Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Право
Карьера
Путешествия
Крипто
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Рег.ру
Сервисы

Работа с персональными данными в облаке: что требует закон и как ему соответствовать компаниям из сегмента МСБ

С мая 2025 года в России значительно увеличиваются штрафы за нарушение правил работы с персональными данными, включая утечки. Рассказываем, какие требования действуют и как выбрать поставщика IT-услуг, чтобы им соответствовать.

Работа с персональными данными в облаке: что требует закон и как ему соответствовать компаниям из сегмента МСБ

Нарушение правил хранения и обработки персональных данных — это серьезная угроза для бизнеса. Несоблюдение требований законов может привести к взысканиям, блокировке сайта и потере доверия клиентов. С 30 мая 2025 года штрафы за нарушения увеличиваются в несколько раз — максимальный теперь может достигать 500 миллионов рублей.

При этом компании предпочитают обрабатывать данные «на месте» — на своих компьютерах или серверах. По опросам, даже среди крупных организаций только 23% готовы хранить критичные сведения в облаке. Для малого бизнеса ситуация еще сложнее: ресурсы ограничены, и нередко нет IT-специалистов, средств на защиту данных и времени на сложные регламенты. Однако требования закона одинаковы для всех. И здесь использование аттестованной IT-инфраструктуры позволяет обеспечить соответствие предписаниям без серьезных затрат на собственную IT-команду.

Содержание:

Какие данные считаются персональными

Персональные данные — это не только очевидные сведения вроде фамилии, имени и номера паспорта. Даже адрес электронной почты, история покупок или поведение на сайте могут считаться персональными, если позволяют определить пользователя при сопоставлении с другими данными.

Федеральный закон №152-ФЗ называет персональными данными любую информацию, которая относится к определенному человеку или дает возможность установить его личность.

К персональным данным относятся:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес, телефон, email;
  • паспортные данные, ИНН, СНИЛС;
  • фотографии и видеозаписи;
  • IP-адрес, данные геолокации;
  • сведения о здоровье, отпечатки пальцев, образец голоса и другая биометрия — относятся к специальной категории и требуют повышенной защиты.

Даже для малого бизнеса, использующего CRM-системы или формы обратной связи на сайте, важно понимать, что при сборе таких данных он становится их оператором и должен учитывать требования закона.

Какие есть требования к работе с персональными данными

Операторы персональных данных несут ответственность за их защиту вне зависимости от того, где хранятся базы с данными — на собственных серверах или в облаке. Оператор должен соблюдать несколько обязательных правил:

Собирать и обрабатывать данные с определенной целью. Например, для заключения договора, оказания услуги, организации информационной рассылки или найма сотрудника. Затем убедиться, что есть правовое основание для сбора: согласие субъекта, исполнение договора или обязанность по закону.

Получить согласие на обработку. До начала обработки персональных данных нужно получить согласие человека, к которому они относятся. В документе должно быть указано:

  • кто обрабатывает данные — вы как оператор или привлеченные компании;
  • зачем вы собираете информацию и какую именно;
  • какие действия будут выполняться с данными: например, хранение, передача, уничтожение;
  • как долго действует согласие и как его отозвать.

На практике пользователь, как правило, подтверждает согласие галочкой в форме на сайте — например, при регистрации личного кабинета или оформлении заказа. Онлайн-согласие допустимо, если его оформление позволяет доказать, что оно действительно получено.

Отдельное согласие не требуется, если обработка данных связана с выполнением договора. Например, если вы собираете базу с данными покупателей и поставщиков магазина и используете ее, чтобы обеспечить логистику заказов по договорам. Также без согласия можно обрабатывать информацию о сотрудниках, с которыми заключен трудовой договор. Работодатель обязан обрабатывать персональные данные для выполнения своих трудовых обязательств — это прямо входит в его функции по закону (ФЗ №152, ст. 6, п. 2, ст. 86–88 ТК РФ). При этом согласие может понадобиться, если обработка происходит не в рамках трудовых обязательств, например для публикации фото сотрудника на сайте.

