Персональные данные: правильно обрабатываем и храним

К понятию «Персональные данные» можно отнести не только личные данные конкретного человека (ФИО, адрес, телефон), но и любую другую информацию, которая прямо или косвенно его касается. Правильная обработка и хранение персональных данных нивелируют вероятность попадания этой информации к третьим лицам. Что необходимо знать об этом, чтобы избежать утечки ПДн?

К ПДн относится любая информация, касающаяся физического лица, которое идентифицировано или его можно идентифицировать. В ФЗ РФ №152 четко прописано, кто и на каких условиях имеет право получать данные и оперировать ими.

При регистрации на различных сайтах, интернет-магазинах и социальных сетях пользователь указывает свои персональные данные и дает согласие на их обработку.

Однако оператор не может использовать полученную информацию в каких-либо других целях, кроме тех, ради которых и зарегистрировался непосредственно сам пользователь. Это означает, что если покупатель зарегистрировался на сайте интернет-магазина и совершил покупку, то его персональные данные не могут далее использоваться этим интернет-магазином для каких-либо других целей и тем более передаваться третьим лицам.

Закон четко регулирует вопрос обработки и хранения персональных данных, обязывая операторов по сбору ПДн выполнять целый перечень требований. Если требования игнорируются, на оператора будет наложен штраф. Меры по защите персональных данных должны неукоснительно выполнять все, кто работает с такой информацией – как юридические, так и физические лица.

Все сведения персонального характера делятся на виды в зависимости от степени их конфиденциальности, сложности их получения и прав на использование третьей стороной.

Иные персональные данные – это ФИО, адрес проживания, регион проживания, место работы, паспортные данные, номер телефона и прочее. В категорию персональных данных попадают комбинации - то есть, например, фамилия и имя без адреса не позволяют идентифицировать человека в полном объеме. А вот наличие кроме ФИО информации о его месте проживания уже указывает на конкретное физическое лицо, то есть является его ПДн.

Биометрические ПДн– при помощи этих данных также можно установить личность человека. К биометрическим данным относятся физиологические и биологические отличительные черты того или иного человека. Это могут быть отпечатки пальцев, какие-либо анатомические особенности (родимое пятно, родинка, хромота), ДНК, радужная оболочка глаз. В государственных органах чаще всего в виде биометрического идентификатора выступают отпечатки пальцев, которые используют при изготовлении паспортов.

Персональные данные, разрешенные для распространения (до 1 марта 2021 года - общедоступные данные) – данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Это могут быть, например, ФИО, телефон, электронный адрес.

Персональные данные обезличенного типа представляют собой информацию, по которой невозможно определить конкретное физическое лицо без дополнительных данных.

Специальные ПДн – это сведения из медицинской документации, данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, доступ к которым у третьих лиц ограничен. Чтобы получить доступ к специальным ПДн третьему лицу для целей, не связанных с государственным регулированием, необходимо оформить соответствующее разрешение.

К субъектам персональных данных относится физическое лицо, чьи данные обрабатываются. Оператор – соответственно, сторона, обрабатывающая эти данные. Субъектом считается, например, покупатель, который приобретает в интернет-магазине холодильник. Чтобы заказать курьерскую доставку этой бытовой техники, человеку придется указать свои личные данные, адрес, телефон. Информация позволяет идентифицировать покупателя, поэтому относится к персональным данным.

В роли оператора может выступать как компания, так и физическое лицо. Оператор собирает данные покупателя, обрабатывает их и хранит. Также он определяет цели такой обработки.

Чтобы ориентироваться в основных правилах, касающихся требований по защите ПДн, мы подготовили список соответствующих постановлений, приказов и методических рекомендаций от уполномоченных государственных органов.

1. Постановление от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

2. Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

3. Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".

4. Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1. Приказ Роскомнадзора от 15.03.2013 N 274 (ред. от 14.01.2019) Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.

2. Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") (Зарегистрировано в Минюсте России 10.09.2013 N 29935).

ФСБ

1. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21.02.2008 № 149/54-144).

2. Типовые требования по организации и обеспечению функционирования цифровых (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 21. 02.2008 № 149/6/6-622).

3. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности.

4. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

В 2020 году объем глобального рынка облачных вычислений был оценен в $371,4 млрд. Через пять лет, по прогнозам экспертов, эта цифра будет равна уже $832,2 при условии, что среднегодовой темп роста сохранится на уровне 17,5%. В чем секрет такой популярности инструмента? Одним из важных факторов роста использования облачных серверов стало то, что облако сегодня воспринимается государством и бизнесом как надежная и безопасная технология, которая, наряду с другими преимуществами, способна защитить ПДн.

Компания, идущая в ногу со временем и желающая обеспечить максимальную защиту ПДн клиента, старается использовать для этих целей облако. При этом сам облачный провайдер не считается оператором персональных данных – им является только компания-заказчик. И за все возможные последствия хранения персональных данных в облаке будет отвечать она. Поэтому так важно с особой тщательностью подходить к выбору поставщика облачных услуг.

Надежный провайдер должен обеспечить:

• Абсолютную безопасность доступа;

• Возможность резервного копирования;
  

• Надежность технических инструментов, которые применяются для обработки данных;
  

• План эффективных действий в случае возникновения опасности для сохранности ПДн.
  

Поставщик отвечает за состояние ресурса, его безопасность и надежность. Специальные приложения получают доступ к облаку напрямую через API или через традиционные протоколы хранения данных. Преимущества такого решения в том, что оператору не нужно покупать дорогостоящее оборудование. К тому же упрощаются процессы управления системами хранения данных.

Владелец коммерческого сайта, планирующий осуществлять сбор и хранение персональных данных, обязан соблюсти следующие моменты:

1. Назначить ответственного за организацию обработки персональных данных.

2. Опубликовать на сайте политику конфиденциальности.
   

3. Получить согласие пользователей на обработку персональных данных.
   

4. Хранить ПДн на территории России.
   

5. Подготовить и утвердить локальные акты, обеспечить безопасность персональных данных.
   

6. Подать соответствующее уведомление в Роскомнадзор.
   

Стоит помнить, что за неподачу уведомления об обработке персональных данных предусмотрен штраф. Процедура подачи осуществляется на бесплатной основе.

Приравнять важность легитимной обработки персональных данных сегодня можно к выполнению таких обязанностей, как своевременная выплата зарплат сотрудникам и уплата необходимых налогов. Поэтому не стоит игнорировать требования законодательства, иначе суммарные штрафы могут достигать семизначных цифр. Также стоит очень внимательно подходить к выбору провайдера облачного хранилища, поскольку это напрямую может отразиться на коммерческой деятельности компании.

К примеру, Cloud.ru предлагает аттестованное в соответствии с требованиями безопасности информации, предъявляемыми к информационным системам персональных данных при обеспечении определенного уровня защищенности персональных данных, облако. Аттестаты соответствия размещены на сайте Cloud.ru. Здесь же размещены лицензии от ФСТЭК и ФСБ на оказание услуг в области информационных систем и защиты информации. Компания строго соблюдает требования Федерального закона №152-ФЗ «О персональных данных» и обеспечивает безопасность персональных данных при их обработке в информационных системах в соответствии с Приказом ФСТЭК России N 21.

Аналитический отчет InfoWatch "Утечки информации ограниченного доступа: отчет за 9 месяцев 2020"