Защита прав субъекта ПДн глазами субъекта. Компании готовы увольнять сотрудников за разглашение и использование ПДн клиентов в личных целях.

Защита прав субъекта ПДн глазами субъекта. Компании готовы увольнять сотрудников за разглашение и использование ПДн клиентов в личных целях.
Довольно интересную историю рассказал мой хороший друг. Будет полезно для понимания практики защиты ПДн в российских компаниях.

Мой друг работает в Москве, а его девушка живет в Казани. Она на днях пошла в один крупный сетевой магазин спортивной одежды купить себе новые кроссовки. Кроссовки купила, а еще и заполнила анкету покупателя. Через какое-то время ей пришло смс с незнакомого номера типа "ты мне очень понравились, давай встретимся, это я, продавец из этого магазина". Девушка рассказывает эту историю моему другу, он из Москвы звонит менеджерам магазина в Казань. Говорит, что продавцы нарушают 152-ФЗ, используют ПДн в личных целях, приводит в пример смс. В магазине начинают внутреннюю проверку, поднимают "на уши" все руководство и, особенно, руководителя отдела кадров, смотрят видеозаписи, вызывают продавца и устраивают конференц связь между всеми участниками. В общем, разбираются с текущей ситуацией. Что было дальше? Все просто, 2 человека (продавец и его коллега, который пытался его покрывать) были уволены одним днем по статье (к сожалению какой именно не знаю, полагаю, что за разглашение охраняемой законом информации). 

Что мы можем вынести для себя из этой истории?
  1. Некоторые операторы ПДн в России готовы быстро и довольно жестко реагировать на инциденты, связанные с разглашением и использованием ПДн.
  2. Операторы готовы решать проблемы своими силами и без угроз со стороны регуляторов.  В данной истории мой друг не обращался ни в РКН (нарушение по ПДн), ни в ФАС (нарушение закона о рекламе). Если бы он это сделал, то у магазина могли бы быть некоторые проблемы (внеплановая проверка, предписания и штрафы). 
  3. Субъекты ПДн, далекие от ИТ, ИБ и юридической практики (мой друг именно такой), уже знают о 152-ФЗ и о своих основных правах, а также готовы эти права отстаивать.
  4. Если у нас возникают проблемы с какой-то компанией, которая обрабатывает наши ПДн, то вопрос вполне можно решить "полюбовно", пообщавшись с руководством компании (например с руководителем отдела кадров).

P.S. История не о том "хорошо или плохо поступили", не о том "что наказание слишком сурово", а о том, что защита ПДн, а точнее реагирование на инциденты, в некоторых компаниях в РФ существует и работает.


А вы уже читали отчет о деятельности РКН по направлению ПДн? Я писал про него тут - http://www.securitylab.ru/blog/personal/80na20/31770.php

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Andrey Prozorov

Информационная безопасность в России и мире