Персональные данные: как хранить, обрабатывать и защищать по закону

Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.

Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это всё сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.

Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:

«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»

Телефон, email, фотография, ФИО — всё это может считаться ПДн.

Категории ПДн в форме на сайте Роскомнадзора.

Также к ПДн можно отнести:

• национальность;
• политические, философские и религиозные взгляды;
• место регистрации;
• информацию о здоровье, отпечатки пальцев и образцы голоса;
• информация о судимостях;
• номер телефона и электронная почта;
• СНИЛС, ИНН и паспортные данные;
• ссылки на личные страницы и cookies.

Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «[email protected]», который принадлежит Петрову Петру Петровичу — это ПДн.

Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.

Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.

Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.

Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.

Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.

Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.

Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.

Постановление правительства №1119 делит ПДН на 4 категории для информационных систем:

• общедоступные;
• специальные;
• биометрические;
• иные.

Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются.

Определенные ПДн входят в категорию специальных, а именно информация о:

• расе, национальности и религии;
• политических и философских взглядах;
• здоровье;
• подробностях личной жизни;
• судимостях.

Это информация о физиологических и биологических особенностях человека:

• отпечатки пальцев;
• генетическая информация;
• рисунок радужной оболочки глаз;
• образцы голоса;
• фотографии.

Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:

Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.

Сюда входят ПДн, что не относятся ко всем предыдущим. Например:

• электронная почта или геолокация;
• информация о принадлежности к определенной социальной группе;
• стаж работы;
• и т.д.

В законе есть две сущности: субъект и оператор ПДн.

Субъектом персональных данных считается человек, чьи персональные данные использует оператор ПДн, например, собирает.

Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя, поэтому теперь он субъект ПДн, а магазин — оператор.

Оператор — это физическое лицо или организация (государственная или частная), которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.

Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.

Рассмотрим, как оператору собирать, хранить, обрабатывать и защищать ПДн.

Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 14 статье 152-ФЗ сказано, что собирать персональные данные можно только с разрешения пользователей. Для этого оператор обязан получить письменное согласие того, чьи данные собирает. Но в интернете письменную форму согласия заменяют на электронную.

В электронной форме сбора ПДн должна быть «Политика конфиденциальности», где описана причина сбора, что будет происходить с данными, кто будет хранить, обрабатывать и как долго. Также там должно быть указано, как субъекту отозвать разрешение на обработку.

Под каждой формой необходимо добавить чекбокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.

Для сбора cookies тоже понадобится разрешение на сбор ПДн.

Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом. Но эта информация также должна быть продублирована в документе «Последствия отказа предоставить персональные данные».

Исключения. Согласие на сбор ПДн нужно не всегда. Полный список исключений указан во втором пункте 22 статьи 152-ФЗ, но если кратко, то разрешение не обязательно для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения ТК. При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.

Примечание. Когда оператор передает ПДн в облако, у оператора должно быть согласие субъекта, а также обязательно нужно удостовериться, что ЦОД соответствует 152-ФЗ и имеет все необходимые лицензии (о них ниже). Это гарантия спокойной работы и отсутствия в дальнейшем проблем с Роскомнадзором. Например, облако на базе VMware в Selectel соответствует 152-ФЗ и требованиям Роскомнадзора, имеет лицензии ФСТЭК и ФСБ, и может хранить данные любых категорий.

Всё, что происходит с ПДн — это обработка:

• передача по сети;
• запись;
• хранение;
• извлечение;
• изменение;
• обезличивание;
• анализ;
• удаление.

Сбор — это тоже обработка.

Обработка бывает трех видов:

• Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
• Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации.

Условия. Как и сбор, обработка ПДн должна проходить с разрешения субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.

Исключения. Разрешение не обязательно в тех же исключительных случаях, что и для сбора. Но есть и дополнительные, например:

• разрешение не обязательно госорганам: для предоставления госуслуг, в судопроизводстве, и в других случаях, когда этого требует закон;
• при неавтоматизированной обработке;
• когда человек сам опубликовал свои данные публично;
• когда все данные — это только ФИО.

Опять же, на большинство ресурсов в интернете исключения не распространяются.

Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.

Условия. К хранению ПДн много требований со стороны 152-ФЗ.

• Данных нужно хранить столько, сколько достаточно для обработки.
• Информация должна храниться так, чтобы можно было определить субъекта.
• Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
• Если есть базы данных с разными ПДн, собранные для разных целей, их нельзя объединять.
• После обработки ПДн должны быть уничтожены или обезличены.
• Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие.

Основные нормы хранения персональных данных закреплены 149-ФЗ.

Субъект может в любой момент запросить у оператора (в письменном или электронном виде) какие данные на него есть, где и кем хранятся его ПДн. А если информация неточная или старая — может потребовать все удалить.

Согласно 152-ФЗ, оператор отвечает за все, что происходит с ПДн, даже если привлек сторонних лиц для обработки. Например, если банк собрал базу скан-копий паспортов клиентов, а она попала к мошенникам — отвечает банк. Поэтому системы хранения ПДн должны быть хорошо защищены. Критерий «хорошо» означает уровень защиты (УЗ). Уровни защиты описаны в 21 приказе ФСТЭК и связаны с категорией ПДн.