Уведомить Роскомнадзор. Перед началом обработки данных необходимо подать уведомление. Это обязательное требование распространяется на всех операторов, включая ИП и небольшие компании.

Хранить данные на территории РФ. Информацию о гражданах России нужно размещать на серверах или в облачных хранилищах, которые физически расположены внутри страны.

В отдельных случаях возможна трансграничная передача: такая необходимость может возникнуть, например, при использовании иностранных сервисов для рассылок или аналитики. Оператор должен сообщить в Роскомнадзор о планах отправлять данные в другую страну и в любом случае сначала сохранять их в базе в РФ.

Обеспечить безопасность данных. Оператор обязан принимать меры для защиты персональных данных от несанкционированного доступа, кражи, изменения или уничтожения. Среди таких мер: назначение ответственных за безопасность ПДн (сотрудника или подрядной организации), разработка внутренних регламентов, установка технических средств. Помимо этого, предприниматель должен подтвердить на практике эффективность принятых мер в формате оценки эффективности или аттестации. Также он может ограничить уровни доступа сотрудников к внутренним системам в зависимости от их задач, использовать шифрование, антивирусы, резервное копирование.

Соблюдать дополнительные требования. Общие требования закона уточняются дополнительными нормативными актами. Уровни защищенности информационных систем определяет Постановление Правительства №1119, технические меры защиты описывает Приказ ФСТЭК №21, а требования к криптозащите устанавливает Приказ ФСБ №378.

Например, интернет-магазин собирает у клиентов Ф. И. О., адреса, телефоны, иногда — данные паспорта. Это третий уровень защищенности. По ФСТЭК нужно разграничение доступа, антивирус, учет действий, инструкция для сотрудников. По Приказу ФСБ желательно наличие HTTPS и шифрование базы, а при массовой обработке — сертифицированная криптозащита.

Или частный медицинский кабинет. Врач, зарегистрированный как ИП, хранит диагнозы, паспортные данные, СНИЛС. Это сведения о здоровье, которые относятся к 1–2 уровням защищенности. ФСТЭК требует шифрование, контроль доступа, аудит действий, обучение. По Приказу ФСБ обязательны сертифицированные средства криптографической защиты, например КриптоПро.

На практике малому и среднему бизнесу непросто самостоятельно обеспечить полное соответствие требованиям 152-ФЗ и дополнительных нормативных актов. Для этого нужны ресурсы, экспертиза, внимание к изменениям в законодательстве и новым угрозам.

IT-платформы, специально ориентированные на работу с персональными данными, позволяют передать эти задачи профильным специалистам. Они обеспечивают защиту данных за счет развитой инфраструктуры провайдера: наличия межсетевых экранов, антивирусного ПО, систем обнаружения угроз и квалифицированных специалистов. Поставщики облачных услуг оперативно устанавливают обновления, и это снижает риск появления уязвимостей.

Так бизнес сохраняет все преимущества облачных технологий: гибкость, масштабируемость и плату только за фактически используемые ресурсы. Это делает облако оптимальным решением для представителей МСП, когда важно обеспечить безопасность и соответствие закону без лишней нагрузки на команду. При этом не обязательно полностью переносить всю инфраструктуру на мощности провайдера. Можно разместить в защищенном облаке только информационную систему, содержащую персональные данные, или базу данных с личной информацией клиентов.

