Как нам кажется, самое безопасное решение на сегодня — "omnia mea mecum porto"* — "всё своё ношу с собой", как и во времена взятия ионийской Приены персидским царём Киром. Но почему? Давайте разбираться вместе :)
Нужно признать, что смартфоны — неотъемлемая часть корпоративной среды, но их встроенные функции синхронизации данных могут стать источником серьёзных рисков при обработке персональных данных (ПДн). Особенно понимание этого становится актуально в свете ужесточения законодательства в 2025 году.Современные смартфоны предлагают очень удобные средства синхронизации с облачными сервисами производителей. Это позволяет избегать частого ручного резервирования данных, находящихся на устройстве, например адресных и телефонных книг. Однако, если в синхронизируемой с iCloud или сервисами Google и т.п. адресной книге корпоративного устройства сохраняются ПДн клиентов или представителей контрагентов, Роскомнадзор может с удовольствием квалифицировать это как трансграничную передачу данных.
типичные кейсы:
Доступ к ПДн: Пользователь имеет доступ к ПДн, которые находятся в защищенной системе в рамках своей деятельности. Пользователь ознакомлен (или нет, что хуже) с соответствующими правовыми нормами
Синхронизация: На корпоративном (или нет, что хуже) устройстве пользователя включена синхронизация с иностранными облачными сервисами, серверы непосредственного базирования которых находятся за границей.
Утечка данных: ПДн из защищённой системы хранения ради удобства пользователя (или в других целях, что хуже) попадает в адресную книгу на устройстве, что может привести к трансграничной передаче данных и утечке, если это был личный смарт.и поехали:
За саму утечку персональных данных
За непредоставление информации об утечке персональных данных - там даже с физика штрафы могут быть в районе сотни тысяч р.
За трансграничную передачу
и т.д., и т.п.:
Нарушение требований по обработке ПДн может повлечь за собой серьёзные последствия.
Основные штрафы для организаций и ИП
За неуведомление Роскомнадзора о трансграничной передаче персональных данных — от 100 000 до 300 000 руб. для организаций и ИП.
За обработку персональных данных без согласия субъекта или с нарушением целей обработки — от 50 000 до 300 000 руб. для организаций и ИП.
За утечку персональных данных: если затронуто до 1 000 физических лиц — от 1 до 3
За повторную утечку персональных данных любой категории — оборотный штраф: от 1 до 3% годовой выручки
За несвоевременное уведомление об утечке — до 3 млн руб.
Дополнительные санкции
За передачу данных за рубеж без соблюдения порядка (например, без локализации, без согласия, без уведомления Роскомнадзора):
первый случай — до 6 млн руб. для организации;
повторное нарушение — до 18 млн руб.
Для минимизации рисков рекомендуется:
Использовать защищённые системы: для работы, связанной с использованием ПДн с мобильных устройств мы предлагаем использовать связку из облачных АТС и CRM, предоставляемых провайдерами на территории РФ, внутри которых и будет храниться критичная информация.
Ограничить синхронизацию: Откажитесь от синхронизации данных с облачными сервисами производителей смартфонов на устройствах, содержащих ПДн клиентов и представителей контрагентов.
Обучение сотрудников: Проводите регулярные тренинги по безопасности обработки ПДн. Искать полезное и нужное для тренингов можно в ФЗ-420, ФЗ-421, ФЗ-152, 13.11 КоАП РФ
нетипичные кейсы:
▌ Трансграничная передача персональных данных
Согласно пункту 11 статьи 3 Федерального закона № 152-ФЗ, трансграничная передача персональных данных необходима в случаях, когда работодатель направляет сотрудника в зарубежную командировку, участие в международном форуме, конференции или обучении. Это подразумевает покупку билетов, бронирование гостиницы или передачу сведений об участниках мероприятия иностранным организаторам. Паспортные данные - ПДн.
Подобные операции сопровождаются отправкой персональной информации российского гражданина за пределы страны и требуют обязательного уведомления Роскомнадзора.▌ Расширение полномочий Роскомнадзора
Основные изменения: Новые правила обработки персональных данных значительно усиливают контрольные функции надзорных органов, особенно Роскомнадзора, чьи полномочия были расширены следующим образом:
Разрешено проведение внеплановых проверок без предварительного уведомления организаций.
РКН может требовать и беспрепятственно получать доступ к внутренним системам компаний для проведения аудиторских мероприятий.
РКН может мгновенно блокировать онлайн-ресурсы, нарушающих законодательство о защите персональных данных.
Кроме того, Роскомнадзор продолжает вести единый реестр операторов персональных данных, созданный согласно Федеральному закону № 152-ФЗ, обеспечивая централизованный мониторинг их деятельности и быстрое реагирование на возможные инциденты.
Увеличение контроля со стороны государства.
Вскоре выделенные полномочия проверять меры защиты персональных данных (и технические, и организационные) могут получить и другие ведомства, тогда как раньше проверка производилась только от Роскомнадзора. Мы ожидаем увеличения количества таких ведомств. Мы полагаем, что скоро представители компетентных органов получат возможность законно заявиться в гости с проверкой к кому угодно. Присматривать за тем, как всё сделано у любых операторов, а не только в госорганах, смогут работники ФСБ и ФСТЭК, например.
Последствия для бизнеса:
Нарушения приводят не только к финансовым санкциям (штрафы очень высокие, как будто каждый оператор ПДн - яндекс), но и серьезным репутационным рискам. Информация о нарушениях доступна публично, что негативно сказывается на доверии потребителей и партнеров
Соблюдение законодательства в области обработки ПДн не только предотвращает юридические и финансовые риски, но и способствует укреплению доверия со стороны клиентов и партнёров. Важно помнить, что ответственность за нарушение законодательства лежит на организации и её сотрудниках.
требованиям 104-ФЗ, принесшему изменения в КоАП РФ и (Статья 13.12 и др.) др.,
требованиям 152-ФЗ «О персональных данных»
требованиям 63-ФЗ «Об электронной подписи»
Приглашаем вас оставить заявку на нашем сайте administrators.ru, или связаться с нами удобным образом - звоните на +7-98-98-11-13-98 (тап), пишите на get1@administrators.ru, а ещё можно сделать заказ на бирже kwork
следите за нашими анонсами в нашем телеграм канале @RuAdminGuild
*"Все свое ношу с собою" - авторство приписывается Бианту, в латинском варианте стало известно из "Парадокса стоиков" Цицерона
==
Мы не скрываем, что в написании статьи нам помогали нейросети.