Довольно интересную историю рассказал мой хороший друг. Будет полезно для понимания практики защиты ПДн в российских компаниях.
Мой друг работает в Москве, а его девушка живет в Казани. Она на днях пошла в один крупный сетевой магазин спортивной одежды купить себе новые кроссовки. Кроссовки купила, а еще и заполнила анкету покупателя. Через какое-то время ей пришло смс с незнакомого номера типа "ты мне очень понравились, давай встретимся, это я, продавец из этого магазина". Девушка рассказывает эту историю моему другу, он из Москвы звонит менеджерам магазина в Казань. Говорит, что продавцы нарушают 152-ФЗ, используют ПДн в личных целях, приводит в пример смс. В магазине начинают внутреннюю проверку, поднимают "на уши" все руководство и, особенно, руководителя отдела кадров, смотрят видеозаписи, вызывают продавца и устраивают конференц связь между всеми участниками. В общем, разбираются с текущей ситуацией. Что было дальше? Все просто, 2 человека (продавец и его коллега, который пытался его покрывать) были уволены одним днем по статье (к сожалению какой именно не знаю, полагаю, что за разглашение охраняемой законом информации).
Что мы можем вынести для себя из этой истории?
- Некоторые операторы ПДн в России готовы быстро и довольно жестко реагировать на инциденты, связанные с разглашением и использованием ПДн.
- Операторы готовы решать проблемы своими силами и без угроз со стороны регуляторов. В данной истории мой друг не обращался ни в РКН (нарушение по ПДн), ни в ФАС (нарушение закона о рекламе). Если бы он это сделал, то у магазина могли бы быть некоторые проблемы (внеплановая проверка, предписания и штрафы).
- Субъекты ПДн, далекие от ИТ, ИБ и юридической практики (мой друг именно такой), уже знают о 152-ФЗ и о своих основных правах, а также готовы эти права отстаивать.
- Если у нас возникают проблемы с какой-то компанией, которая обрабатывает наши ПДн, то вопрос вполне можно решить "полюбовно", пообщавшись с руководством компании (например с руководителем отдела кадров).
P.S. История не о том "хорошо или плохо поступили", не о том "что наказание слишком сурово", а о том, что защита ПДн, а точнее реагирование на инциденты, в некоторых компаниях в РФ существует и работает.
А вы уже читали отчет о деятельности РКН по направлению ПДн? Я писал про него тут - http://www.securitylab.ru/blog/personal/80na20/31770.php