- PVSM.RU - https://www.pvsm.ru -
В нашем блоге мы часто затрагиваем вопросы, касающиеся работы с персональными данными. Мы говорили об изменениях, связанных со вступлением в силу европейского регламента GDPR [1], разбирались, почему многие компании оказались к нему не готовы [2], а также рассказывали о нововведениях [3] социальных медиа, связанных с новым законом.
В сегодняшнем материале мы решили отметить тонкости обработки ПД пользователей в России.
[4]
/ фото AJEL [5] PD
В РФ работу с персональными данными пользователей регламентирует закон №152-ФЗ «О персональных данных» [6]. Согласно статье 3 [7], под ПД стоит понимать любые сведения, прямо или косвенно относящиеся к определенному физическому лицу (субъекту ПД). Однако к сожалению, в законе нет перечня [8], который бы указывал, что можно, а что нельзя считать персональными данными.
Однако в сети можно найти различные списки, составленные отдельными ведомствами и организациями, которые проясняют ситуацию. Например, на сайте управления РКН по Камчатскому краю [9] приводится перечень данных, которые попадают под категорию персональных: в нем числится ФИО, образование и уровень доходов. Отдельные операторы ПД также формируют собственные списки. Например, у АО «Восточно-Сибирский транспортный коммерческий Банк» в нем около 30 категорий [10]. В многопрофильной школе №17 около 40 категорий ПД [11], которые обрабатываются информационными системами.
Подобная формулировка закона и самые разные примеры, сформированные отдельными организациями, приводят к тому, что установить, считаются ли данные персональными бывает затруднительно. Поэтому в РКН предлагают решение [12]. Нужно задать вопрос, позволяют ли эти данные понять, кому именно они принадлежат? Например, просто имя не дает понимания, о каком конкретно человеке идет речь, а вот ФИО — уже дает (конечно, данный подход заслуживает отдельного обсуждения).
В законе №152-ФЗ сказано [13], что оператор ПД — это государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами осуществляющие обработку персональных данных, а также определяющие цели их обработки и состав. И такие компании попадают под действие статей 5 [14] и 6 [15] упомянутого закона [13], описывающие принципы и условия работы с ПД пользователей.
В них сказано, что операторы обязаны следовать определенным правилам:
/ фото Cal Injury Lawyer [17] PD
Бывает, что реализовать все требования к обработке ПД довольно сложно и трудоемко. Однако ФЗ-152 не говорит, какими техническими средствами обязан пользоваться оператор при обработке данных. В пункте 3 статьи 6 [15] ФЗ-152 прописано, что он может поручить обработку ПД кому-то другому, если владелец ПД даст на это свое согласие.
Поэтому многие компании отдают задачу выполнения требований закона на аутсорс: к примеру, облачным провайдерам, предоставляющим услугу «Облако ФЗ-152» [18]. Она позволяет арендовать инфраструктуру с полным набором административных (и технических) механизмов защиты ПД.
Однако в этом случае также есть нюансы, о которых следует помнить. Сперва нужно подписать договор с облачным провайдером, в котором указать цели обработки данных, список проводимых действий над ПД и механизмы их защиты. Причем комплекс защитных мер должен строиться согласно правилам, описанным в статье 19 закона о ПД [19].
Помимо этого, в договоре важно определить зоны ответственности: за что отвечает оператор, а за что — провайдер.
Для этого оператор должен:
В свою очередь, облачный провайдер должен сделать следующее:
При этом важно помнить, что согласие на обработку персональных данных пользователей все также получает оператор — это не входит в список обязанностей облачного провайдера. Это требование прописано в третьем и четвертом пунктах статьи 6 ФЗ [15]. Таким образом, ответственность перед владельцем ПД за действия провайдера несет оператор.
Однако провайдер отвечает за свои действия перед оператором. Например, провайдер не выполнил условия договора и допустил утечку ПД. Владельцы ПД этим очень недовольны. В этом случае провайдер будет отвечать за последствия перед оператором, а оператор — перед пострадавшими людьми.
Чтобы свести число неприятных ситуаций к минимуму, при выборе облачного провайдера оператору стоит запросить [20] у провайдера документ, который подтверждает прохождение аудита на соответствие декларируемому уровню защищенности. Также стоит попросить его показать модель защиты выделенного сегмента облака от потенциальных угроз, а также оценить способы резервного копирования и восстановления данных.
