— Екатерина, почему вы решили вернуться к своей деятельности к вопросу защиты персональных данных?
— Несколько лет назад я занималась тем, что обучала гостиницы по вопросам миграционного учета и персональным данным. Два года назад у нас изменилось законодательство, были внесены изменения, добавлен пункт про уголовную ответственность за разного рода правонарушения, например, за незаконное использование персональных данных по незащищенным каналам связи.
Далее все это существовало в вялотекущем режиме, что вряд ли могло меня заинтересовать.
Но я, наконец, дождалась активных действий и определенных запросов со стороны отельеров, так как их стали проверять, в том числе, и со стороны Роскомнадзора, потому что они являются операторами по обработке и передаче данных. Некоторые крупные отели стали проверять на предмет, защищены ли у них компьютеры, особенно, если у отеля есть филиалы или гостиница расположена в разных корпусах.
— Какие есть виды защиты персональных данных, которыми вы занимаетесь?
— Если мы говорим про идеальную картину мира, то гостиница должна иметь все виды защиты персональных данных.
Во-первых, это тот пакет документов, который должен быть на предприятии. Там около 70 документов в актуальном виде, также они должны быть сделаны на тех людей, которые у вас работают. Некоторые объекты в надежде сэкономить добывают примерный список документов и считают, что так они защитили себя. Важно, чтобы к этому списку прилагались еще и знания, а также понимание, как их правильно оформить и какие конкретно люди будут за это отвечать.
Взятый стандартный шаблон не защитит вашу гостиницу от проверок. Обязательно должен быть список, разработанный под вашу компанию, людей, с которыми происходит взаимодействие, обязательно необходимо обозначать в данных документах.
Чтобы владеть всей ситуацией и правильно работать с документами, человек должен быть очень подготовлен, владеть специфическими знаниями.
Второй момент — это защита персональных данных на техническом уровне. Если вы работаете с компьютерами (а это 100%), то у вас также должна быть установлена защита. Если мы говорим про крупные отели, то все каналы связи, по которым передаются данные, должны быть защищены. Если вы работаете через свои собственные сайты, а не только через сайты партнеров, то у вас должны быть обязательно выложены документы в открытый доступ, чтобы человек мог ознакомиться с ними.
Конечно, это идеальная картина мира, когда предприятие делает все на 100%. Если, например, вы сделали аудит, разработали положения, но при этом у вас каждые несколько месяцев происходит ротация кадров. Это тоже важно понимать, что все должно соответствовать.
Есть еще такая услуга, как поддержка документов в актуализированном виде, этим тоже не надо пренебрегать. Компания потратит на это очень незначительную сумму в год, но зато будет защищена от проблем.
Прилагаем только малую часть документов, которые необходимо освоить:
- Приказ “Об организации работы по защите конфиденциальной информации и персональных данных”.
- Перечень сведений конфиденциального характера.
- Перечень защищаемых информационных ресурсов.
- Положение о порядке организации и проведения работ по защите конфиденциальной информации.
- Описание технологического процесса обработки информации.
- Форма журнала учета средств защиты информации.
- Инструкция по заполнению журнала учета средств защиты информации.
- Форма Журнала учета организационно-распорядительных документов.
- Форма Журнала выдачи электронных идентификаторов.
- Форма Обязательства о неразглашении сведений конфиденциального характера и персональных данных.
- Политика информационной безопасности.
- Положение по защите информации от утечки по техническим каналам.
- Положение о конфиденциальной информации.
- Инструкция по парольной защите.
- Форма парольной карты.