Алексей Мунтян, DHL: Об обработке персональных данных при осуществлении казначейских операций

Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности DHL и спикер Второй встречи дискуссионного клуба «ИТ-безопасность бизнеса», рассказал CFO Russia об особенностях выполнения требований законодательства о персональных данных в отношении казначейских операций.

Какие персональные данные обрабатываются в казначейских системах?

Их набор ограничен: не больше 20–25 категорий. Их можно разделить на две группы.

Первая — идентификационные данные: фамилия, имя, отчество, сведения, которые касаются места работы человека, адрес его проживания, реквизиты документа, удостоверяющего личность.

Вторая группа — финансовая информация: сведения о размере начисленной, выплаченной заработной платы, премий, компенсаций, представительских расходов, реквизиты банковского счета либо карты физического лица и т. д.

Какие существуют способы обработки персональных данных при осуществлении казначейских операций?

Есть три основных способа: обработка без использования средств автоматизации, с использованием средств автоматизации и смешанная, то есть с применением и тех и других средств. Сейчас наиболее активно развивается автоматизированная обработка.

Как давно она внедрена в DHL?

Она активно используется с момента основания компании. У нас много клиентов, агентов, партнеров и подрядчиков, поэтому мы активно используем системы автоматизации.

Каковы особенности правового режима обработки персональных данных в казначейских процессах?

Я бы выделил три основных процесса.

Первый — обработка персональных данных в рамках взаимных расчетов с контрагентами. В этом процессе мы руководствуемся требованиями гражданского и финансового законодательств, включая требования бухгалтерского учета.

Второй процесс — налоговый и бухгалтерский учет в отношении наших работников: расчет заработной платы, компенсаций, премий, отчислений в рамках обязательного социального страхования, возмещение работникам представительских расходов и т. д. Именно этот процесс вмещает в себя большую часть персональных данных, обрабатываемых казначейством. При его организации мы, в первую очередь, руководствуемся требованиями трудового законодательства.

И третий процесс — организация и осуществление независимой проверки бухгалтерской (финансовой) отчетности DHL. Здесь мы опираемся на применимые требования об осуществлении финансового аудита.

Какие требования вы применяете к обработке персональных данных в ИТ-системах?

Мы следуем общим требованиям законодательства, включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Что касается технических требований, то мы руководствуемся Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации…»

Также мы проводим ряд мероприятий, которые касаются защиты персональных данных, в том числе в казначейских системах.

Какие именно мероприятия вы проводите?

Их можно разделить на три части: правовые, организационные и технические.

В рамках правовых мероприятий мы при взаимодействии с нашими контрагентами прописываем условия, которые касаются обеспечения конфиденциальности и безопасности обработки персональных данных.

Мероприятия организационного характера подразумевают учет лиц, у которых есть доступ к нашим казначейским системам. Мы осуществляем их ознакомление с правилами обработки и защиты данных, которые они обрабатывают в этих системах.

Безусловно, мы проводим мероприятия технического характера, то есть обеспечиваем техническую защиту этих систем от неправомерного воздействия на них третьих лиц. При этом безопасность персональных данных при их обработке в казначейских системах обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы.

Насколько сложно было реализовать защиту персональных данных в казначейских ИТ-системах?

Здесь я бы не стал напрямую говорить о сложностях исключительно в казначейских системах. У нас был общекорпоративный проект, в рамках которого мы комплексно исследовали все процессы, системы и документы DHL, которые касаются обработки персональных данных. Проект завершен, но мы постоянно отслеживаем и актуализируем получаемую информацию, чтобы обеспечить защиту персональных данных. Здесь есть момент, на который я хотел бы обратить внимание.

Обработка персональных данных — неосновная задача казначейских систем. Их главная задача -финансовое управление, в отличие от кадровых ИТ-систем, в которых персональные данные — основной объект обработки. Тем не менее, это не означает, что мы должны забыть про казначейство, так как обеспечение безопасности персональных данных одинаково важно в отношении всех информационных систем DHL, где такие данные обрабатываются.

Задать свои вопросы Алексею и узнать больше об опыте DHL вы сможете на Второй встрече дискуссионного клуба «ИТ-безопасность бизнеса», которая пройдет 7 июня 2018 года в Москве.

Ирина Экзархо

Комментарии