Как обезопасить защиту персональных данных на предприятии

Далеко не все компании уделяют должное внимание сохранности персональных данных своих сотрудников. Между тем санкции за такие нарушения скоро будут увеличены. О том, как не допустить нарушений, за которые положены штрафы, мы и поговорим в данной статье.

За лицензированием ФСТЭК, переподготовкой, повышением квалификации и не только переходите сюда!

Что такое персональные данные

На данный момент исчерпывающего их перечня еще нет, и распознать персональные данные можно по 3 основным элементам:

– «отдельные сведения или совокупность сведений»: сейчас персональные данные – не только фамилия и имя физлица, а значительно более существенный объем данных, который может содержать в себе информацию о конкретном лице;

– «данные о физическом лице»: важный аспект в контексте понимания того, что не все данные являются персональными, а лишь те, которые касаются физлиц. Это означает, например, что данные о компании не попадают в категорию персональных данных;

– «лицо идентифицированное или может быть идентифицировано»: именно на основе таких данных можно сделать вывод, что речь идет о конкретном физлице, то есть персональные данные характеризуют физическое лицо.

Организация защиты персональных данных

Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:

  • оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
  • организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
  • соответствии паролей международным стандартам;
  • отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.

Организация защиты конфиденциальных данных включает работу с персоналом. Это обусловлено тем, что в 80% случаев именно работники становятся инициаторами проникновения вредоносных программ в систему. Такое происходит без злого умысла со стороны сотрудника. Проникают вирусы следующим образом:

  • с обновлениями ПО;
  • через письма, приходящие на электронную почту;
  • при переходе по ссылкам;
  • через съемные носители информации.
Читайте также:  Посольства и консульства: в чем различия?

Организация работ по защите персональных данных основывается, в том числе и на работе с персоналом. Составляются инструкции и политики обязательные для ознакомления, проводятся занятия в режиме реального времени.

Мы поможем создать и наладить работу организации по защите персональных данных в организации. Это повысит безопасность, эффективность противодействий попыткам несанкционированного проникновения в системы для кражи информации. Квалифицированные сотрудники подразделения следят за выполнением политики конфиденциальности, предупреждают несанкционированные проникновения в систему третьих лиц.

Организация защиты информационной системы персональных данных требует комплексного подхода, основывается на работе над аппаратной, программной составляющей и обучении персонала. Только так возможно создать эффективное противодействие виртуальным угрозам, обезопасить информацию от утечки.

Способы

Поскольку информация о работниках чаще всего хранится в электронном виде, образуя базы данных в информационных системах, то целесообразно рассмотреть методы и способы защиты именно в этой области.

Только в той информационной системе, возможно обеспечить защиту данных работников, к которой исключен доступ злоумышленников и созданы условия для исключения возможности вмешательства в работу ее базовых элементов.

Рассмотрим основные способы защиты персональных данных сотрудников в информационной системе:

  • самое первое, что необходимо сделать – ограничить доступ лиц к помещениям с техническими средствами, которые осуществляют обработку и хранение информации. Обеспечить охраной такие помещения;
  • использование антивирусов. Подобные программы позволят предотвратить утечку информации, препятствуя работе вирусов и червей;
  • обеспечение защиты межсетевыми экранами. Такой метод направлен на защиту от целенаправленных атак, в то время как цель антивируса – массовые;
  • установка систем предотвращения вторжения, задача которых – выявление нападений и блокировка наиболее активных атак в проходящем трафике;
  • обеспечение системы сканерами уязвимости позволяют проверять ее на наличие «брешей»;
  • организовать регистрацию действий работников;
  • осуществлять контроль входящей-исходящей информации;
  • не менее значимы криптографические методы защиты информации (шифрование).
Читайте также:  Оплата штрафа со скидкой 50 процентов: как этим воспользоваться?

Как GDPR может влиять на бизнес

Внедрение принципа экстерриториальности (Расширения территориального охвата).

Возможно, самое значимое изменение коснулось расширенной юрисдикции GDPR. Он применим ко всем компаниям, обрабатывающим личные данные соответствующих субъектов, проживающих на территории ЕС, независимо от местоположения компаний.

Раньше этот вопрос был урегулирован неоднозначно, что повлекло за собой множество судебных разбирательств.

GDPR же чётко растолковывает где и как его можно применять:

  • при обработке контроллерами и процессорами персональных данных в ЕС, независимо от того, происходит ли обработка в пределах Союза;
  • при обработке персональных данных контроллерами или процессорами в случаях, если деятельность предприятий связана с предложением товаров или услуг гражданам Объединённой Европы, независимо от того, требуется ли за них оплата.

Важно! Если предприятие находится за пределами Евросоюза, но собирается обрабатывать данные граждан ЕС, оно должно назначить собственного представителя в ЕС.

Новые штрафы и санкции.

Организации, которые нарушат GDPR, могут быть оштрафованы на сумму до 4% от глобального годового оборота или 20 миллионов евро (в зависимости от того, какая сумма будет большей).

Это максимально возможный размер взыскания за самые серьезные нарушения, такие как:

  • предоставление согласия на обработку данных вместо Клиента;
  • нарушение общих принципов передачи данных третьим странам, международным организациям.

В случае, если компания не ведет свои записи в процессе обработки данных в установленном Регламентом порядке, она может быть оштрафована на 2% от оборота.

Авторизация.

Расширились условия предоставления согласия на обработку персональных сведений:

  • Компании не имеют права использовать длинные неразборчивые положения, набитые юридической терминологией.
  • Запрос о согласии должен предлагаться в понятной и легко воспринимаемой форме.
  • Сам вопрос о согласии должен ставиться четко и выделяться среди остальных вопросов, используя ясные формулировки.
  • Отозвать согласие должно быть так же легко, как и дать его первоначально.
Читайте также:  Как подать заявление в МВД через «Госуслуги»

О чем нужно помнить в связи с введением GDPR

Общий регламент обязывает любой бизнес, который будет проводить обработку персональных данных:

  • Подготовить специфическое Положение о защите персональных данных, которые могут оказаться у владельца базы подобных данных.
  • Подготовить формы для уведомления физлиц о том, что их данные будут обработаны и формы их согласия.
  • Подготовить разного рода договора, которые будут способствовать защите данных и правильному функционированию базы данных и т.д.

Наша компания может помочь Вам с разработкой полного комплекта документов, необходимых для соблюдения GDPR.

Ссылка на основную публикацию