадлежащий другому пользователю адрес, а также снизите вероятность попадания в спам и не испортите свою репутацию отправителя.
Если есть сомнения по поводу того, является ли персональными данными какая-то специфическая информация, которую вы собираете с клиентов, — всегда лучше проконсультироваться с юристами. Закон «О персональных данных» сформулирован достаточно широко, поэтому перестраховка здесь лучше риска.
Причины возникновения утечек
Закон «О персональных данных» касается, в том числе, обработки, хранения и доступа к персональным данным. Поэтому нужно знать не только как правильно собирать информацию, но и как ее защищать.
Как показывает практика, делать это не так просто: за 2023 год количество утечек персональных данных в мире выросло на 61,5%. Цифры кажутся почти абсурдными, ведь технические возможности компаний постоянно растут, но фактически они как будто становятся более уязвимыми.
Дело в том, что развиваются не только компании, но и хакеры: на долю кибератак выпадает 80% всех утечек, тогда как каждая десятая кибератака происходит из-за человеческого фактора — сотрудников, которые своими неосторожными действиями подвергают опасности всю систему.
Как правило, намеренного желания навредить компании у них нет, а есть недостаточное знание основ кибербезопасности: они редко меняют пароли, открывают фишинговые ссылки с рабочей почты, обмениваются закрытой информацией в незащищенных чатах. Подобные «просчеты» и выливаются во многомиллионный ущерб.
Так выглядит безопасное соединение. Изображение из архива автора
Более того, в последние годы в России было немало кейсов утери и утечек персональных данных, произошедших из-за ненадежных подрядчиков.
Разумеется, компании, которые передали в сторонние сервисы и платформы данные своих клиентов, нарушили положения ФЗ «О персональных данных»: клиентские данные хранились и обрабатывались не на территории РФ, а за границей, и когда сервисы ушли из России, то просто закрыли доступ для своих клиентов. Перед законодательством РФ они ответственность не несли, ведь это зарубежные сервисы, работа которых не подпадает под действие наших законов.
Еще одна причина возникновения утечек персональных данных в том, что небольшие компании самонадеянно считают, что неинтересны хакерам, и потому вопросам безопасности не уделяют должного внимания. Однако и у них могут быть клиенты, данные которых нужны хакерам. И если к крупному банку не пробиться напрямую, то через сервис, который работает с персональными данными банка это, к сожалению, сделать намного проще.
Проступки наказуемы: санкции за утечку данных
Утечка персональных данных является административным правонарушением, поэтому размер штрафа напрямую зависит от тяжести проступка: чем масштабнее нарушение, тем выше штраф.
Также есть зависимость от того, кто проходит как обвиняемый: для физических лиц штрафы самые низкие, для должностных уже выше, для юридических — самые высокие. Например, за обработку персональных данных без письменного согласия физическое лицо заплатит до 15 тысяч рублей, должностное лицо — до 300, а юридическое — до 700.
В целом минимальный штраф для компаний составляет 30 тысяч рублей, максимальный — 18 миллионов при повторном нарушении. Это цифры, актуальные на 2024 год.
Сейчас в Госдуме находится новый законопроект, предлагающий еще больше усилить ответственность за нарушения в области обработки персональных данных. В частности, увеличить штрафы за «неправомерную передачу персональных данных»: за повторное нарушение в этой области предполагается штраф в размере до 3% от совокупной выручки компании за предшествующий инциденту год, но не менее 15 и не более 500 млн рублей.
Конечно, пока это только законопроект. Но год от года мы наблюдаем тенденцию ужесточения законодательства в этой сфере. Поэтому рассчитывать на более мягкие штрафы не стоит.
На фоне этого качественное обеспечение кибербезопасности становится не роскошью, доступной «мастодонтам» рынка, а необходимостью для всех компаний.
Как защититься от подобных угроз
Утечки и сливы случаются и у самых крупных компаний («Яндекс», «Сбербанк», «МТС Банк»), и даже в госсекторе. Так что полностью обезопасить себя от такого рода неприятностей практически невозможно.
Но следует сделать все, чтобы этого не допустить.
Штрафы и санкции могут пугать, но и здесь все не так безысходно: если соблюдать требования законодательства, то вполне реально доказать свою невиновность и избежать наказания. Так, тот же «Яндекс» в 2022-м был признан потерпевшим в деле об утечке личных данных курьеров «Яндекс Еды». Поэтому сам факт возбуждения дела еще не говорит о виновности.
Итак, чтобы обезопасить компанию и минимизировать риск получения штрафа, стоит провести следующие мероприятия.
Аудит IT-инфраструктуры
Важно убедиться в том, что организация работы с персональными данными внутри вашей компании соответствует требованиям закона, и конкретно IT-инфраструктура способна обеспечить сохранность информации.
А именно, что:
- ваши сервера находятся в России в защищенном месте, куда не допускаются посторонние люди;
- у вас есть внутренняя аутентификация: доступ к данным есть только у сотрудников с определенными правами;
- используются антивирусные программы, межсетевые экраны, сервисы защиты от DDoS-атак, VPN и другие подобные ПО;
- ваше ПО сертифицировано Федеральной службой по техническому и экспортному контролю.
Если вы сами не работаете с данными, но предоставляете их сторонним сервисам, необходимо также быть уверенными в том, что и их IT-инфраструктура соответствует этим требованиям.
Кстати, если вы оказываете услуги по хранению и обработке персональных данных, то можете обратиться за аудитом вашего сервиса. Его, например, проводит Ассоциация по защите и хранению персональных данных, не только проверяя компанию на надежность, но и указывая на своем сайте как таковую (конечно, в случае прохождения проверки), что способствует повышению доверия со стороны потенциальных клиентов.
Организация «бытовой» кибербезопасности и нетворкинга
Киберграмотность сотрудников — еще один важный пункт, который позволит минимизировать вероятность утечки персональных данных.
Это значит, что все сотрудники должны быть знакомы с основами кибербезопасности, знать зону своей ответственности и понимать, к кому нужно обратиться в случае проблемы.
Значит, в ваших интересах организовать этот процесс, назначит ответственных, составить программу обучения и подготовки, собрать FAQ.
И, конечно, следует постоянно следить за обновлениями в сфере персональных данных. Как за законодательными изменениями, так и за прикладными решениями от практиков рынка.
К тому же, та проблема, с которой компания сталкиваетесь впервые, может быть неуникальной, поэтому здесь, важен нетворкинг и поддержка профессионального сообщества: иногда представители власти проводят открытые выступления или диалоги, на которых можно задать свои вопросы тем людям, которые занимаются нормотворчеством и применяют законодательные положения на практике.
Конечно, вопрос защиты персональных данных — тема сложная и интересная, и самостоятельно специалисту разобраться в этом непросто.
Вместе искать ответы на сложные вопросы намного проще, поэтому не стесняйтесь обращаться к чужому опыту и делиться своим, как поступили мы, Комплето, и наши друзья из Sendsay.
Удачи и успешного продвижения!
