ПРАВО.ru
Практика
28 сентября 2021, 22:07

Секреты под замком: как защитить информацию в 2021 году

Секреты под замком: как защитить информацию в 2021 году
В период пандемии значимость интернета вышла на совершенно новый уровень: из-за режима удаленки огромные массивы информации перевели в облачные хранилища и на серверные системы. Но едва ли персональные данные и ключевые сведения о контрагентах компаний в таких условиях находятся под надежной защитой. Как бороться с утечками, защитить коммерческую тайну и персональные данные, рассказали эксперты на тематической конференции «Право.ru».

Защита, документы и соглашения

Отсутствие информационного воспитания как у работников, так и работодателей, приводит к утечкам различных сведений, заявил руководитель практики правовой защиты информации Пепеляев Групп Пепеляев Групп Федеральный рейтинг. группа Банкротство (реструктуризация и консультирование) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа Комплаенс группа Налоговое консультирование и споры (консультирование) группа Налоговое консультирование и споры (споры) группа Природные ресурсы/Энергетика группа Трудовое и миграционное право группа Цифровая экономика группа Экологическое право группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (споры mid market) группа Интеллектуальная собственность (защита прав и судебные споры) группа Корпоративное право/Слияния и поглощения (high market) группа Недвижимость, земля, строительство (консультирование) группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение (фармацевтика) группа Финансовое/Банковское право группа Защита персональных данных группа Разрешение споров в судах общей юрисдикции группа Семейное и наследственное право Дмитрий Зыков. Поэтому надо заботиться, чтобы конфиденциальная информация защищалась, проводить организационную и юридическую работу.

Не все отдают себе отчет в том, что они работают с конфиденциальной информацией и что нужно соблюдать правила работы с такой информацией.

Дмитрий Зыков, руководитель практики правовой защиты информации, юридическая компания «Пепеляев Групп»

Для усиления защиты данных эксперт рекомендует использовать «информационное воспитание»: разрабатывать локальные нормативные акты компании о безопасности конфиденциальной информации и применять технические средства защиты. Следует обратить внимание и на зоны риска, актуальные в 2021 году. Сейчас, когда многие работают удаленно, следить за сохранностью данных стало сложнее, поэтому важно уделять этому больше внимания и, например, запрещать сотрудникам пользоваться внешними информационными ресурсами для обмена документами.

Подробнее о том, как оградить фирму от разглашения коммерческой тайны, рассказала Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф Клифф Федеральный рейтинг. группа Фармацевтика и здравоохранение (медицина и здравоохранение) группа Защита персональных данных группа Интеллектуальная собственность (регистрация) группа Корпоративное право/Слияния и поглощения (mid market) группа Ритейл, FMCG, общественное питание группа ТМТ (телекоммуникации, медиа и технологии) 48место По выручке . Зачастую компании хотят усилить существующий режим защиты персональных данных и охранять их в качестве коммерческой тайны. Так же бывает и с результатами интеллектуальной деятельности. «Режим коммерческой тайны позволяет наилучшим образом защитить информацию. Он обеспечен законом и государством, и в случае, если компания располагает необходимыми финансовыми и бюрократическими ресурсами, он позволит наилучшим образом защитить информацию», — отметила юрист.

К коммерческой тайне, по словам Ахмедовой, можно отнести «практически любую информацию». Но нужно ознакомить с положением всех сотрудников, подписать с ними и контрагентами соглашения. Также важно вести учет лиц, получивших доступ к такой информации. «Чем детальнее расписан подход к коммерческой тайне, тем больше шансов, что в случае судебного разбирательства виновные [в разглашении тайны] будут наказаны», — объяснила юрист.

Эксперт посоветовала внимательнее относиться к правам доступа к документам, составляющим тайну. Желательно четко давать понять об этом сотрудникам, в чем помогут водяные знаки на каждой странице файла. Можно также предусмотреть, что документ нельзя скопировать и изменить, ограничить права доступа. Не лишним будет оформить запрет использования облачных хранилищ для хранения таких документов, советует Ахмедова.

ЦБ усложнит доступ банков к персональным данным клиентов

А о защите персональных данных говорил Михаил Хохолков, ведущий юрист INTELLECT (ИНТЕЛЛЕКТ) INTELLECT (ИНТЕЛЛЕКТ) Федеральный рейтинг. группа Защита персональных данных группа Цифровая экономика группа ТМТ (телекоммуникации, медиа и технологии) 13место По количеству юристов 30место По выручке на юриста 45место По выручке Профайл компании . С 1 марта 2021 года вступили в силу поправки в закон «О персональных данных». Поэтому теперь для распространения персональных данных нужно получить согласие от гражданина по специальной форме согласия. Каждый оператор должен разработать свой бланк согласия или веб-форму, напомнил эксперт. Он дал несколько советов по оформлению такой формы. Так, согласие должно содержать сведения о Ф. И. О. клиента, контактной информации, целях распространения данных и другую информацию. Согласие дается на четко определенный срок, напомнил юрист. Допускается любая форма согласия, позволяющая подтвердить факт его получения.

Максим Зиновьев, руководитель отдела по защите персональных данных юридической фирмы Б-152, остановился на теме Legal design в выработке политики конфиденциальности компании. Политику конфиденциальности просто не читают, если она представляет собой «стену текста». Поэтому важно, чтобы документ был наглядным и понятным. Юрист предложил вычеркивать ненужные разделы из Политики, избавиться от сложных терминов. При этом самые важные положения он советует излагать в самом начале документа, вместе с оглавлением, чтобы субъект мог быстро найти то, что его интересует. Цветовое кодирование, крупные заголовки, читаемые шрифты — визуальная составляющая тоже важна, подчеркнул Зиновьев.

