Как обрабатывать ПД в РФ и не нарушать закон

    В нашем блоге мы часто затрагиваем вопросы, касающиеся работы с персональными данными. Мы говорили об изменениях, связанных со вступлением в силу европейского регламента GDPR, разбирались, почему многие компании оказались к нему не готовы, а также рассказывали о нововведениях социальных медиа, связанных с новым законом.

    В сегодняшнем материале мы решили отметить тонкости обработки ПД пользователей в России.


    / фото AJEL PD

    Что считается ПД в России


    В РФ работу с персональными данными пользователей регламентирует закон №152-ФЗ «О персональных данных». Согласно статье 3, под ПД стоит понимать любые сведения, прямо или косвенно относящиеся к определенному физическому лицу (субъекту ПД). Однако к сожалению, в законе нет перечня, который бы указывал, что можно, а что нельзя считать персональными данными.

    Однако в сети можно найти различные списки, составленные отдельными ведомствами и организациями, которые проясняют ситуацию. Например, на сайте управления РКН по Камчатскому краю приводится перечень данных, которые попадают под категорию персональных: в нем числится ФИО, образование и уровень доходов. Отдельные операторы ПД также формируют собственные списки. Например, у АО «Восточно-Сибирский транспортный коммерческий Банк» в нем около 30 категорий. В многопрофильной школе №17 около 40 категорий ПД, которые обрабатываются информационными системами.

    Подобная формулировка закона и самые разные примеры, сформированные отдельными организациями, приводят к тому, что установить, считаются ли данные персональными бывает затруднительно. Поэтому в РКН предлагают решение. Нужно задать вопрос, позволяют ли эти данные понять, кому именно они принадлежат? Например, просто имя не дает понимания, о каком конкретно человеке идет речь, а вот ФИО — уже дает (конечно, данный подход заслуживает отдельного обсуждения).

    Как работать с персональными данными


    В законе №152-ФЗ сказано, что оператор ПД — это государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами осуществляющие обработку персональных данных, а также определяющие цели их обработки и состав. И такие компании попадают под действие статей 5 и 6 упомянутого закона, описывающие принципы и условия работы с ПД пользователей.

    В них сказано, что операторы обязаны следовать определенным правилам:

    1. Оператор обязан получить согласие владельца ПД на их обработку. Человек должен знать, какую информацию о себе он предоставляет и для чего (на «Хабре», например, прописаны политики обработки ПД, где эти моменты обозначены). При этом оператор обязан по требованию проинформировать пользователя о том, какие его данные он хранит.
    2. Оператор обязан придерживаться целей обработки данных, прописанных в политиках, то есть он может запрашивать только те данные, которые нужны для выполнения той или иной задачи. Запрашивать лишние данные «на всякий случай» запрещено. К примеру, для регистрации учетной записи пользователя в онлайн-магазине нельзя просить номер паспорта. Однако если речь идет о ресурсе какой-либо госорганизации, то здесь запрос паспортных данных может быть оправдан.
    3. Хранить данные можно до тех пор, пока они нужны для выполнения цели их обработки. После этого оператор обязан их удалить или обезличить.


    / фото Cal Injury Lawyer PD

    Как обрабатывать данные в облаке


    Бывает, что реализовать все требования к обработке ПД довольно сложно и трудоемко. Однако ФЗ-152 не говорит, какими техническими средствами обязан пользоваться оператор при обработке данных. В пункте 3 статьи 6 ФЗ-152 прописано, что он может поручить обработку ПД кому-то другому, если владелец ПД даст на это свое согласие.

    Поэтому многие компании отдают задачу выполнения требований закона на аутсорс: к примеру, облачным провайдерам, предоставляющим услугу «Облако ФЗ-152». Она позволяет арендовать инфраструктуру с полным набором административных (и технических) механизмов защиты ПД.

    Однако в этом случае также есть нюансы, о которых следует помнить. Сперва нужно подписать договор с облачным провайдером, в котором указать цели обработки данных, список проводимых действий над ПД и механизмы их защиты. Причем комплекс защитных мер должен строиться согласно правилам, описанным в статье 19 закона о ПД.

    Помимо этого, в договоре важно определить зоны ответственности: за что отвечает оператор, а за что — провайдер.

