Как обрабатывать ПД в РФ и не нарушать закон

В нашем блоге мы часто затрагиваем вопросы, касающиеся работы с персональными данными. Мы говорили об изменениях, связанных со вступлением в силу европейского регламента GDPR, разбирались, почему многие компании оказались к нему не готовы, а также рассказывали о нововведениях социальных медиа, связанных с новым законом.

В сегодняшнем материале мы решили отметить тонкости обработки ПД пользователей в России.

wp39am110vqdhhz70qzo2-ucv_8.jpeg
/ фото AJEL PD

Что считается ПД в России


В РФ работу с персональными данными пользователей регламентирует закон №152-ФЗ «О персональных данных». Согласно статье 3, под ПД стоит понимать любые сведения, прямо или косвенно относящиеся к определенному физическому лицу (субъекту ПД). Однако к сожалению, в законе нет перечня, который бы указывал, что можно, а что нельзя считать персональными данными.

Однако в сети можно найти различные списки, составленные отдельными ведомствами и организациями, которые проясняют ситуацию. Например, на сайте управления РКН по Камчатскому краю приводится перечень данных, которые попадают под категорию персональных: в нем числится ФИО, образование и уровень доходов. Отдельные операторы ПД также формируют собственные списки. Например, у АО «Восточно-Сибирский транспортный коммерческий Банк» в нем около 30 категорий. В многопрофильной школе №17 около 40 категорий ПД, которые обрабатываются информационными системами.

Подобная формулировка закона и самые разные примеры, сформированные отдельными организациями, приводят к тому, что установить, считаются ли данные персональными бывает затруднительно. Поэтому в РКН предлагают решение. Нужно задать вопрос, позволяют ли эти данные понять, кому именно они принадлежат? Например, просто имя не дает понимания, о каком конкретно человеке идет речь, а вот ФИО — уже дает (конечно, данный подход заслуживает отдельного обсуждения).

Как работать с персональными данными


В законе №152-ФЗ сказано, что оператор ПД — это государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами осуществляющие обработку персональных данных, а также определяющие цели их обработки и состав. И такие компании попадают под действие статей 5 и 6 упомянутого закона, описывающие принципы и условия работы с ПД пользователей.

В них сказано, что операторы обязаны следовать определенным правилам:

  1. Оператор обязан получить согласие владельца ПД на их обработку. Человек должен знать, какую информацию о себе он предоставляет и для чего (на «Хабре», например, прописаны политики обработки ПД, где эти моменты обозначены). При этом оператор обязан по требованию проинформировать пользователя о том, какие его данные он хранит.
  2. Оператор обязан придерживаться целей обработки данных, прописанных в политиках, то есть он может запрашивать только те данные, которые нужны для выполнения той или иной задачи. Запрашивать лишние данные «на всякий случай» запрещено. К примеру, для регистрации учетной записи пользователя в онлайн-магазине нельзя просить номер паспорта. Однако если речь идет о ресурсе какой-либо госорганизации, то здесь запрос паспортных данных может быть оправдан.
  3. Хранить данные можно до тех пор, пока они нужны для выполнения цели их обработки. После этого оператор обязан их удалить или обезличить.


fhvnafnn_pwglls_ffvxe2sbj8a.jpeg
/ фото Cal Injury Lawyer PD

Как обрабатывать данные в облаке


Бывает, что реализовать все требования к обработке ПД довольно сложно и трудоемко. Однако ФЗ-152 не говорит, какими техническими средствами обязан пользоваться оператор при обработке данных. В пункте 3 статьи 6 ФЗ-152 прописано, что он может поручить обработку ПД кому-то другому, если владелец ПД даст на это свое согласие.

Поэтому многие компании отдают задачу выполнения требований закона на аутсорс: к примеру, облачным провайдерам, предоставляющим услугу «Облако ФЗ-152». Она позволяет арендовать инфраструктуру с полным набором административных (и технических) механизмов защиты ПД.

Однако в этом случае также есть нюансы, о которых следует помнить. Сперва нужно подписать договор с облачным провайдером, в котором указать цели обработки данных, список проводимых действий над ПД и механизмы их защиты. Причем комплекс защитных мер должен строиться согласно правилам, описанным в статье 19 закона о ПД.

