Закон о персональных данных шифрование

Закон о персональных данных шифрование

Защита персональных данных

Закон «О персональных данных» требует от операторов или третьих лиц, имеющих доступ к персональным данным, обеспечения конфиденциальности информации. Распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания недопустимо. Изначально в законе присутствовало требование об обязательном использовании шифровальных (криптографических) средств для защиты персональных данных. Хотя это требование позднее было отменено (Федеральный закон от 27 декабря 2009 г. N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»), но в ряде случаев невозможно обеспечить надежную защиту персональных данных без использования средств шифрования. В частности, когда речь идет о передаче персональных данных по информационным каналам передачи данных, то шифрование становится одним из главных способов защиты.

Согласно Постановлению 781: «В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации». Проведение таких тематических исследований относится к компетенции ФСБ. Таким образом, использование несертифицированных ФСБ средств криптографической защиты персональных данных противоречит законодательству РФ.

Использование средств криптографической защиты информации часто строится на базе криптосервиспровайдера (CSP) – программного модуля, осуществляющего криптографические преобразования в системах и обеспечивающего доступ к данным преобразованиям из пользовательских приложений. Данная технология разработана корпорацией Microsoft и ее применение ограничено в основном информационными системами, построенными на базе продуктов этой корпорации. В частности, такие популярные пользовательские приложения, как Mozilla Firefox и Thunderbird не поддерживают эту технологию.

Компания «Криптоком» предлагает использовать для обеспечения конфиденциальности информации свой сертифицированный продукт «МагПро КриптоПакет» в исполнении «КриптоТуннель»», основанный на альтернативной технологии. Основным назначением исполнения «КриптоТуннель» является защита соединений по протоколу HTTP, терминального доступа по протоколу RDP, доступа к почтовому серверу и т.п.

Использование «КриптоТуннеля» значительно облегчает применение средств шифрования для защиты данных. В отличие от использования CSP, клиентская часть «КриптоТуннеля» не требует установки и длительной настройки на местах пользователей и позволяет работать непосредственно со съемного носителя (например, USB-Flash) на любом компьютере без необходимости получения прав системного администратора.

Программный продукт «МагПро КриптоПакет» в исполнении «КриптоТуннель» достаточно универсален и позволяет использовать для установки защищенного web-соединения любой браузер (Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Safari Apple и другие), а для RDP-соединений – любую версию RDP-клиента из состава Windows.

Использование «КриптоТуннеля» не ограничивается только операционными системами Microsoft, а охватывает практически весь спектр операционных систем (Windows, семейство Linux, а также FreeBSD и Sun Solaris).

Таким образом, «МагПро КриптоПакет» в исполнении «КриптоТуннель» обладает следующими преимуществами:

  • простота использования:
    • не требует установки на пользовательских местах;
    • не требует специального обучения пользователей;
    • минимизирует количество возможных ошибок пользователя;
  • мобильность:
    • позволяет работать непосредственно со съемного носителя (например, USB-Flash) на любом компьютере;
    • позволяет использовать любой Интернет-браузер для защищенного web-соединения;
    • не привязан к специфике операционной системы (кросс-платформенное решение);
  • безопасность:
    • защита от атак «человек посередине» (шифрование трафика и аутентификация сервера);
    • аутентификация клиента.

    Программный комплекс «МагПро КриптоПакет» сертифицирован ФСБ как средство криптографической защиты информации (СКЗИ) по классам КС1 и КС2.

    В состав СКЗИ «МагПро КриптоПакет» в исполнении «КриптоТуннель»» входит инструмент автоматического создания всех необходимых ключей и сертификатов, что позволяет в ряде случаев отказаться от услуг внешнего удостоверяющего центра (УЦ) и от разворачивания полноценного внутреннего УЦ.

    Еще одной разработкой компании «Криптоком» является исполнение OpenVPN-ГОСТ, которое позволяет строить виртуальные частные сети и тем самым защищать информацию при передаче по каналам связи в информационных системах любой сложности. .

