Это коснётся каждого: Персональные данные!
Доброе утро, мои дорогие!
«Коротко» о главном на сегодняшний день.
Без преувеличения это коснётся каждого, однако не многие об этом подозревают.
С 1 сентября 2022 года в силу уже вступили поправки в 152-ФЗ «О персональных данных». Масштабные изменения затронут всех, кто является оператором данных — работодателей, интернет-магазины, медклиник, фармкомпании, небольшие фотомастерские и даже крупные корпорации.
Что важного в изменениях:
- Уведомление Роскомнадзора об обработке персданных
- Уведомление ФСБ (ГосСОПКА) об утечке в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования.
- Если компания передает обработку данных специальному оператору («процессору»), все обязанности по их защите ложатся именно на него. Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений.
- Нельзя собирать ПД несовершеннолетних, кроме случаев, установленных законодательством РФ.
- Нельзя получать согласия путем бездействия субъекта. То есть согласие не может даваться путем молчания, не предоставление ответа в течение какого-то времени и т.д.
- Операторы обязаны предоставить услуги, даже если клиенты отказываются предоставить биометрию и не дают согласие на обработку личной информации.
- Пользователь может потребовать прекратить обработку персданных. Сроки реагирования на такие запросы сокращены с 30 до 10 рабочих дней.
- Рассмотрение вариантов Увеличение штрафов, т.е. Они «будут» оборотными.
Важный вопрос, который надо решать уже сейчас, связанн с трансграничной передачей персданных. Теперь до момента передачи оператор данных обязан уведомить Роскомнадзор о намерении совершить трансграничную передачу.
Думаете, Вас не касается?
Тогда смотрите в пользовательское соглашение своего облачного клиентского сервиса (которое никто не читает, а просто ставит галочку). Вероятнее всего, вы обнаружите факт регистрации и нахождения серверов исполнителя за пределами РФ. А это означает, что Вы совершаете трансграничную передачу персональных данных, да ещё и без предварительной их локализации на территории РФ.
В последние время утечка персональных данных стала носить массовый характер. Роскомнадзор «считает» что, с начала 2022-го произошло более 60 крупных утечек баз персональных данных, скомпрометировано 230 млн записей.
Также сообщалось, что за первые шесть месяцев 2022 года общее число утечек информации в России увеличилось на 45%. Объём утечек данных, которые составляют коммерческую тайну, вырос вдвое, и теперь на них приходится около 13% всей информации.
Что чаще всего интересовало хакеров в 1 квартале 2022 года (в атаках на компании):
- Персональные данные - 34%
- Коммерческая тайна - 19%
- Медицинская информация - 14%
- Учетные данные - 12%
- Переписка - 4%
- Данные платежных карт - 3%
- Другая информация - 14%
Что чаще всего интересовало хакеров в 1 квартале 2022 года (в атаках на физлиц):
- Учетные данные - 46%
- Данные платежных карт - 21%
- Персональные данные - 19%
- Переписка - 3%
- Другая информация - 11%
Немного международной статистики:
- 10 самых громких кибератак XXI века
- Интересная статья Чака Брукса
- 2021 год стал рекордным по объему утечек персональных данных
- Жертвами стали 48 млн. человек
- Ответственное отношение к безопасности серверов со стороны разработчиков решения не гарантирует сохранность данных клиентов
- Чаще всего пользователи подвергаются атакам через phishing emails и неосознанно компрометируют свои учетные данные
Полезная информация:
Небольшой чек-лист:
- Форма сбора на сайте есть?
- Клиентскую CRM ведёте?
- Облачными сервисами (не дай Бог иностранными) пользуетесь?
Если 3 ответа — ДА, при этом оператором себя не считаем, политики обработки персданных нет, внутренних актов, оценки рисков распространения, регистрации в Роскомнадзоре – нет. Тогда «беда».
Ставьте «+» в комментариях.
Отправлю инфографику в pdf формате.
Остались вопросы или нужна помощь!?
Пишите, звоните, будут деньги — высылайте.
Ваш КЭП ;) #БОРОДАНАСВЯЗИ