Объемы утечек растут, штрафы ужесточаются, поэтому грамотная работа с персональными данными становится всё более актуальной. Что относится к персональным сведениям, и кто такой оператор?
Понятия «персональные данные» (ПДн) и «оператор» закреплены в Федеральном законе № 152-ФЗ.
Под персональными сведениями понимается любая информация, позволяющая идентифицировать человека: от ФИО и паспортных данных до биометрических сведений, таких как отпечатки пальцев или ДНК. Точного перечня ПДн нет, но на практике они часто представляют собой информацию в связке. Например:
- Алексей, alexey@mail.ru — имя и электронная почта.
- Мария, 15.05.1985, менеджер по продажам — имя, дата рождения и должность.
- Дмитрий, Москва, ул. Ленина, д. 10 — имя и адрес проживания.
- Екатерина, 8 (900) 123-45-67, клиент банка — имя, телефон и статус клиента.
Операторы — это все компании, организации или частные лица, которые хранят и обрабатывают информацию о физических лицах. К ним относятся:
- интернет-магазины (собирают данные покупателей);
- сервисные компании (хранят сведения о клиентах);
- провайдеры связи (обрабатывают сведения абонентов);
- медицинские учреждения (работают с информацией о пациентах);
- образовательные организации (хранят данные учащихся);
- государственные органы (например, налоговая служба или пенсионный фонд).
Обязанности каждого оператора:
- Зарегистрироваться в Роскомнадзоре как оператор ПДн.
- Создавать внутренние документы, которые определяют правила работы с личной информацией в компании.
- Получить согласие человека на обработку сведений.
- Обеспечить безопасное хранение данных.
- Сообщать об утечках в Роскомнадзор в течение суток.
Регистрация в Роскомнадзоре
Регистрация в Роскомнадзоре в качестве оператора ПДн — обязательное требование для всех организаций и индивидуальных предпринимателей, которые обрабатывают личную информацию физических лиц.
Исключение составляют случаи, когда:
- обработка данных осуществляется для личных или семейных нужд (например, ведение адресной книги в личных целях);
- сведения уже обезличены и не позволяют идентифицировать человека;
- обработка ПДн осуществляется в рамках трудовых отношений (кадровый учет сотрудников).
- личная информация обрабатываются для исполнения договора, стороной которого является субъект данных (например, договор купли-продажи).
Регистрация начинается с подачи уведомления в Роскомнадзор. Это документ, в котором содержится наименование и реквизиты оператора (ФИО, ИНН, ОГРН, юридический адрес, телефон, email), цели обработки, категории ПДн, кто является субъектом (сотрудники, клиенты), описание технических и организационных мер, применяемых для защиты данных.
Уведомление можно подать через сайт службы, почтой и лично в территориальном управлении РКН. Роскомнадзор присваивает заявителю уникальный номер и вносит в реестр операторов ПДн.
Локальные нормативные акты
Каждая организация, которая работает с ПДн, должна разработать внутренние документы, регулирующие порядок их обработки и защиты. К ним относятся:
- Политика обработки персональной информации.
- Инструкции для сотрудников по работе с данными.
- Регламенты по реагированию на утечки ПДн.
Согласие на обработку данных
Согласие на обработку ПДн — юридически значимый документ, который подтверждает право оператора работать с личной информацией физического лица. В нем указываются:
- какая именно информация будет обрабатываться (например, ФИО, паспортные данные, адрес, телефон, электронная почта и другие);
- цели обработки (доставка товара, оказание услуг, маркетинговые рассылки, ведение медицинской карты и т. д.);
- сроки хранения сведений;
- условие о праве отозвать согласие;
- информацию о третьих лицах, которым могут передаваться данные (если это предусмотрено).
Согласие может быть получено:
- письменно — в виде бумажного документа, подписанного физическим лицом;
- через онлайн-форму — на сайте компании, в мобильном приложении или другом электронном сервисе. Согласие считается полученным, если пользователь поставил галочку или нажал кнопку «Согласен».
Где и как хранить личные сведения
Место хранения персональной информации должно соответствовать уровню защищенности, установленному законодательством. Это значит, что ПДн нужно хранить в условиях, которые предотвращают незаконный доступ и обеспечивают их конфиденциальность.
Если компания имеет все необходимые документы, подтверждающие соответствие нормам законодательства, то теоретически данные можно хранить даже на скриншотах рабочего стола. Однако на практике это крайне ненадежно.
Для технически правильного и удобного хранения ПДн чаще всего используются:
Собственный сервер
Компания размещает информацию на своих физических или виртуальных серверах, которые могут располагаться как в локальной сети, так и в защищенном дата-центре.
Для защиты данных используют антивирусы, брандмауэры, системы обнаружения и предотвращения вторжений (IDS/IPS), специализированные хранилища секретов (например, HashiCorp Vault, Yandex Lockbox и другие). Эти инструменты помогают централизованно управлять доступом к конфиденциальным сведениям, шифровать данные и автоматически ротировать пароли.
Компании, которые хранят личную информацию на своих серверах, должны регистрироваться как операторы ПДн и соблюдать требования к защите информационных систем персональных данных (ИСПДн) изложенными в приказе ФСТЭК № 21 от 18 февраля 2013 года.
Плюсы:
- Полный контроль над ПДн.
- Можно адаптировать защиту под специфику бизнеса.
Минусы:
- Высокие затраты: покупка оборудования, оплата специалистов.
- Риск физических угроз: пожар, кража, поломка серверов.
Облачные серверы, соответствующие 152-ФЗ
Компания арендует вычислительные ресурсы и хранилище данных у поставщика облачных услуг, который отвечает за их безопасность, доступность и обслуживание.
Для защиты информации в облаке применяются технологии шифрования на уровне хранилища, двухфакторная аутентификация, системы мониторинга и предотвращения утечек, резервное копирование для восстановления данных в случае сбоев.
Облако должно быть сертифицировано по требованиям ИСПДн, соответствовать ФЗ-152, постановлению правительства № 1119 и Приказу ФСТЭК № 21.
Плюсы:
- Можно легко увеличивать или уменьшать объем хранилища и вычислительных ресурсов.
- Доступ к данным из любой точки мира, где есть интернет.
- Не нужно покупать и обслуживать собственное оборудование.
Минусы:
- Надежность и доступность данных зависят от провайдера.
- Нужно выбирать провайдера, который соответствует требованиям безопасности и нормам закона.
Базы данных (БД)
Это специализированные программные системы для хранения, организации, обработки и управления большими объемами структурированной информации.
БД представляет собой набор таблиц, в которых данные организованы в строках и столбцах. Каждая таблица содержит информацию определенного типа, например, данные о сотрудниках, клиентах или участниках мероприятий. Для работы с БД используются системы управления базами данных (СУБД).
Для защиты ПДн используется шифрование. Для разграничения доступа — механизмы авторизации и аутентификации. Например, можно настроить доступ так, чтобы HR-отдел видел данные сотрудников, а финансовый отдел — только информацию о зарплатах. Резервные копии помогают восстановить информацию в случае сбоев, аварий или кибератак.
Плюсы:
- Быстрая обработка больших объемов информации.
- Легко масштабируются по мере роста бизнеса.
- Можно интегрировать с CRM, ERP и другими корпоративными системами.
- СУБД гарантируют сохранность данных и поддерживают транзакции.
Минусы:
- Нужны специалисты, которые смогут настроить систему, обеспечить безопасность и поддерживать её работоспособность.
- Неправильные настройки могут привести к утечке ПДн.
Хранение ПДн в блокчейне
Блокчейн — это технология распределенного хранения информации. Каждый блок данных защищен криптографически и связан с предыдущим — информацию невозможно изменить без согласия всех участников сети. Блокчейн подходит для хранения критически важных сведений: паспортных данных, медицинских записей, финансовых транзакций и т. д.
Для работы нужно настроить приватную или гибридную блокчейн-сеть, чтобы контролировать доступ к информации. Блокчейн требует значительных вычислительных ресурсов и сложен в настройке.
Плюсы:
- Данные в блокчейне защищены криптографически и практически неуязвимы для взлома.
- Децентрализованное хранение снижает риск утечек и потери информации.
Минусы:
- Высокая сложность внедрения и настройки.
- Не подходит для работы с большими объёмами данных в режиме реального времени.
CRM и HRM-системы
CRM-системы (например, Bitrix24, AmoCRM и т. д.) предназначены для управления взаимодействием с клиентами. Они могут хранить и обрабатывать контактную информацию, историю покупок, предпочтения клиентов и т.д.
HRM-системы (например, SimpleOne HRMS, Alfa HRMS и другие) используются для управления персоналом и хранения сведений сотрудников: паспортных данных, трудовых договоров, информации о зарплате и отпусках и других.
В этом случае ПДн хранятся в облачной или локальной версии CRM/HRM-системы. Программа предоставляет инструменты для управления доступом, аудита и анализа данных.
Плюсы:
- Удобно для бизнеса: встроенные инструменты для анализа данных.
- Автоматическое резервное копирование.
Минусы:
- Зависимость от разработчика: если в системе обнаружена уязвимость, придется ждать обновления.
- Риск случайной или намеренной утечки информации через сотрудников.
Хранение ПДн в менеджерах паролей
Менеджеры паролей — это программы, которые помогают безопасно хранить и управлять конфиденциальной информацией, такой как пароли, логины, номера банковских карт, PIN-коды и даже заметки. Они стали популярным инструментом как для частных пользователей, так и для компаний, которые хотят минимизировать риски утечек данных. В России сейчас существуют 3 решения для корпоративного рынка: ОдинКлюч, Пассворк и Bearpass. При выборе важно ориентироваться на те решения, которые шифруют данные на стороне клиента, а не сервера (чтобы при возможном взломе сервера нельзя было расшифровать информацию).
Плюсы:
- Высокий уровень защиты данных благодаря шифрованию.
- Удобство использования (синхронизация между устройствами, автозаполнение).
- Защита от фишинга (менеджер заполняет данные только на доверенных сайтах).
Минусы:
- Ограниченный объем данных, которые можно хранить.
- Зависимость от стороннего ПО и его уязвимостей.
Уведомление об утечке данных
В случае утечки персональной информации оператор обязан сообщить в Роскомнадзор в течение 24 часов, чтобы минимизацию последствий для граждан.
Нужно указать:
- как произошла утечка (например, взлом системы, ошибка сотрудника, потеря носителя информации)
- какие именно сведения были утеряны;
- сколько человек затронуто утечкой;
- какие риски возникают для субъектов данных;
- какие действия уже предприняты для устранения утечки;
- контактная информация оператора.
Иначе компания столкнется со штрафами, проверками со стороны ведомства, потерей репутации и судебными исками от граждан.
Заключение
Утечки персональных данных могут уничтожить бизнес — потери от штрафов, судебных исков и утраты доверия клиентов часто превышают затраты на обеспечение безопасности. Поэтому лучше не игнорировать требования закона, а использовать удобные и надежные средства защиты информации.