"Сливы" персональных данных участились, отметило ведомство. Советы ведомства вызывают вопросы типа - а что сподвигнет оператора (работодателя, банк, продавца) им следовать?

Участились случаи неправомерного распространения персональных данных. Роскомнадзор провел анализ содержания скомпрометированных баз данных и выдал рекомендации операторам (к которым, кстати, теперь относятся и работодатели). При организации и ведении деятельности по обработке персональных данных следует руководствоваться следующими подходами:

  • надо минимизировать перечень персональных данных, которые собираются и обрабатываются, и использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности;
  • обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и так далее), в том числе несовместимых между собой по целям обработки;
  • хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и так дажее) в разных, не связанных друг с другом непосредственно, базах данных. Следует использовать для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и хранить их отдельно от предыдущих двух баз;
  • отказаться от практики накопления персональных данных «на всякий случай», от формирования профилей клиента, если это не жизненно нужно для организации. Своевременно уничтожать персональные данные при достижении цели их обработки (например, после оказания услуги);
  • использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности;
  • своевременно информировать Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных;
  • принимать дополнительные меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;
  • назначить ответственного в вашей организации за защиту персональных данных, наделить его необходимыми полномочиями.

Все это, конечно, правильно (наверное), но все же вряд ли реализуемо. Не очень понятно, что могло бы сподвигнуть кого-либо выполнять многие из этих рекомендаций. Вряд ли магазину или банку, который собирает данные клиентов, есть дело до защиты права этих клиентов на конфиденциальность, или до того, начнут ли этим клиентам названивать мошенники и навязчивые продавцы. Оператор должен быть весьма социально ответственным, чтобы захотеть следовать указанным советам, тем более, что выполнение некоторых из них требует дополнительных усилий.

Так что, пока не начнут реально штрафовать за каждый слив базы – ничего не изменится. В настоящее время из всех составов статьи 13.11 КоАП "Нарушение законодательства РФ в области персональных данных" под утечку или продажу базы ничего не подпадает. В статья 13.12 КоАП "Нарушение правил защиты информации" есть такой состав, как "нарушение требований о защите информации" со штрафом до 15 тысяч для юрлиц, но такое нарушение еще доказать надо. В результате – спасение утопающих (в нежелательных звонках и прочем спаме) дело рук самих утопающих.