Ой, кажется, я оператор персональных данных…
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных своих клиентов и/или сотрудников.
Вы уже оператор, если у вас сайт, на котором:
- форма обратной связи, заявки, подписки на email-рассылку;
- анкеты для заполнения (не анонимные);
- возможность разместить объявление;
- формы заказа товара/услуги;
- личный кабинет пользователя;
- Яндекс.Метрика, Google Analytics и другие маркетинговые аналитические инструменты.
Тут же под статус оператора попадают интернет-магазины, турфирмы, сайты объявлений, сотовые операторы, интернет-банки...
Финансовые организации находятся в жестких рамках. Если раньше защита ПДн их клиентов была частным делом каждой организации, то уже сейчас проблема приобрела государственные масштабы, ведь для злоумышленников базы данных финансовых компаний – лакомый кусочек. Для удобства своих клиентов банки выпускают приложения с личными кабинетами. А хакеры пишут трояны, с помощью которых удаленно могут увести сначала данные клиентов, а затем – и электронные кошельки.
Каково это – быть оператором ПДн
Этот перечень «ритуалов» посвящения в операторы вы найдете практически в каждой второй статье. Но мы все же напомним, что предстоит пройти «оператору-новичку» в мире персональных данных:
- Для начала подайте уведомление о начале обработки ПДн в Роскомнадзор, – это первый государственный орган, который будет вас проверять;
- Далее подготовьте пакет организационно-распорядительной документации по информационной безопасности (положения, методички и т.д.);
- Определите уровень защищенности информационных систем персональных данных;
- Назначьте ответственных за обработку и безопасность ПДн. В вашей организации должно быть минимум три сотрудника, которые прошли повышение квалификации по защите персональных данных, согласованное с ФСТЭК и ФСБ;
- Установите на вашу систему средства защиты информации, прошедшие оценку соответствия требованиям и имеющие действующий сертификат ФСТЭК;
- Прежде, чем начать обрабатывать ПДн субъекта, запрашивайте и получайте его согласие документированным способом или посредством ЭЦП;
- Опубликуйте на сайте политику обеспечения защиты персональных данных, а также цель сбора и обработки;
- Размещайте серверы с ИСПДн строго на территории РФ;
Не стоит испытывать судьбу. Роскомнадзор может оштрафовать нарушителя закона и приостановить деятельность организации.
Организовать защиту данных самостоятельно – безусловно, смелое решение. Но есть и другой подход – воспользоваться помощью профессионалов. У двух подходов различаются средства, объем требуемых ресурсов и времени:
В первом случае вы самостоятельно пройдетесь по списку, указанному выше. А система по защите ПДн будет выстроена, в лучшем случае, через пару месяцев. Затем придется регулярно тратиться на ее администрирование.
Второй путь снимает с вас всю рутину, и надежная рабочая система у вас будет готова уже через несколько дней. Спросите, как?
Защита персональных данных в облаке.
- Облачный провайдер обеспечивает размещение данных в защищенном контуре, имеющем официальное подтверждение о соответствии требованиям по защите персональных данных. СХД с данными располагаются в сертифицированном по требованиям Tier-III дата-центре, обеспечивающем высокую многоуровневую защиту данных. Несанкционированному доступу к базам данных препятствует вся сопроводительная инженерная система дата-центра, а также….
- …сертифицированные средства защиты информации от несанкционированного доступа: антивирусы, межсетевые экраны и системы обнаружения и блокировки вторжений IPS/IDS, защищенные туннели VPN.
- Кроме того, провайдер помогает разработать организационно-распорядительную документацию по защите ПДн, а также проконсультирует по вопросам информационной безопасности.
- Отслеживает возможные инциденты ИБ в режиме реального времени и своевременно реагирует на них.
Когда вы отдаете хранение персональных данных облачному провайдеру, вы остаетесь оператором ПДн! Провайдер отвечает за функционал по защите персданных. Не забудьте подписать поручение - договор с провайдером, - в котором будут четко описаны требования к нему.
Теперь вам не требуется закупать дополнительное оборудование, внедрять собственные системы защиты и тратить большие суммы на дорогостоящее обучение сотрудников службы безопасности. Вы будете готовы к проверке, а также вооружены пакетом необходимых документов. А данные ваших клиентов и сотрудников – под защитой в надежном ЦОДе.