    Для этого оператор должен:

    1. Определить уровень защищенности информационной системы ПД;
    2. Понять, какие меры безопасности из статьи 19 сможет обеспечить он сам, а какие нужно поручить провайдеру;
    3. Построить модель актуальных угроз в собственном сегменте информационной системы и внедрить необходимые меры безопасности со своей стороны.

    В свою очередь, облачный провайдер должен сделать следующее:

    1. Получить лицензии Минкомсвязи (если оператор планирует передавать данные или работает с телематическими услугами), а также ФСБ и ФСТЭК;
    2. Понять, что может угрожать данным в облаке и максимально защитить их;
    3. Помочь заказчику с реализацией мер защиты на клиентской стороне и предоставить ему возможность развернуть дополнительные средства безопасности (с помощью PaaS или IaaS).

    При этом важно помнить, что согласие на обработку персональных данных пользователей все также получает оператор — это не входит в список обязанностей облачного провайдера. Это требование прописано в третьем и четвертом пунктах статьи 6 ФЗ. Таким образом, ответственность перед владельцем ПД за действия провайдера несет оператор.

    Однако провайдер отвечает за свои действия перед оператором. Например, провайдер не выполнил условия договора и допустил утечку ПД. Владельцы ПД этим очень недовольны. В этом случае провайдер будет отвечать за последствия перед оператором, а оператор — перед пострадавшими людьми.

    Чтобы свести число неприятных ситуаций к минимуму, при выборе облачного провайдера оператору стоит запросить у провайдера документ, который подтверждает прохождение аудита на соответствие декларируемому уровню защищенности. Также стоит попросить его показать модель защиты выделенного сегмента облака от потенциальных угроз, а также оценить способы резервного копирования и восстановления данных.

    Штрафы за нарушение правил работы с ПД


    В июле прошлого года в силу вступил новый ФЗ, согласно которому штрафы за нарушение закона об обработке персональных данных в России составляют от 1 до 75 тыс. руб. Например, штраф за обработку ПД без согласия пользователя составляет от 3 до 5 тыс. рублей для физических лиц и от 30 до 75 тыс. рублей для юрлиц. А отказ предоставить владельцу ПД информацию о том, как обрабатываются его данные, может лишить юрлицо 20–40 тыс. рублей.

    Уже были случаи, когда компании штрафовали за нарушения в сфере обработки ПД. Например, кейс ООО «ТГЮК», где компанию привлекли к ответственности за то, что на её сайте к форме обратной связи не прилагалось соглашение о конфиденциальности.

    Как обработать ПД и не нарушить закон


    Всем, кто собирает, обрабатывает, хранит ПД или поручает операции с ними другим лицам, важно оценить все эти процессы на предмет соответствия закону. Для этого мы предлагаем воспользоваться следующим чек-листом:

    • Зарегистрируйтесь в Роскомнадзоре как оператор ПД.
    • Определите цель обработки ПД и не используете данные пользователей «не по назначению» (например, не стоит включать пользователя в рассылку с информацией об акциях по электронной почте, на получение которой он не соглашался).
    • Предупредите пользователя, что его персональные данные будут обрабатываться. Получите его согласие на это.
    • В случае если вы планируете воспользоваться услугой «Облако ФЗ-152», то заключите соответствующий договор с провайдером, в котором укажите обязанности сторон и цели использования ПД пользователей.
    • Внедрите меры защиты, указанные в статье 19 ФЗ-152.
    • Проверяйте систему на наличие устаревших или неполных данных о клиентах. Их нужно удалить или обезличить.
    • Дополнительно проведите инструктаж с персоналом компании о тонкостях обработки ПД пользователей.

    Это позволит выделить потенциальные слабые места, реализовать недостающие защитные меры и избежать штрафов или потенциальных судебных исков.



