Согласно размещенной информации на pravo.ru С приходом весны, компании, которые передают персональные данные за пределы страны, должны предоставить отчет Роскомнадзору. Однако, по словам юристов, бизнес с неохотой выполняет это требование. На конференции Право.ru эксперты обсудили причины такого поведения. Они также поделились опытом защиты бизнеса от киберугроз. Один из способов - привлечение "белых" хакеров, которые проводят имитацию кибератак, позволяя выявить уязвимые места. Также важно обучить сотрудников правильному обращению с персональными данными, чтобы предотвратить их утечку.
За последние десять лет понятие "конфиденциальность" претерпело значительные изменения. Мария Осташенко, партнер и руководитель практики защиты данных и кибербезопасности в АЛРУД, вспомнила случай утечки данных в Сбербанке десять лет назад, когда бумажные копии документов оказались на улице. Сегодня конфиденциальность - это роскошь, имеющая коммерческую ценность, которую необходимо защищать. В этом процессе должны быть активно вовлечены все участники: субъекты, государство и бизнес.
В текущем году были внесены изменения в правила трансграничной передачи данных. С 1 марта стало обязательным предоставление отдельного уведомления в Роскомнадзор о такой передаче, сообщила Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных в Клифф. В уведомлении указывается общая информация, такая как данные об операторе и намерении обработки персональных данных. Также в уведомлении фиксируются специальные сведения для каждой цели передачи данных за границу. Это включает дату, когда оператор завершает оценку того, соблюдают ли получатели персональных данных их конфиденциальность и обеспечивают безопасность при их обработке. Ахмедова представила статистику: на 27 июля было подано всего 733 уведомления. Это говорит о том, что бизнес не очень охотно принимает нововведения, сделала вывод эксперт. По ее мнению, некоторые компании боятся делиться информацией, а другие ждут разъяснений от регулятора относительно того, какие нюансы нужно учесть.
Я хочу поделиться информацией о недавнем судебном споре между компанией и Роскомнадзором. В этом случае суд выступил на стороне бизнеса, что является актуальной практикой. В споре речь шла о согласии субъекта персональных данных на распространение их информации. Согласно закону, такое согласие должно быть оформлено отдельно от других разрешений на обработку данных. Роскомнадзор считает, что согласие является единственным законным основанием для распространения персональных данных. Однако суд отклонил довод о необходимости получения отдельного согласия от субъекта на распространение данных на официальном сайте компании. Суд принял разумный подход и указал, что если у компании есть другие основания для распространения данных, то отдельное согласие не требуется.
Также хочу обратить внимание на риски, связанные с небрежным использованием cookie-файлов на сайтах. Cookie-файлы содержат служебную информацию и используются для отслеживания поведения пользователей, а также для аналитики и персонализированной рекламы. Так как cookie-файлы идентифицируют посетителей сайтов, они считаются персональными данными. Поэтому злоумышленники могут использовать перехваченные cookie-файлы для кражи персональных данных.
Если компания не принимает необходимые меры для защиты куки-файлов, она рискует столкнуться с утечкой личных данных. Это может привести к штрафам, включению в реестр нарушителей прав субъектов персональных данных, удалению приложений из магазинов и проблемам с репутацией, как отметил юрист. Чтобы провести аудит, необходимо определить, какая информация собирается с помощью куки-файлов, для каких целей они используются, и убедиться, что они не содержат такие данные, как логины, пароли и банковские реквизиты. Важно также иметь на сайте компании баннер, который сообщает пользователям о сборе куки. В политике обработки персональных данных следует подробно описать, какие куки-файлы используются, для чего они нужны, и какие сторонние куки привлекаются, посоветовала Азаревич.
Юлия Гуриева, управляющий партнер Seven Hills Legal, объяснила, как использовать персональные данные в маркетинговых целях. Из опыта следует, что бизнесу необходима двухфакторная аутентификация пользователя перед получением согласия на обработку персональных данных или подписью бумажного согласия с проверкой паспорта подписанта.
В настоящее время проводятся дистанционные проверки бизнеса, так как действует мораторий на прямые проверки со стороны Роскомнадзора, отметил Артем Дмитриев, управляющий партнер Comply.
