Если посмотреть на официальное определение, то Персональные Данные это — любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных).
Определение достаточно туманное, и, вероятно, именно поэтому руководителям не до конца понятно, что же такое ПДн, а необходимость их защищать выглядит досадной препоной, которая мешает работе.
Если просто, то ПДн это, например, Ф.И.О., дата рождения, номер телефона, фотография, ИНН, медицинская карта. Все, что имеет отношение к человеку. Но главное, что важно понимать, ПДн это ценность, а соответственно и товар. Базы «утекших» персональных данных продаются в даркнете, это выгодный бизнес, спрос есть всегда. Такие базы злоумышленники используют, к примеру, для спам-звонков, либо для мошеннических схем. Многим знакома ситуация, когда после заполнения заявки на скидочную карту в кофейне, где указаны только Ф.И.О. и номер телефона, на следующий день уже начинаются звонки от «Службы безопасности сбербанка».
Но это проблема субъекта. Для бизнеса риски от разглашения ПДн значительно серьезнее.
Риск первый – это нарушение законодательства Российской Федерации. Обработка ПДн регулируется 152-ФЗ «О персональных данных» и рядом подзаконных актов. Нарушение режима обработки ведет к административным штрафам согласно КоАП РФ. Максимальный размер штрафа – восемнадцать миллионов рублей, но в среднем обычные штрафы для юридического лица около ста тысяч рублей. Сумма для среднего и крупного бизнеса незначительная и потому требованиями закона часто пренебрегают. Но стоит учесть, что осведомленность граждан (субъектов ПДн) о своих правах в области защиты их данных растет постоянно. Появляются ролики, где гражданам объясняют их права, выходят статьи в журналах, и даже банки внедрили базовый ликбез по информационной безопасности для пользователей в свои приложения. Даже один инициативный и грамотный гражданин, права которого при обработке ПДн были нарушены – это неприятно. Но что если таких будет пять, десять, сто?
Риск второй – репутационный. Утечка ПДн клиентов – это всегда серьезный удар по репутации предприятия. Скрыть такую утечку в век интернета и социальных сетей не получится, а особо крупные утечки попадают в новости, в том числе и федеральные. Никто не хочет для себя такой славы.
Ну и самый главный риск – потенциальный. Надо учитывать, что ПДн – это не только данные клиентов, но и в первую очередь это данные сотрудников и руководящего состава. Злоумышленник может и будет использовать эти данные для проникновения в сеть предприятия, мошеннических схем, конкурентной разведки. Область применения ограничивается только фантазией.
Есть еще один очень важный фактор. Законодательство Российской Федерации в области защиты информации с каждым годом неизменно ужесточается. Это логично, государство начинает понимать важность и ценность информации, опасность информационной войны. Также государству нужны деньги, а это налоги и штрафы. И нет лучше области для сбора штрафов, чем нарушение режима обработки ПДн, где нарушения являются, к сожалению, нормой. Уже разработан законопроект о введении оборотных штрафов до пятисот миллионов рублей, ввести в силу его планируют в 2023 году. Полмиллиарда рублей – это уже очень серьезно. В качестве меры наказания рассматривается и тюремное заключение сроком до шести лет.
Заняться защитой ПДн стоит уже сейчас. Во-первых, это не дорого. Если организация обрабатывает только ПДн сотрудников и не работает с экзотикой вроде биометрии или медицины, то дело обойдется, скорее всего, просто организационными мерами. Во-вторых, это пойдет на пользу общей информационной безопасности. Организованность процессов и правильные настройки системы защиты – это всегда хорошо. Ну и в-третьих, когда (именно когда, а не если) оборотные штрафы будут введены, не придется в авральном режиме приводить всё в порядок, или искать исполнителя, который бы сделал это за вас, на пике спроса.