    P.S. Материалы по теме из Первого блога о корпоративном IaaS:


    P.P.S. Другие статьи из нашего блога на Хабре:




    Основное направление деятельности компании ИТ-ГРАД — предоставление облачных сервисов:

    Виртуальная инфраструктура (IaaS) | PCI DSS хостинг | Облако ФЗ-152 | Аренда 1С в облаке



    ИТ-ГРАД 427,03
    vmware iaas provider
    Поделиться публикацией
    Комментарии 28
      –2
      Как обычно, куча воды и мало конкретики.
      За толковой информацией прошу обратиться к вебинару и презентации Алексея Мунтяна
        0
        Совсем непонятно, как обрабатывать в облаке.
        Должен ли оператор выполнять рекомендации ФСТЭК и ФСБ?
        Что значит максимально защитить? Это какую шкалу необходимо использовать?
        0

        Вот чего я не могу понять. Адресная книга большого предприятия, реализованная на Интранет-портале (или в exchange) организации (ФИО, должность, внутренний тел.) — судя по определению из статьи содержит ПД. И что, теперь поубирать все адресные книги? Или как с ПД сотрудников работать правильно?

          0
          Сотрудники — не клиенты, там немножко другие правила. Их данные необходимы для работы производственных процессов, поэтому убирать адресные книги не надо.
            0
            Или как с ПД сотрудников работать правильно?

            <sarcazm_mode> Поставить каждому сотруднику КриптоПРО за 4к рублей, как-то заставить работать exchange с ГОСТ шифрованием, делов-то…
            0
            Мне частенько звонят всякие инвестиционные и трейдинговые конторы, обращаются сразу по имени отчеству. Говорят, что данные получены якобы из открытых источников. Своего согласия на хранение и обработку я им естественно не давал. Нарушают ли они закон о ПД и что им за это грозит?
              0
              Нарушают.
              см. ФЗ 152 Статья 15.1
              0

              А никнейм является ПД? По нему ведь можно идентифицировать человека. Да, не у всех уникальные никнеймы — но ведь и ФИО зачастую совпадает, а при этом является ПД


              Является ли IP-адрес ПД (например когда система запоминает адреса последнего входа)? А если он белый статический?


              Является ли "адрес домашней странички" ПД? Если укажут ссылку на профиль в соцсетях, то человека можно идентифицировать (наверное), если укажут личный домен — опять же можно сделать whois

                –1

                IMHO (и далее по тексту), сам никнэйм нет. А вот в сочетании, например, с email уже да.
                Сам IP без его связи с другими данными нет. Если статика и инфо о реальном владельце есть в Whois то да, но в данном случае это вопрос не ваш, а того, кто эти данные там опубликовал.

                  0

                  То есть в принципе абсолютно любая регистрация на любом сайте (ведь email + nickname это классическая минимальная связка) по идее попадает под закон о ПД?

                    0

                    Я считаю что да. Но я бы выслушал мнение профессионалов.

                      0
                      А я думаю что нет. Почту как и никней и аккаунт можно передать кому либо.
                      Вы можете подтвердить что этот аккаунт является вашим, но аккаунт не говорит о том что он принадлежит именно вам.
                      Это как с эцп. Она создана не просто чтобы сказать что подписал этот документ я. Это еще удостоверяет что именно я, а не кто то другой его подписал. В случае с никнеймом+почта обратной связи нет, так как эти данные могут менять владельца. Причем кто именно владелец вы так и не узнаете если он этого не захочет.
                      Вспомнились почему то китайцы, играющие 24/7 выкачивая на продажу игровые аккаунты.
                      0
                      Согласие через «галочку» при сборе ПДн через сайт обязательно (в случаях, предусмотренных законодательством). Но достаточность конкретной процедуры получения согласия субъекта ПДн через сайт будет определятся сотрудником ПДн субъективно. Так же как и проверка подлинности этого согласия (идентификация оператором субъекта). При этом, сотрудник РКН будет субъективно определять моменты: надо ли ему запрашивать подтверждение наличия у оператора процедуры идентификации субъекта при получении согласия и соответствие используемых методов (контрольный звонок, смс, email и т.д.) требованиям законодательства. Как он решит, так и будет в протоколе отражено. РКН рекомендовал приглашать субъекта с паспортом или использовать ГИС по идентификации/биометрической идентификации.

                      отсюда
                    0
                    РКН считает все метаданные, «большие данные» и прочую техническую информацию ПДн. Просто потому, что им так хочется. Пока законодательством этот вопрос не будет конкретно урегулирован, они будут трактовать по своему усмотрению.