Зачастую персональные данные и базы таких данных становятся предметом сделки между двумя компаниями. Станислав Румянцев, старший юрист ЮФ Городисский и Партнеры Городисский и Партнеры Федеральный рейтинг. группа Защита персональных данных группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа ТМТ (телекоммуникации, медиа и технологии) , показал на примерах, какие ошибки могут содержаться в таких сделках. Например, иностранная компания разработала онлайн-игру, нашла в России партнера, предоставила ему право на техническую поддержку и локализацию продукта. Основной актив такого продукта — база данных пользователей, субъектов персональных данных, пояснил юрист. При этом оператором базы данных стала российская компания, и это стало ошибкой иностранных партнеров: тем следовало назвать оператором себя, а российскому контрагенту просто доверить обрабатывать данные по поручению.

Если нужно заключить соглашение, по которому подрядчик будет заниматься формированием или администрированием базы данных, включите в договор указание не только на Гражданский кодекс, но и на Закон о персональных данных. Он имеет большую силу в таких делах.

Станислав Румянцев

Против Роскомнадзора

А Иван Кайсаров, старший юрист Versus.legal Versus.legal Федеральный рейтинг. группа ГЧП/Инфраструктурные проекты группа Интеллектуальная собственность (регистрация) группа Корпоративное право/Слияния и поглощения (mid market) группа Цифровая экономика группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (консультирование) группа Недвижимость, земля, строительство (консультирование) группа Семейное и наследственное право группа Финансовое/Банковское право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Интеллектуальная собственность (защита прав и судебные споры) группа Разрешение споров в судах общей юрисдикции группа Ритейл, FMCG, общественное питание группа Экологическое право группа Банкротство (споры mid market) группа Налоговое консультирование и споры (консультирование) группа ТМТ (телекоммуникации, медиа и технологии) 9место По количеству юристов 29место По выручке на юриста 32место По выручке Профайл компании , рассказал о последствиях нарушения закона о персональных данных. В 2021 году в законодательстве появились штрафы до 200 000 руб. для юридических лиц за разглашение персональных данных. А еще недавно все штрафы за нарушения увеличили в два раза. Самые крупные все еще положены за нарушение обязанности по локализации персональных данных — до 18 млн руб. за повторное нарушение.

В первую очередь у вас должна быть работа в трех направлениях: правовом, разъяснительно-воспитательном и техническом. Если у вас много дистанционных работников, система должна обеспечить конфиденциальность данных.

Иван Кайсаров

Среди типичных нарушений, которые допускают компании, Кайсаров выделил получение «резиновых» согласий на обработку данных без конкретных целей, отсутствие бумаг, описывающих процесс обработки данных, и передача информации третьим лицам без права на это. Он посоветовал четко прописывать в документах все процедуры работы с данными, и тогда проблем с государством в лице Роскомнадзора будет меньше.

О том, как успешно пройти проверку надзорного органа, говорили начальник отдела правовой поддержки цифровых сервисов и сопровождения проектов X5 Group Александра Николаева и Артем Дмитриев, руководитель практики по защите данных PwC Russia. Дмитриев отметил последние изменения в контрольно-надзорной деятельности. Теперь все проверочные и контрольные мероприятия РКН должны быть согласованы с Генпрокуратурой. Поэтому стало возможным узнавать о мероприятиях напрямую через «Единый реестр проверок».

Еще одно важное изменение — новый риск-ориентированный подход. Теперь организации распределены по уровню риска от «высокого» до «низкого». От этого зависит частота проверок ведомства. А сама продолжительность проверок сократилась вдвое — с 20 до 10 дней. «К проверкам Роскомнадзора нужно готовиться точно так же, как если бы она проводилась в течение 20 дней. Поэтому они будут смотреть на понятные им «болевые места», — подчеркнул юрист.

У Роскомнадзора не хватает людей, чтобы проводить много проверок и проводить их тщательно. Это очевидно.

Артем Дмитриев

Юрист практики интеллектуальной собственности Lidings Lidings Федеральный рейтинг. группа Фармацевтика и здравоохранение (фармацевтика) группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа Защита персональных данных группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (регистрация) группа Природные ресурсы/Энергетика группа Транспортное право группа Трудовое и миграционное право группа Антимонопольное право группа Банкротство (споры mid market) группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (high market) группа ТМТ (телекоммуникации, медиа и технологии) группа Налоговое консультирование и споры (консультирование) группа Санкционное право 6место По выручке на юриста 16место По выручке 23место По количеству юристов Алексей Возжаев рассказал о самых интересных спорах Роскомнадзора с коммерческими компаниями. По словам эксперта, он пытался составить топ-5 споров за прошедший год, и в топ вошли WhatsApp, Facebook, Twitter и Google. Эти компании наказали на нарушение правила, согласно которому иностранные IT-гиганты должны локализовать данные пользователей в России. Сейчас многие иностранные компании, которые работают в России, получают «письма счастья» на этот счет, подчеркнул Возжаев.

Offline и online: как бизнесу работать с персональными данными

Вспомнил юрист и о постановлении Конституционного суда № 22-П, в котором врач из Воронежа добивалась удаления ее профиля с портала отзывов о врачах, поскольку некоторые из этих отзывов оказались оскорбительными. КС признал, что распространение данных работника, ранее раскрытых медицинской организацией, не нарушает прав таких работников (подробнее — «КС разрешил публиковать общедоступные данные о врачах»).

Наши следующие конференции

В конце сентября и начале октября Право.ru проведет множество интересных мероприятий. Вот ближайшие из них:

30 сентября — Налоговая политика и налоговые споры.

13 октября — Девелопмент и строительство: правовые вопросы.

19 октября — Семейное и наследственное право: законодательные изменения и актуальная практика.