Кому подойдет облако для хранения персональных данных

Переход в облако помогает делегировать вопросы защиты данных профессионалам — не нужно заниматься защитой инфраструктуры. Облако подходит в разных ситуациях:

  • Небольшая компания с CRM на собственном сервере. Маленькая компания, например юридическая фирма, агентство недвижимости или турагентство, разворачивает CRM-систему для работы с клиентами на собственном сервере в офисе. Сервер требует постоянного обслуживания, обновлений, настройки защиты и резервного копирования. Кроме того, помещение и офисная сеть должны обеспечивать необходимый уровень безопасности. Переход на облачную платформу снимает эти задачи. Провайдер берет на себя контроль за работой инфраструктуры. Облачные сервисы отслеживают угрозы и выстраивают процессы защиты по единым стандартам.
  • Интернет-магазин с растущей клиентской базой. Интернет-магазин активно развивается, увеличивается количество заказов, а значит, растет объем персональных данных покупателей: Ф. И. О., адресов, телефонов для оформления заказов. Масштабирование собственной инфраструктуры для хранения данных связано с высокими затратами. Кроме того, с ростом известности компании может увеличиться число атак на базы данных. Переход на облачную платформу позволяет масштабировать ресурсы по мере роста бизнеса без затрат на покупку серверов. При этом у провайдеров предусмотрены системы резервного копирования и больше опыта противодействия атакам: они отслеживают актуальные угрозы и отражают десятки атак ежедневно.
  • Онлайн-сервис записи к врачу. Сведения о здоровье, с которыми работают медицинские организации, относятся к специальной категории данных. Они требуют более серьезной защиты. Утечка приводит к репутационным потерям и штрафам. При этом использование собственных серверов, отвечающих всем правилам, связано с большими затратами. Переход на аттестованную облачную платформу позволяет получить готовую инфраструктуру, которая соответствует законодательным требованиям. Такие платформы заранее реализуют шифрование хранения и передачи данных, аудит событий безопасности и другие обязательные меры защиты. Облачные сервисы выстраивают процессы безопасности по единым стандартам, проводят внутренние аудиты и своевременно обновляют системы. Это снижает риск ошибок или уязвимостей, которые могут возникнуть при самостоятельной настройке.
  • HR-стартап. Быстрорастущая компания в сфере HR обрабатывает персональные документы: резюме, паспортные данные, ИНН и другие сведения. Такие данные требуют надежной защиты и строгого соблюдения законодательства. Использование CRM и систем документооборота в сертифицированных облаках позволяет разграничивать доступ, ускорять бизнес-процессы, минимизировать юридические риски и быстрее масштабировать бизнес.
  • Образовательная платформа. Онлайн-школы и EdTech-проекты собирают и хранят персональные данные учеников, преподавателей и родителей. Облачная платформа обеспечивает их защиту, снижает риски утечек, ускоряет вывод новых курсов на рынок за счет готовой инфраструктуры и автоматизации процессов.

На что обращать внимание при выборе провайдера для работы с персональными данными

Убедитесь, что данные ваших систем хранятся и обрабатываются только на серверах, физически расположенных в России. Проверьте, что у провайдера есть лицензии и сертификаты, подтверждающие соответствие требованиям по защите персональных данных:

  • ФСТЭК — для защиты информации в информационных системах.
  • ФСБ — при использовании криптографических средств защиты.

Обратите внимание, предлагает ли облачная платформа специальные решения для обработки персональных данных. Например, Рег.облако по запросу клиентов разворачивает серверы, соответствующие требованиям законов. Кроме того, есть готовое решение облачного сервера для работы по требованиям 152-ФЗ с необходимыми лицензиями и сертификатами ФСТЭК и ФСБ.

Проверьте, есть ли у провайдера решения:

  • для шифрования хранения и передачи данных;
  • разграничения прав доступа;
  • защиты от несанкционированного доступа;
  • резервного копирования данных;
  • мониторинга и аудита действий.

Изучите условия: в договоре должно быть четко прописано, кто отвечает за безопасность, как распределены риски и как провайдер реагирует на инциденты. Уточните, есть ли SLA (соглашение об уровне услуг) и какие сроки реакции он гарантирует.

Нелишним будет выяснить, работает ли провайдер с клиентами из вашей сферы: например, с медицинскими организациями или образовательными платформами. Убедитесь, что есть служба поддержки, способная быстро реагировать на инциденты, связанные с безопасностью.

Читайте еще:

20
1
Начать дискуссию