                    Отсюда
                    +2
                    Самое, что мне понравилось из последнего, так это идея мсти.

                    У любого оператора есть операции по работе с внешними обращениями (входящая почта). Поскольку корреспондент может в своих письмах оператору написать любую информацию о себе, своих родственниках или третьих лицах (медицинскую информацию, судимости, биометрическую и т.д.), то оператор ПДн начинает обработку всех этих категорий ПДн, просто по факту регистрации и хранению входящих обращений в системе документооборота. И не важно, что оператору эти данные вообще не нужны. Мало того, что непонятно что же делать оператору с получением согласий на обработку таких категорий ПДн, так еще РКН требует вносить изменения в реестр, если ранее эти категории ПДн не были заявлены оператором. Проблемы оператора, у которого система ЭДО превращается в ИСПДн высокого уровня защищенности, РКН не волнуют. РКН признает остроту проблемы, но ничего предпринимать не собирается. Очень удобный способ сделать серьезную пакость любой организации: сначала пишешь письмо, содержащее специальные и биометрические категории ПДн, а потом заявление в РКН. А уж какой простор для политической, расовой и прочей дискриминирующей информации.


                    Все четко по закону. Данные обрабатываются (получены же!) значит нужно защищать в соответствии с требованиями!
                      0

                      Да, это попадалово. Хотя, можно этот случай оговорить в соглашении.
                      Плюс момент доказательства того, что эти данные были переданы, получены и обработаны.

                        0
                        Случаи разные бывают. Скажем нам в техподдержку файлы прикладываются если не в каждом первом тикете, но уж каждом втором точно. Естественно никому содержимое этих файлов не интересно, но чисто теоретически попасть может любая информация
                        А факт получения фиксируется в тикете
                        0

                        Ничего не мешает такие данные удалять "под протокол". И не хранить и не обрабатывать.

                          0
                          Может стоит для начала закон прочитать?
                          оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
                          В данном случае вы берете ПДн, и обратываете их, пересылая третьему лицу. При этом у вас с ним нет никаких договоренностей.
                          Если корреспондент напишет еще и информацию о своих родственниках, то он еще и без их согласия передает данные третим лицам. Поэтому вопросы у рнк если и будут то лично к вам, а не как вы думаете к тому, кому вы переслали ваши и чужие ПДн. Вы же лично не позаботились об их безопасности согласно 152фз — вам собственно и будет штраф.
                            0
                            Не совсем так. Данные оправляются субъектом, тем самым он подтверждает факт согласия на их обработку. А вот принимающая сторона, получив это письмо, по факту начинает его обрабатывать (хранение на сервере и тд). А раз приняла, то должна и обеспечить соответствующие меры защиты. Никаких передач третьим лицам тут нет
                          0
                          1. издать приказы о назначении ответственных
                          2. определиться с перечнем обрабатываемых ПД
                          3. зарегистрироваться в РКН
                          4. взять с сотрудников «невозражайку»

                          ну и внутренний телефон — это не ПД, это собственность организации
                            0
                            Не полный список. Скажем наиболее частое нарушение по статистике Роскомнадзора — отсутствие вывешенных публично политик обработки ПДн
                            0
                            Прошу помочь разъяснить. А то я видимо что то не так понимаю.

                            Допустим некая фирма (коммерческая или муниципальная) для своих нужд хочет использовать корпоративный почтовый сервис приобретая его как услугу например у яндекса или майл.ру. Для регистрации в сервисе уже будут указаны ПДн сотрудников фирмы, согласие на обработку которых можно взять за ранее. Вроде все хорошо.

                            Начинаем работать. Согласно политике конфиденциальности — mail.ru они обрабатывают не только учетные данные, но и иные данные, которые попадают к ним в сервис. То есть нельзя использовать не только информацию попадающую под ПДн и 152фз, но и вообще какую либо информацию которая имеет конкретных адресатов, иначе это будет просто нарушение информационной безопасности внутри фирмы (адресованную информацию будут обрабатывать третьи лица, которым она не предназначена).

                            Собственно, я не очень понимаю как вообще можно законно использовать подобные сервисы с пометкой «корпоративные» или «бизнес» если их использование нарушает несколько законов/приказов в текущих реалиях?

                              –1
                              Все верно.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое