FBK Cybersecurity
 
Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Close
Напишите нам – мы всегда на связи!
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности
Итоги контрольно-надзирательной деятельности Роскомнадзора за 9 месяцев 2020 года
FBK CyberSecurity комментирует публичный семинар Роскомнадзора
Статистика обращений/жалоб
  • За первые 9 месяцев 2020 г. Роскомнадзором (далее: РКН) было составлено 98 протоколов по ст. 13.11 КоАП РФ. Сумма наложенных штрафов: 427 тыс. руб.
  • Большая часть нарушений связана с невыполнением требований ч. 1, ст. 13.11 (52 протокола), ч. 5 ст. 13.11 (21 протокол) и ч. 6 ст. 13.11 (14 протоколов).
  • Подтверждение со стороны РКН получили 10% от общего числа обращений.
  • 29% всех обращений с жалобами в РКН в 2020 г. пришлось на на банки и кредитные организации (+6% по отношению к данным за 2019 год).

«Период пандемии COVID-19 обнажил множество уязвимостей действующих систем информационной безопасности. Общее число утечек за 9 месяцев 2020 года в России (по данным InfoWatch) увеличилось на 5,6% по сравнению с аналогичным периодом 2019 года. Более 79% утечек случилось в результате внутренних нарушений и более 72% утечек произошло по вине сотрудников. Это может быть связано с недостаточно высокими административными штрафами или с недостатком контроля со стороны подразделений, ответственных за обеспечение информационной безопасности. Так или иначе, я уверен, что вступающий в силу с 1 января 2021 года ГОСТ Р 57580.1 и готовящийся проект Министерства юстиции об изменениях в КоАП РФ создадут условия, в которых компании-операторы и их сотрудники начнут более ответственно подходить к угрозам утечек данных», – прокомментировал Александр Черненко, Руководитель отдела по анализу и контролю ИТ-рисков, ФБК Grant Thornton.

Рассмотрим ключевые моменты семинара РКН:
Ошибки в предоставлении в уполномоченный орган уведомления об обработке ПДн для включения в реестр операторов
  • Неполные и (или) недостоверные сведения.
  • Неполный перечень сведений о лице, ответственном за обработку персональных данных.
  • Неполный адрес местонахождения базы персональных данных.
  • Отсутствие перечня стран, в которые осуществляется трансграничная передача данных.

Ошибки в Согласии на обработку ПДн
  • Многоцелевая обработка персональных данных возможна в случаях, когда не производится обработка биометрических данных, специальных категорий данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни), при отсутствии трансграничной передачи ПДн в страны, не обеспечивающие необходимый уровень защиты данных. Во всех остальных случаях (в том числе при получении письменного согласия субъекта) в Согласии прописывается одна цель.
  • Законодательно не разрешается множественный запрос Согласия на обработку ПДн в рамках одного договора по нескольким целям. При этом достаточно одного Согласия субъекта ПДн для обработки данных по нескольким целям одного договора. Формат сбора множественных согласий прорабатывается, как и возможность отзыва субъектом ПДн согласия на обработку данных по конкретной цели.
  • Сбор данных для исполнения предмета договора не требует получения отдельного согласия. При этом договор, например, на предоставление банковских услуг, может предполагать в том числе сбор информации для проведения маркетинговых и иных исследований, информационных и рекламных рассылок, получение информации от контрагентов банка – эти действия требуют получения согласия от субъекта ПДн. Субъект должен иметь возможность отозвать согласие на проведение любой из этих операций, если она не относится напрямую к исполнению целей и предмета договора.
  • Обработка и хранение ПДн прекращаются по достижении цели договора. При этом нельзя брать с субъекта персональных данных Согласие на обработку и хранение ПДн на неопределенный срок или на срок, противоречащий законодательному положению. Организация должна аргументировать устанавливаемый Согласием срок в рамках правового поля.
  • При обработке ПДн, которые обрабатываются автоматически, данных сотрудников организации, специальных категориях ПДн, биометрических данных и трансграничной передаче данных в страны, которые не обеспечивают адекватную защиту данных, обязательно нужно поименно указывать лица, которые могут использовать эти данные и действовать от лица оператора. При изменении этого перечня, придется переподписывать соглашение с субъектами ПДн и РКН полагает, что 10 дней для информирования клиентов должно быть достаточно.

Типовые нарушения работы с ПДн в банковской сфере
  • Невыполнение обязательств по предоставлению информации об обработке ПДн субъекту этой информации.
  • Продолжение обработки ПДн после отзыва согласия или прекращения договорных обязательств или после достижения цели обработки. Данное нарушение относится и к трудовым договорам.
  • Использование ПДн опубликованных в общем доступе.
Другие материалы
Подпишитесь чтобы получать уведомления о выходе новых материалов и новостей