Comments 19
Из статьи не увидел ничего практически полезного, кроме совета идти в «отечественное» облако…
Проблема облаков с бумажкой, о соответствии нужному уровню защищенности ПД, в том, что ценник на их услуги, сильно завышен при посредственном уровне сервиса.
Нет в реестре работающих с ПДн, не придут, начнем с этого :)
Статье категорически не хватает технических деталей. Какие именно требуются меры защиты (или хотя бы "меры защиты"). Даже единственный упомянутый пункт про "нельзя хранить за границей" не раскрыт (звучит как будто можно хранить за границей реплику, но это значит, что это закон не о защите ПД, а о защите прав силовиков на доступ к ПД). По сути дела вся статья сводится к "обратитесь к облачному провайдеру и всё сделают за вас", но хабр вроде технический ресурс, а не просто рекламная площадка, не? Даже если за бумажки придется отвалить денег, многим всё равно хочется знать, что их ждёт в техническом плане, чтобы учесть заранее при проектировании инфраструктуры и разработке софта.
Главная цель статьи — предупредить коллег о необоснованных угрозах, понимаете о каких: цифры 800 000 руб — персональной ответственности и 18 000 000 руб + лишение работы CIO сильно сбивают с толку и приводят моих коллег к необдуманным затратам.
И да, мы потратили несколько дней, чтобы во всем этом разобраться, а потом оказалось, нам мне все это сделали бесплатно — я думаю, что это точно не всем очевидно. В техническом плане нам не пришлось НИЧЕГО делать. Только соблюдать ОРД! Вот ОРД может стоить от 45 000 до 300 000 / 500 000 руб — да, так сильно зависит от поставщика! А начиналось все с «необходимости покупки эстеры и випнетов» по мнению тех, кто хочет продать побольше своих сервисов и железок или некоторых дилетантов.
Реально то, что нарушают все повально, но проверяющие приходят в первую очередь к тем, кто вызывает у них интерес по каким-то неведомым или ведомым причинам (думаю, что все догадываются, как обстоят дела с проверками). Проблема в том, что публично никто не рассказывает, как он решал свои проблемы. Думаю, Вы понимаете почему. Поэтому на поверхности только публичные кейсы с крупными компаниями. Но, если у вас есть доступ к подписке консультанта или гаранта, посмотрите судебную практику. И опять оговорюсь, до судов, по моему мнению, доходит меньше 1% случаев.
Мы не планировали облако, оно уже было — Azure, мы искали максимально быстрый и дешевый путь, рассмотрели 3 варианта, выбрали не самый дешевый, искали самый недорогой в горизонте на 3 года с хорошей поддержкой. Моя задача была — помочь хорошему приятелю, а здесь предупредить коллег, в том числе CIO / ДИТов / админов / разработчиков, чтобы не боялись и не паниковали, когда на них навалится подобная проблема. И мне «самолечение» стоило потерянных 3 рабочих дня — это тоже ценный опыт.
Пару лет назад приходилось ковыряться в вопросе. И совсем не все так однозначно, как вы говорите. Да, наши "провайдеры", конечно, скажут, что все надо хранить в их защищённом облаке, да ещё и доступ, желательно по сертифицированному VPN. Но правда часто оказывается далека от сказок. Для тех же онлайн-магазинов, зачастую персональные данные и не требуется хранить вовсе. Само понятие персональных данных подразумевает однозначную идентификацию человека по набору некоторых признаков. Таким образом, ФИО сами по себе — не перс. данные. Также ими не является публичная информация (тут есть нюансы в трактовке), отдельно телефон, e-mail, и так далее. Защита персональных данных сотрудников требуется в том случае, если эти данные могут утечь в сеть. Если все данные на изолированном сервере в сейфе, доступ к которому имеет только физически ген.дир., к примеру — то какие могут быть претензии?
К сожалению, наше законодательство, зачастую устроено так, чтоб имелось побольше поводов для штрафа. Вас напугали 18млн., а потом совершенно неаффилированные частные компании предлагают спасительную услугу всего за 12к.
Помню, в детстве, гопники на улице таким промышляли.
"Персональные данные – 2018: как избежать штрафов"
Обратите внимание на:
Случаи, когда уведомление Роскомнадзора не требуется
При обработке ПДн, если они:
- относятся к субъектам, которых связывают с оператором трудовые отношения;
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными ПДн;
- включают только ФИО субъектов ПДн;
- нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Советую прочитать этот материал:
«Персональные данные – 2018: как избежать штрафов»
А я бы советовал его не читать, так как количество ошибочных утверждений там просто зашкаливает.
Например:
Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
…
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Вот это однозначно вводит в заблуждение. Вот форма обратной связи почти всегда не требует брать согласие на обработку, потому что ст.6.1.6 из 152-ФЗ (при условии внимательного прочтения, причем по тексту статьи автор этот пункт сократил так, что это становится не так).
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Да вот не так это. Ссылка должна быть на «согласие». Об этом в ст. 9 152-ФЗ. Для особо въедливых, вот как вы себе представляете, чтобы субъект персональных отзывал политику конфиденциальности юрлица, а такое право как раз в этой статье и прописано. А уж если речь идет про договор, то по вышеупомянутому ст.6.1.6 из 152-ФЗ однозначно следует, что брать согласие нельзя, так как его и отозвать нельзя.
И там практически вся статья лажа такого же порядка.
Приключения персональных данных в России