В нашем блоге мы часто затрагиваем вопросы, касающиеся работы с персональными данными. Мы говорили об изменениях, связанных со вступлением в силу европейского регламента GDPR, разбирались, почему многие компании оказались к нему не готовы, а также рассказывали о нововведениях социальных медиа, связанных с новым законом.
В сегодняшнем материале мы решили отметить тонкости обработки ПД пользователей в России.
/ фото AJEL PD
Что считается ПД в России
В РФ работу с персональными данными пользователей регламентирует закон №152-ФЗ «О персональных данных». Согласно статье 3, под ПД стоит понимать любые сведения, прямо или косвенно относящиеся к определенному физическому лицу (субъекту ПД). Однако к сожалению, в законе нет перечня, который бы указывал, что можно, а что нельзя считать персональными данными.
Однако в сети можно найти различные списки, составленные отдельными ведомствами и организациями, которые проясняют ситуацию. Например, на сайте управления РКН по Камчатскому краю приводится перечень данных, которые попадают под категорию персональных: в нем числится ФИО, образование и уровень доходов. Отдельные операторы ПД также формируют собственные списки. Например, у АО «Восточно-Сибирский транспортный коммерческий Банк» в нем около 30 категорий. В многопрофильной школе №17 около 40 категорий ПД, которые обрабатываются информационными системами.
Подобная формулировка закона и самые разные примеры, сформированные отдельными организациями, приводят к тому, что установить, считаются ли данные персональными бывает затруднительно. Поэтому в РКН предлагают решение. Нужно задать вопрос, позволяют ли эти данные понять, кому именно они принадлежат? Например, просто имя не дает понимания, о каком конкретно человеке идет речь, а вот ФИО — уже дает (конечно, данный подход заслуживает отдельного обсуждения).
Как работать с персональными данными
В законе №152-ФЗ сказано, что оператор ПД — это государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами осуществляющие обработку персональных данных, а также определяющие цели их обработки и состав. И такие компании попадают под действие статей 5 и 6 упомянутого закона, описывающие принципы и условия работы с ПД пользователей.
В них сказано, что операторы обязаны следовать определенным правилам:
- Оператор обязан получить согласие владельца ПД на их обработку. Человек должен знать, какую информацию о себе он предоставляет и для чего (на «Хабре», например, прописаны политики обработки ПД, где эти моменты обозначены). При этом оператор обязан по требованию проинформировать пользователя о том, какие его данные он хранит.
- Оператор обязан придерживаться целей обработки данных, прописанных в политиках, то есть он может запрашивать только те данные, которые нужны для выполнения той или иной задачи. Запрашивать лишние данные «на всякий случай» запрещено. К примеру, для регистрации учетной записи пользователя в онлайн-магазине нельзя просить номер паспорта. Однако если речь идет о ресурсе какой-либо госорганизации, то здесь запрос паспортных данных может быть оправдан.
- Хранить данные можно до тех пор, пока они нужны для выполнения цели их обработки. После этого оператор обязан их удалить или обезличить.
/ фото Cal Injury Lawyer PD
Как обрабатывать данные в облаке
Бывает, что реализовать все требования к обработке ПД довольно сложно и трудоемко. Однако ФЗ-152 не говорит, какими техническими средствами обязан пользоваться оператор при обработке данных. В пункте 3 статьи 6 ФЗ-152 прописано, что он может поручить обработку ПД кому-то другому, если владелец ПД даст на это свое согласие.
Поэтому многие компании отдают задачу выполнения требований закона на аутсорс: к примеру, облачным провайдерам, предоставляющим услугу «Облако ФЗ-152». Она позволяет арендовать инфраструктуру с полным набором административных (и технических) механизмов защиты ПД.
Однако в этом случае также есть нюансы, о которых следует помнить. Сперва нужно подписать договор с облачным провайдером, в котором указать цели обработки данных, список проводимых действий над ПД и механизмы их защиты. Причем комплекс защитных мер должен строиться согласно правилам, описанным в статье 19 закона о ПД.
Помимо этого, в договоре важно определить зоны ответственности: за что отвечает оператор, а за что — провайдер.