В июле прошлого года в силу вступил новый ФЗ, согласно которому штрафы за нарушение закона об обработке персональных данных в России составляют [21] от 1 до 75 тыс. руб. Например, штраф за обработку ПД без согласия пользователя составляет от 3 до 5 тыс. рублей для физических лиц и от 30 до 75 тыс. рублей для юрлиц. А отказ предоставить владельцу ПД информацию о том, как обрабатываются его данные, может лишить юрлицо 20–40 тыс. рублей.
Уже были случаи, когда компании штрафовали за нарушения в сфере обработки ПД. Например, кейс ООО «ТГЮК» [22], где компанию привлекли к ответственности за то, что на её сайте к форме обратной связи не прилагалось соглашение о конфиденциальности.
Всем, кто собирает, обрабатывает, хранит ПД или поручает операции с ними другим лицам, важно оценить все эти процессы на предмет соответствия закону. Для этого мы предлагаем воспользоваться следующим чек-листом:
Это позволит выделить потенциальные слабые места, реализовать недостающие защитные меры и избежать штрафов или потенциальных судебных исков.
P.P.S. Другие статьи из нашего блога на Хабре:
Автор: it_man
Источник [26]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/personal-ny-e-danny-e/285062
Ссылки в тексте:
[1] вступлением в силу европейского регламента GDPR: https://habr.com/company/it-grad/blog/353520/
[2] оказались к нему не готовы: https://habr.com/company/it-grad/blog/413889/
[3] нововведениях: https://habr.com/company/it-grad/blog/358728/
[4] Image: https://habr.com/company/it-grad/blog/416131/
[5] AJEL: https://pixabay.com/ru/%D0%BF%D1%80%D0%B5%D1%86%D0%B5%D0%B4%D0%B5%D0%BD%D1%82%D0%BD%D0%BE%D0%B5-%D0%BF%D1%80%D0%B0%D0%B2%D0%BE-%D0%BB%D0%B5%D0%B4%D0%B8-%D0%BF%D1%80%D0%B0%D0%B2%D0%BE%D1%81%D1%83%D0%B4%D0%B8%D1%8F-677940/
[6] «О персональных данных»: http://www.consultant.ru/document/cons_doc_LAW_61801/
[7] статье 3: http://www.consultant.ru/document/cons_doc_LAW_61801/4f41fe599ce341751e4e34dc50a4b676674c1416/
[8] нет перечня: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102108261&intelsearch=27.07.2006+%B9+152
[9] сайте управления РКН по Камчатскому краю: http://41.rkn.gov.ru/PD/
[10] около 30 категорий: https://rkn.gov.ru/personal-data/register/?id=10-0094316
[11] около 40 категорий ПД: https://rkn.gov.ru/personal-data/register/?id=09-0069766
[12] решение: http://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/
[13] сказано: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102108261
[14] 5: http://www.consultant.ru/document/cons_doc_LAW_61801/96fbc469f91f57235cc842a85e0516a99f23dc85/
[15] 6: http://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/
[16] политики обработки ПД: https://id.tmtm.ru/info/confidential/
[17] Cal Injury Lawyer: https://www.flickr.com/photos/calinjurylawyer/22082530215
[18] услугу «Облако ФЗ-152»: https://www.it-grad.ru/services/iaas/fz-152/
[19] статье 19 закона о ПД: http://www.consultant.ru/document/cons_doc_LAW_61801/ca9e5658710519f09ab2fdb8196fcb3eb024a051/
[20] запросить: http://iaas-blog.it-grad.ru/bezopasnost/zony-otvetstvennosti-zakazchika-i-oblachnogo-provajdera-personalnye-dannye-v-oblake-chast-3/
[21] составляют: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=212391&fld=134&dst=1000000001,0&rnd=0.7925160124724602
[22] кейс ООО «ТГЮК»: http://sudact.ru/regular/doc/TRz3NsNQuVWy/
[23] Принципы обработки персональных данных: о чем говорит закон: http://iaas-blog.it-grad.ru/bezopasnost/principy-obrabotki-personalnyx-dannyx-personalnye-dannye-v-oblake-chast-2/
[24] Защита персональных данных: европейский подход: http://iaas-blog.it-grad.ru/tendencii/zashhita-personalnyx-dannyx-evropejskij-podxod/
[25] Как реформа авторского права в ЕС изменит положение дел в Сети: https://habr.com/company/it-grad/blog/414615/
[26] Источник: https://habr.com/post/416131/?utm_campaign=416131
Нажмите здесь для печати.