ФЗ 152, регулирующий хранение персональных данных в 2011 году, не сразу привлек к себе внимание общественности в полной мере. Зато поправки, принятые в 2017-м, справились с этой задачей уже гораздо лучше. Вместе с тем, далеко не каждая организация в РФ его соблюдает. При этом, персональные данные собирают все, у кого есть в найме работники.
На сегодня, согласно букве закона, получается, что почти 100% организаций обязаны защищать данные, которыми они располагают. Почему? Объясняем. К персональным данным, следуя разъяснениям Роскомнадзора относятся:
· Фамилия, имя, отчество
· Паспортные данные
· Год, месяц, дата рождения, место рождения
· Адрес регистрации или фактического, либо временного, проживания
· Семейное положение
· Социальное положение и имущественное положение
· Образование
· Профессия, род занятий, тип занятости
· Уровень доходов
· Данные о состоянии здоровья
· а также другие данные, которые сами по себе, или вместе с другими данными, могут дать возможность идентифицировать личность человека.
То есть, если в вашей компании есть работники и вы используете их персональные данные для приема на работу, выплаты заработной платы – вы должны эти данные защищать в своих информационных системах. Кроме того, получить документы о соответствии используемых систем закону о защите персональных данных.
Теперь к оператору информационных систем персональных данных (ИСПдн) относятся, например, интернет-магазины и поликлиники. Причем, данные, хранящиеся в поликлиниках, относятся к самой высокой, 1й категории защиты.
Разберем обязанности интернет-магазина по отношению к работе с персональными данными клиентов.
Внешняя сторона вопроса состоит в правильном описании всех юридических нюансов и донесении их до потребителя. На сайте при заполнении формы со своими данными покупатель должен получить информацию:
· О цели сбора персональных данных (например, если вы планируете использовать e-mail клиента для рассылок рекламы в дальнейшем, вы должны его об этом предупредить).
· О сроках, в течение которых вы планируете его данные хранить (очевидно, что как минимум, до окончания гарантийного периода на товар, купленный в вашем магазине).
· Перечень данных, которую собирает и обрабатывает сайт: кроме заполняемых покупателем персональных данных, часто это касается политики использования cookie и др.
· Правила и цели передачи персональных данных третьим лицам: например, партнёрам, осуществляющим доставку товара.
Вторая часть касается непосредственно места хранения данных. Во исполнение буквы закона вы можете построить собственную инфраструктуру, полностью удовлетворяющую всем требованиям сертификации или заключить контракт с облачным провайдером, чье облако защищено в соответствии со всеми требованиями ФЗ-152 и оплачивать ресурсы по мере потребления без вложений в собственную архитектуру. Кстати, не забудьте, ч о в любом случае персональные данные должны храниться на территории РФ, то есть, в случае выбора облачного решения, убедитесь, что ЦОД провайдера находится на территории России.
Какой бы вариант вы не выбрали, не забывайте, что базы данных клиентов и высококвалифицированных сотрудников – желанная добыча злоумышленников. Например, по данным InfoWatch, правда, за 2009 год, персональные данные в общем массиве украденных данных составляли 89,8%.
Если вы находитесь в процессе выбора способа хранения данных, напоминаем, что, сервис хранения персональных данных в облаке OnCloud.ru позволяет защитить ваши персональные данные по классу УЗ-2 с полным соблюдением ФЗ-152 без закупки дополнительного оборудования и внедрения собственных систем защиты. Что немаловажно, мы можем предложить решение и для хранения данных, подпадающих под класс УЗ-1, которое позволяет соблюдать законодательство медицинским лабораториям и поликлиникам. Если у вас есть вопросы о том, под какой класс подпадают данные в случае вашего бизнеса, мы поможем разобраться.