1 июля 2017 года вступили в силу изменения в статье 13.11 КоАП РФ, в которой идет речь о работе с персональными данными. Что это за изменения? И какую теперь ответственность несут должностные и юридические лица? Ответим на эти и многие другие вопросы.
Что нового?
Первое, что изменилось – это размер штрафа. Если раньше за распространение или незаконное использование персональных данных компании должностные лица платили 1000 рублей штрафа, а юридические – 10 000 рублей, то сейчас цены значительно увеличились. После изменений должностным лицам будет выписан штраф в размере от 10 000 до 20 000 рублей, а для юридических лиц размер штрафа составит от 15 000 до 75 000 рублей.
При этом неважно намеренно были разглашены персональные (конфиденциальные) данные или случайно. Под действие закона попадают оба варианта. Кроме этого, согласно статье 13.14 КоАП РФ, ответственность предусмотрена за разглашение информации с ограниченным доступом, а также за нарушение правил защиты информации. Т.е. сотрудники компании, передавшие корпоративную информацию третьим лицам, несут не только материальную, но и административную ответственность.
В каких случаях может произойти утечка конфиденциальной информации?
99% российских компаний имеют корпоративные данные или информацию с ограниченным доступом. Это могут быть контакты корпоративных клиентов, бухгалтерская отчетность, планы и стратегия развития и т.д. Однако ограничена она не для всех. В каждой компании есть группа сотрудников, которые имеют доступ к определенным закрытым файлам. Чаще всего это топ-менеджеры, руководители отделов и т.д. Все эти люди попадают в категорию потенциальных источников утечки информации.
Существуют три ситуации, когда персональные данные могут попасть в чужие руки
Нападение хакеров. В век цифровых технологий люди стали опасаться атаки хакеров, однако стоит отметить, что роль их сильно преувеличена голливудскими фильмами. На самом деле, 90% российских компаний хакерам вообще не интересны и их персональные данные тоже. Однако бороться с хакерскими атаками можно при помощи простых инструментов защиты, например, антивирусных систем.
Утечка «по глупости». Сотрудник компании может случайно выложить чужие персональные данные в Интернет, например, сделать селфи за рабочим столом, где будет лежать открытая папка с данными. Устранить такую потенциальную опасность можно при помощи инструктажа и обучения.
Намеренная кража данных сотрудником, имеющим к ним доступ. В этой ситуации абсолютного способа контроля нет. Штрафы не смогут остановить злоумышленников, особенно тех, кто уже и так решил сменить место работы. DLP системы (продвигаемые именно для защиты такой информации), контролируют либо конкретные файлы, либо данные по определенному шаблону. Именно поэтому их достаточно просто обойти. Подробно про это вы можете прочитать здесь.
Поэтому единственный способ выявить и остановить человека, передающего закрытую информацию во внешний мир — контролировать чем он занимается на своем рабочем компьютере. Для этого необходимо отображать экран его ПК онлайн и записывать все его действия на видео.
Главная проблема в том, как выявить нарушителя без того, чтобы просматривать часы записанного видео. А вот тут поможет, используемая в Kickidler, гистограмма нарушений. Каждое подозрительное действие отображается на гистограмме, достаточно выделить его мышью — и вы сможете просмотреть видео. Видео, где будет точно видно сливал или нет сотрудник данные. Не буду описывать методику подробно, вы можете ознакомиться с ней тут.
На мой взгляд, лучше потратить немного времени и денег на внедрение системы контроля сотрудников, чем рисковать данными контрагентов, доверием к вашей компании и немалыми средствами выплаты штрафов. А насколько легален контроль сотрудников, можно прочитать здесь.