За 2023-й год в России утекло более 660 млн записей с персональными данными. За утечку информации предприниматели получают штрафы. Разбираемся, как правильно хранить и защищать персональные данные, и какая ответственность ждет тех, кто нарушит закон.
Что такое персональные данные
Основным юридическим документом, регулирующим обработку персональных данных, является Федеральный закон № 152-ФЗ "О персональных данных". В соответствии с этим законом, "персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу". Это может быть ФИО, адрес электронной почты, телефонные номера и так далее.
Существует неточный перечень видов персональных данных, поскольку обычно он зависит от контекста. Например, в деле А40-139096/2022 Верховный суд РФ отклонил адрес электронной почты и номер телефона как персональные данные. Страховая компания собирала заявки на оформление полиса и запрашивала у пользователей только эту информацию. Роскомнадзор признал обработку персональных данных незаконной и подал иск.
Суд объяснил отказ так: в этой ситуации нельзя однозначно идентифицировать физическое лицо, к которому относится адрес почты и телефон. Пользователь может удалить почтовый ящик и прекратить обслуживание связанных с ним номеров телефонов - в таком случае эта информация будет передана другому человеку. Если бы страховщики также запрашивали у клиентов их ФИО и можно было бы однозначно определить конкретного человека, упомянутая информация была бы рассматривалась как персональные данные.
Для того чтобы понять, какая информация помимо ФИО, адреса электронной почты и телефона может быть квалифицирована как персональные данные, следует обратить внимание на категории персональных данных, предусмотренные Постановлением Правительства РФ № 1119.
- Особые данные - информация о национальности и расовой принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
- Биометрические данные - информация о биологических и физиологических особенностях человека, позволяющая идентифицировать личность (например, отпечатки пальцев).
- Общедоступная информация - данные, размещенные в справочниках и адресных книгах, публично доступные с согласия пользователя. Примеры: ФИО, год и место рождения и другие (ФЗ № 152, статья 8).
- Иные персональные данные, не относящиеся к первым трем категориям.
Как хранить и защищать персональные данные
Персональные данные могут быть сохранены в печатной или электронной форме. Согласно Федеральному закону № 152-ФЗ, статья 18.1, пункт 1.2, оператор данных сам определяет метод хранения и фиксирует его в локальных документах (например, базы данных клиентов обычно хранятся в виртуальном облаке, в то время как информация о сотрудниках может быть распечатана).
Еще одно требование - базы данных должны находиться в пределах территории РФ. Исключениями являются ситуации, перечисленные в Федеральном законе № 152, статья 18, пункт 5.
Также в том же Федеральном законе № 152, статья 5, пункт 7 указаны общие требования к хранению.
- Данные должны храниться не дольше, чем необходимо для обработки, в формате, который позволяет идентифицировать субъекта.
- После достижения цели персональные данные должны быть либо уничтожены, либо обезличены.
Ключевым принципом правильного хранения персональных данных является обеспечение надежной защиты. Оператор несет за это ответственность (ФЗ № 152, статья 19), даже если передает обработку информации третьим лицам (в этом случае необходимо заключение договора, согласно Постановлению Правительства №1119, пункт 3).
Для каждой категории персональных данных существует определенная схема защиты, которая отражена в нормативных актах Федеральной службы безопасности Российской Федерации (ФСБ) - приказ ФСБ России от 10 июля 2014 года № 378 и Федеральной службы по техническому и экспортному контролю (ФСТЭК) - приказ ФСТЭК России от 18 февраля 2013 года № 21. ФСБ отвечает за криптографическую защиту данных, а ФСТЭК - за техническую. Все технические средства для защиты персональных данных должны пройти проверку указанных служб.
Общее количество четырех уровней защиты персональных данных. Чтобы определить уровень, необходимо учитывать четыре параметра (Постановление Правительства № 1119):
- Категория персональных данных: 1 - специальные, 2 - биометрические, 3 - общедоступные, 4 - иные.
- Кому принадлежат персональные данные: работники организации или другие лица.
- Количество субъектов, данных которых обрабатываются: менее 100 000 и более 100 000.
- Типы актуальных угроз: 1 - связанные с наличием недокументированных возможностей в системном программном обеспечении; 2 - связанные с наличием недокументированных возможностей в прикладном программном обеспечении; 3 - не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.
Требуется соблюдать специальные требования к технологии хранения биометрических данных вне информационных систем.
Знание этих параметров поможет определить уровень защищенности персональных данных с помощью калькулятора ФСТЭК. Система предоставит список мер безопасности. Однако необходимо точно знать все параметры, иначе калькулятор проведет неправильную оценку. Чтобы избежать ошибок, стоит обратиться к специалисту по информационной безопасности.
Оставайтесь со «SPINOFF», будьте в тренде! Записаться на консультацию можно по номеру +7 (978) 283-84-08.
Наш сайт: https://spinoff-marketing.ru/
Наш ВК: https://vk.com/spinoff_smm