Для этого оператор должен:
- Определить уровень защищенности информационной системы ПД;
- Понять, какие меры безопасности из статьи 19 сможет обеспечить он сам, а какие нужно поручить провайдеру;
- Построить модель актуальных угроз в собственном сегменте информационной системы и внедрить необходимые меры безопасности со своей стороны.
В свою очередь, облачный провайдер должен сделать следующее:
- Получить лицензии Минкомсвязи (если оператор планирует передавать данные или работает с телематическими услугами), а также ФСБ и ФСТЭК;
- Понять, что может угрожать данным в облаке и максимально защитить их;
- Помочь заказчику с реализацией мер защиты на клиентской стороне и предоставить ему возможность развернуть дополнительные средства безопасности (с помощью PaaS или IaaS).
При этом важно помнить, что согласие на обработку персональных данных пользователей все также получает оператор — это не входит в список обязанностей облачного провайдера. Это требование прописано в третьем и четвертом пунктах статьи 6 ФЗ. Таким образом, ответственность перед владельцем ПД за действия провайдера несет оператор.
Однако провайдер отвечает за свои действия перед оператором. Например, провайдер не выполнил условия договора и допустил утечку ПД. Владельцы ПД этим очень недовольны. В этом случае провайдер будет отвечать за последствия перед оператором, а оператор — перед пострадавшими людьми.
Чтобы свести число неприятных ситуаций к минимуму, при выборе облачного провайдера оператору стоит запросить у провайдера документ, который подтверждает прохождение аудита на соответствие декларируемому уровню защищенности. Также стоит попросить его показать модель защиты выделенного сегмента облака от потенциальных угроз, а также оценить способы резервного копирования и восстановления данных.
Штрафы за нарушение правил работы с ПД
В июле прошлого года в силу вступил новый ФЗ, согласно которому штрафы за нарушение закона об обработке персональных данных в России составляют от 1 до 75 тыс. руб. Например, штраф за обработку ПД без согласия пользователя составляет от 3 до 5 тыс. рублей для физических лиц и от 30 до 75 тыс. рублей для юрлиц. А отказ предоставить владельцу ПД информацию о том, как обрабатываются его данные, может лишить юрлицо 20–40 тыс. рублей.
Уже были случаи, когда компании штрафовали за нарушения в сфере обработки ПД. Например, кейс ООО «ТГЮК», где компанию привлекли к ответственности за то, что на её сайте к форме обратной связи не прилагалось соглашение о конфиденциальности.
Как обработать ПД и не нарушить закон
Всем, кто собирает, обрабатывает, хранит ПД или поручает операции с ними другим лицам, важно оценить все эти процессы на предмет соответствия закону. Для этого мы предлагаем воспользоваться следующим чек-листом:
- Зарегистрируйтесь в Роскомнадзоре как оператор ПД.
- Определите цель обработки ПД и не используете данные пользователей «не по назначению» (например, не стоит включать пользователя в рассылку с информацией об акциях по электронной почте, на получение которой он не соглашался).
- Предупредите пользователя, что его персональные данные будут обрабатываться. Получите его согласие на это.
- В случае если вы планируете воспользоваться услугой «Облако ФЗ-152», то заключите соответствующий договор с провайдером, в котором укажите обязанности сторон и цели использования ПД пользователей.
- Внедрите меры защиты, указанные в статье 19 ФЗ-152.
- Проверяйте систему на наличие устаревших или неполных данных о клиентах. Их нужно удалить или обезличить.
- Дополнительно проведите инструктаж с персоналом компании о тонкостях обработки ПД пользователей.
Это позволит выделить потенциальные слабые места, реализовать недостающие защитные меры и избежать штрафов или потенциальных судебных исков.
P.S. Материалы по теме из Первого блога о корпоративном IaaS:
- Что относится к персональным данным с точки зрения российского регулятора
- Принципы обработки персональных данных: о чем говорит закон
- Защита персональных данных: европейский подход
P.P.S. Другие статьи из нашего блога на Хабре:
- «Согласно GDPR»: как соц.сети меняют политики конфиденциальности
- Пропущенный дедлайн, или почему больше половины компаний оказались не готовы к GDPR
- Как реформа авторского права в ЕС изменит положение дел в Сети
Автор: it_man