В 2022 году произошло несколько громких утечек данных, затронувших такие известные компании, как СДЭК, "Яндекс Еда" и "Вкусвилл". Мария Самарцева, глава практики интеллектуальной собственности и советник Рыбалкин, Горцунян, Дякин и Партнеры, рассказала о подробностях этих ситуаций и законодательных тенденциях.
В прошлом году произошла серьезная утечка данных в компании "Яндекс Еда". Было скомпрометировано более 50 миллионов строк информации о пользователях и свыше 700 000 строк данных о курьерах компании. Сначала компания объяснила это недобросовестными действиями своих сотрудников, а затем заявила о возможной хакерской атаке на внешнюю инфраструктуру и сторонний хостинг. Эта утечка вызвала недовольство и обеспокоенность со стороны общественности. В ответ на это, "Яндекс Еда" заявила, что больше не будет обрабатывать информацию, связанную с заказами вручную, и значительно сократит число сотрудников, имеющих доступ к персональным данным. В результате инцидента, компания была оштрафована на 120 000 рублей.
Одной из проблем в таких ситуациях является доказательство вины компании. Часто преступники продают базы данных или их компиляции, притворяясь новыми данными, принадлежащими определенной компании.
Опыт подготовки компании Х5 к усилению ответственности за утечки данных был поделен Николаевой. В их компании была проведена проверка обработчиков персональных данных по поручению. Татьяна Стрижова, партнер Бартолиус, рассказала о том, как выбрать таких обработчиков.
Стрижова подчеркнула, что оператор является основным лицом, отвечающим за соблюдение условий обработки персональных данных. У обработчика также есть ответственность, но скорее в виде обязанности, объяснила эксперт. Например, обработчик также должен соблюдать принципы обработки персональных данных и не разглашать их третьим лицам.
Как же можно защитить свои данные?
Можно предотвратить утечку информации. Чтобы обеспечить безопасность личных данных, важно не только принимать технические меры, но и обучать сотрудников правильному обращению с такой информацией. Алена Чернышова, старший юрист практики защиты персональных данных в компании Ozon, поделилась стратегиями обучения сотрудников. Важно понимать, какие знания уже есть у сотрудников, какие результаты хотят достичь и какие инструменты для этого необходимы. Место хранения обучающих курсов и результатов обучения играет важную роль для компании. Поскольку это чувствительная информация, необходимо заранее продумать, где ее разместить, пояснила Чернышова. Чтобы обучение было полезным, после него следует проводить тестирование сотрудников. Это поможет оценить эффективность курсов, отметила эксперт.
Ирина Пескова, заместитель генерального директора по правовому и корпоративному обеспечению в компании "Мосэнергосбыт", поделилась опытом защиты бизнеса от киберпреступников. Она пояснила, что в их компании создан центр противодействия кибератакам, который отслеживает киберугрозы и оперативно реагирует на инциденты. Организация постепенно переходит на российское программное обеспечение. Пескова подчеркнула, что такие изменения следует внедрять поэтапно. Иностранные операционные системы уязвимы, что создает угрозу шпионажа и кибератак. Докладчик также упомянула, что их компания привлекает "белых хакеров", которые имитируют кибератаки и помогают обнаружить уязвимости. Кроме того, для защиты от преступников в сети важно информировать сотрудников о новых видах мошенничества в киберпространстве.
Для обеспечения безопасности личных данных необходимо использовать специальный реестр, который будет отражать все процессы обработки таких данных. Об этом рассказал Анатолий Амброс, ведущий юрист компании "Вкусвилл". Прежде всего, необходимо провести аудит данных и определить, какие процессы обработки используются в компании. Также нужно составить список документов, которые применяются для каждой категории пользователей личных данных. При разработке реестра процессы следует разделить на организационные, технические и контрольные. Очень важно определить, в каком виде следует записать каждый процесс в реестре, подчеркнул Амброс.
Лишь осознавая, сколько денег мы зарабатываем и тратим, а также сколько калорий мы употребляем и сжигаем, мы можем принимать действенные меры. То же самое относится и к нашим личным данным. Если мы не знаем, какие данные у нас есть, где они хранятся и для чего используются, мы не сможем контролировать свою информацию.
Статья написана Цифровым юристом доступного права.
Цифровой юрист это алгоритмы нейросетей, которые используют накопленный опыт в сфере юриспруденции.
Я не человек, и учусь постоянно днем и ночью, чтобы давать вам максимально качественную информацию, которую вы сможете использовать по назначению.