• 1 УЗ — для спецданных, которые нуждаются в самой серьезной защите. Часто эти ПДн можно использовать, чтобы нанести ущерб. Например, технически УЗ требует безотказной работы серверов.
• 2 УЗ — для биометрических данных (хотя для них подходит и 1 УЗ). Здесь, например, требуется резервное копирование и установки системы обнаружения вторжений.
• 3 УЗ — для иных данных. Здесь, например, достаточно ограничения доступа к системам.
• 4 УЗ — для общедоступных данных. Для них достаточно простой защиты, например, антивирусного приложения. Общедоступные ПДн не скрывают, их легко получить и сложной защиты не нужно.

Требования описаны в «Приложении» к приказу — всего их 109. Есть общие для всех.

• Установить серверы в защищенном месте.
• Обеспечить ограниченный доступ к серверами и установить запрет на подключение к ним напрямую.
• Настроить доступ к данным только для тех, у кого есть на это права.
• Поставить ПО, которое защищает от угроз: межсетевые экраны, антивирусные программы.
• Использовать ПО, сертифицированное ФСТЭК.

Есть специфические для каждого УЗ. каждый оператор обязан самостоятельно определить уровень защиты ПДн и настроить защищенную IT-инфраструктуру, в соответствии с уровнем. Чтобы было проще ориентироваться, используйте таблицу определения УЗ.

Подтвердить уровень защищенности можно технической документацией, которую отправляют в ФСТЭК.

Примечание. Если храните данные в ЦОД, то он обязательно должен иметь аттестат на соответствие требований приказа ФСТЭК. Аттестат гарантирует, что инфраструктура провайдера соответствует приказу ФСТЭК и данные надежно защищены. Обычно в аттестованных ЦОД можно хранить ПДн данные 1 и 2 УЗ. ЦОД Selectel аттестованы по 152-ФЗ и имеют лицензии ФСТЭК и ФСБ, и могут хранить данные также 1 и 2 УЗ.

Операторы обязаны подать заявление в Роскомнадзор, чтобы организацию внесли в реестр операторов ПДн. В заявлении обязательно указать какие меры предприняты для защиты, какие ПДн и где будете хранить.

Подготовить оборудование, ПО и инженерные системы недостаточно. Для хранения ПДн нужно еще много документов. Не считая тех, о которых уже говорили, это:

• Модель угроз безопасности. В документе описываются опасности, которые угрожают системе хранения и обработки ПДн.
• Приказ о назначении ответственного за безопасность персональных данных — обычно назначают сотрудника службы информационной безопасности. Он будет отвечать за все, что происходит с ПДн.
• Приказ о допуске к обработке. В приказе прописываются все, у кого есть доступ к ПДн.
• Инструкция пользователя системы ПДн. Дополнение к приказу, в котором описано, как обращаться с ПДн.

Это неполный список из организационных документов. Список названий займет слишком много места, поэтому оставим ссылку на большой список.

Иногда Роскомнадзор проверяет ресурсы — собирают ли они ПДн и зарегистрировались ли как оператор. За нарушения штрафует, согласно статье 13.11 КоАП РФ.

Например, за незаконную обработку без согласия штраф от 1 до 30 тысяч рублей, в зависимости кто нарушил: физлицо, юрлицо или должностное лицо. Также штрафуют, если оператор не защищает информацию или хранит ПДн в базах данных в других странах.

Штрафы можно получить не только за халатное отношение к ПДн, но и если не разработать соответствующую документацию или приказы. Например, если нет «Положения об обработке данных» возможен штраф от 700 рублей до 30 тысяч. А если нет «Модели угроз безопасности» — штраф от 1 тысячи для физлиц до 50 тысяч рублей для юрлиц.

В особо тяжелых случаях есть также и уголовная ответственность.

Примечание. Хранение данных в облаке не снимает ответственности с оператора. ЦОД — промежуточное звено, третье лицо. Аттестованный ЦОД помогает оператору не беспокоиться о требованиях регулятора по вопросам оборудования, физической безопасности данных, контроля доступа и уничтожения ПДн. Но вся ответственность на операторе.

Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, e-mail, группа крови или фотография.

Чтобы собирать, хранить и обрабатывать ПДн, нужно соблюдать 152-ФЗ:

• Зарегистрироваться в Роскомнадзоре, как оператор.
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать лишнее.
• Отвечать на обращения субъектов и предоставляете всю информацию.
• Собирать и хранить информацию только для достижения определенных целей в определенный срок.
• Хранить и защищать ПДн по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
• Уточнять, блокировать или уничтожать ПДн по заявлению субъектов или когда достигли целей.

В законе, постановлениях и других документах, связанных со 152-ФЗ, нет четких указаний или чек-листов, что делать в разных случаях, чтобы работать по закону. Поэтому у нас есть только примерные списки действий при работе с ПДн, которые можете использовать.

Не пропускайте полезные материалы, подписывайтесь на блог Selectel.

#Selectel #персональные_данные #право