Помимо этого, в договоре важно определить зоны ответственности: за что отвечает оператор, а за что — провайдер.

Для этого оператор должен:

  1. Определить уровень защищенности информационной системы ПД;
  2. Понять, какие меры безопасности из статьи 19 сможет обеспечить он сам, а какие нужно поручить провайдеру;
  3. Построить модель актуальных угроз в собственном сегменте информационной системы и внедрить необходимые меры безопасности со своей стороны.


В свою очередь, облачный провайдер должен сделать следующее:

  1. Получить лицензии Минкомсвязи (если оператор планирует передавать данные или работает с телематическими услугами), а также ФСБ и ФСТЭК;
  2. Понять, что может угрожать данным в облаке и максимально защитить их;
  3. Помочь заказчику с реализацией мер защиты на клиентской стороне и предоставить ему возможность развернуть дополнительные средства безопасности (с помощью PaaS или IaaS).


При этом важно помнить, что согласие на обработку персональных данных пользователей все также получает оператор — это не входит в список обязанностей облачного провайдера. Это требование прописано в третьем и четвертом пунктах статьи 6 ФЗ. Таким образом, ответственность перед владельцем ПД за действия провайдера несет оператор.

Однако провайдер отвечает за свои действия перед оператором. Например, провайдер не выполнил условия договора и допустил утечку ПД. Владельцы ПД этим очень недовольны. В этом случае провайдер будет отвечать за последствия перед оператором, а оператор — перед пострадавшими людьми.

Чтобы свести число неприятных ситуаций к минимуму, при выборе облачного провайдера оператору стоит запросить у провайдера документ, который подтверждает прохождение аудита на соответствие декларируемому уровню защищенности. Также стоит попросить его показать модель защиты выделенного сегмента облака от потенциальных угроз, а также оценить способы резервного копирования и восстановления данных.

Штрафы за нарушение правил работы с ПД


В июле прошлого года в силу вступил новый ФЗ, согласно которому штрафы за нарушение закона об обработке персональных данных в России составляют от 1 до 75 тыс. руб. Например, штраф за обработку ПД без согласия пользователя составляет от 3 до 5 тыс. рублей для физических лиц и от 30 до 75 тыс. рублей для юрлиц. А отказ предоставить владельцу ПД информацию о том, как обрабатываются его данные, может лишить юрлицо 20–40 тыс. рублей.

Уже были случаи, когда компании штрафовали за нарушения в сфере обработки ПД. Например, кейс ООО «ТГЮК», где компанию привлекли к ответственности за то, что на её сайте к форме обратной связи не прилагалось соглашение о конфиденциальности.

Как обработать ПД и не нарушить закон


Всем, кто собирает, обрабатывает, хранит ПД или поручает операции с ними другим лицам, важно оценить все эти процессы на предмет соответствия закону. Для этого мы предлагаем воспользоваться следующим чек-листом:

  • Зарегистрируйтесь в Роскомнадзоре как оператор ПД.
  • Определите цель обработки ПД и не используете данные пользователей «не по назначению» (например, не стоит включать пользователя в рассылку с информацией об акциях по электронной почте, на получение которой он не соглашался).
  • Предупредите пользователя, что его персональные данные будут обрабатываться. Получите его согласие на это.
  • В случае если вы планируете воспользоваться услугой «Облако ФЗ-152», то заключите соответствующий договор с провайдером, в котором укажите обязанности сторон и цели использования ПД пользователей.
  • Внедрите меры защиты, указанные в статье 19 ФЗ-152.
  • Проверяйте систему на наличие устаревших или неполных данных о клиентах. Их нужно удалить или обезличить.
  • Дополнительно проведите инструктаж с персоналом компании о тонкостях обработки ПД пользователей.


Это позволит выделить потенциальные слабые места, реализовать недостающие защитные меры и избежать штрафов или потенциальных судебных исков.
P.S. Материалы по теме из Первого блога о корпоративном IaaS:
P.P. S. Другие статьи из нашего блога на Хабре:

© Habrahabr.ru