Безопасная работа с персональными данными

Как корректно организовать хранение и обработку персональных данных в компании.

Советы по сбору, хранению и передаче ПДн

В последние годы законодательства различных стран, регулирующие правила работы с персональными данными, ужесточаются. При этом количество утечек год от года только растет. Если раньше они грозили в основном судебными исками и репутационным ущербом, то теперь штрафы от регуляторов могут составлять значительную часть потерь компании в результате инцидента. Поэтому мы решили опубликовать ряд советов, которые помогут вам организовать безопасные процессы сбора, хранения и передачи данных в своей компании…

Сбор персональных данных

Главное: cобирайте данные, только если имеете на это достаточно юридических оснований. Таким основанием может быть закон страны, в которой ваша компания работает; договор, предусматривающий обработку ПДн; или же явно выраженное согласие в электронной или бумажной форме. Кроме того:

  • сохраняйте факт получения согласия на обработку и хранение на случай возникновения претензий или проверок регулятора;
  • не собирайте данные, которые реально не нужны для ваших рабочих процессов (данные не могут собираться «на всякий случай»);
  • если не требующиеся для работы данные были собраны в силу какой-либо ошибки или недопонимания, незамедлительно удалите их.

Хранение персональных данных

Если вы в принципе собираете персональные данные, то важнее всего четко понимать, где они хранятся, кто имеет к ним доступ и как они обрабатываются. Для этого разумно составить своеобразную «карту», на которой отмечены все процессы, связанные с ПДн; разработать регламенты по хранению и обработке данных и следить за их четким исполнением. Также мы советуем:

  • хранить ПДн исключительно на носителях, к которым не имеют доступа посторонние;
  • ограничить доступ к ПДн минимальным количеством лиц (такой доступ должен быть только у тех, кому он действительно необходим);
  • оперативно удалять ПДн, которые больше не требуются непосредственно для работы;
  • если рабочие процессы предусматривают хранение документов на бумажных носителях, то их следует помещать исключительно в защищенные места (например, закрывающиеся на ключ сейфы);
  • ненужные документы на бумажных носителях необходимо уничтожать с помощью шредеров;
  • если данные не нужны в явном виде, то следует провести их анонимизацию (лишить уникальных идентификаторов, чтобы даже в случае утечки было невозможно идентифицировать субъекта);
  • если провести анонимизацию не представляется возможным, следует провести псевдоанонимизацию данных — преобразовать ПДн в уникальную строку, так чтобы идентификация субъекта была невозможна без дополнительной информации;
  • избегайте хранения ПДн на рабочих устройствах и внешних накопителях (они могут быть украдены или потеряны, а данные с компьютера могут быть похищены злоумышленником);
  • не храните и не обрабатывайте реальные ПДн на тестовой инфраструктуре;
  • не используйте новые сервисы для хранения и обработки данных, пока не убедитесь, что они выполняют базовые требования безопасности.

Передача персональных данных

Все процессы, связанные с передачей персональных данных, должны быть запротоколированы и согласованы. Соответственно, все сотрудники, имеющие доступ к ПДн, должны иметь четкие инструкции о том, как в вашей компании данные должны передаваться, какие корпоративные или сторонние сервисы для этого могут использоваться и кому они могут быть переданы. Помимо этого, следует следить за тем, чтобы:

  • у организаций-подрядчиков (например, MSP-сервисов) не было доступа с правами администратора к системам, содержащим ПДн;
  • доступ к данным разграничивался по экстерриториальному признаку (данные граждан одной страны не должны быть доступны из других стран, если процесс трансграничной передачи не урегулирован);
  • при передаче ПДн использовалось шифрование (особенно это важно при пересылке данных по электронной почте);
  • при передаче ПДн в сторонние организации с ними был заключен договор поручения на обработку ПДн (DPA);
  • у вас было юридическое право передавать ПДн третьим лицам (то есть на это есть четкое согласие от субъекта ПДн, это прописано в договоре или того требует закон).

 

Разумеется, ни знакомство с этими советами, ни подписанные всеми сотрудниками локальные нормативно-правовые акты не могут исключить человеческие ошибки. Поэтому, кроме всего прочего, мы рекомендуем периодически проводить тренинги по повышению осведомленности сотрудников о современных угрозах в сфере информационной безопасности и приватности. Желательно выбирать платформы для обучения, имеющие уроки, касающиеся работы с персональными данными.

Советы