    Внедрение OpenVPN-ГОСТ подразумевает наличие серверной и клиентской частей, а также организацию PKI (инфраструктуры открытых ключей) для обслуживания участников файлового обмена. Генерация всех необходимых ключевых файлов для сервера и клиента также осуществляется средствами, входащими в состав программного комплекса, услуги стороннего Удостоверяющего Центра не требуются.

    Продукты компании «Криптоком» создавались таким образом, чтобы максимально облегчить использование российской криптографии для решения задач по защите информации.

    Защита персональных данных с использованием криптографии

    Виктор Малочинский,
    заместитель генерального директора ЗАО «МО ПНИЭИ»

    После принятия Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и определения ФСТЭК и ФСБ России требований, в соответствии с которыми необходимо защищать персональные данные, особую актуальность приобрела задача выбора средств их защиты, отвечающих этим требованиям.

    Руководящими документами ФСТЭК России определено, что мероприятия по защите персональных данных реализуются в рамках следующих подсистем:

    • управление доступом;
    • регистрация и учет;
    • обеспечение целостности;
    • криптографическая защита;
    • антивирусная защита;
    • обнаружение вторжений.

    СКЗИ «Верба-OW», «Верба-сертификат MB»

    В этих целях для создания одной из подсистем — подсистемы криптографической защиты — ЗАО «МО ПНИЭИ» предлагает ряд комплексов, базирующихся на сертифицированных криптосредствах «Верба-OW» и системе управления ключами «Верба-сертификат MB».

    Для реализации функции защищенной электронной обработки персональных данных и обмена конфиденциальной юридически значимой информацией могут использоваться:

    • функционально законченный комплекс клиент-серверной технологии «Верба СТЭК-Траст»;
    • комплекс, построенный на базе автономного рабочего места «Верба-файл», обеспечивающий обмен защищенной информацией с использованием любого почтового сервиса и типовых почтовых приложений;
    • комплекс, построенный на базе абонентского пункта «УАП-VPKI» (собственное почтовое приложение с большими возможностями для автоматизации процессов обмена);
    • комплекс для защиты портальных решений, построенный на базе ПО «Корвет».

    Кроме того, для повышения автоматизации процессов обработки электронных документов возможно встраивание с использованием инструмента-риев разработчика криптографических библиотек «Верба-OW» и АРМ «Верба-сертификат MB Клиент» непосредственно в уже готовый документооборот.

    Внедрение криптосредств для защиты персональных данных

    Следует отметить, что использование криптографии при защите персональных данных возможно только после проведения сертификации комплексов или оценки корректности встраивания криптографических функций в комплексы в соответствии с техническими заданиями, согласованными с ФСБ России. В настоящее время с комплексами «Верба СТЭК-Траст» и «Верба-файл» такие работы проведены. С комплексами «УАП-VPKI» и «Корвет» эти работы будут завершены в ближайшее время.

    Приводимая ниже последовательность работ позволяет в короткие сроки обеспечить внедрение криптосредств для защиты персональных данных без остановки основного технологического процесса обработки информации.

    На первом этапе осуществляется поставка согласованного количества клиентских мест и инсталляция их на рабочих местах выделенного фрагмента документооборота, а также обучение сотрудников правилам пользования крип-тосредствами. На этом этапе задействуется серверное ПО, развернутое на технических средствах ЗАО «МО ПНИЭИ».

    На втором этапе идет разворачивание серверных частей комплексов в службах заказчика и проведение опытной эксплуатации пилотного района с использованием регламентов, разработанных ЗАО «МО ПНИЭИ».

    На третьем этапе идет полномасштабное развертывание технологии: дооснащение системы клиентскими АРМ до полного развертывания, обучение сотрудников, доработка регламентов под конкретные условия, ввод системы в эксплуатацию, разработка требований по автоматизации использования средств защиты в электронном документообороте (ЭДО).

    Четвертый этап представляет собой автоматизацию использования средств защиты в ЭДО (при необходимости). На этом этапе разрабатывается и согласовывается с ФСБ России ТЗ на сопряжение ЭДО со средствами защиты и проводятся работы в соответствии с ТЗ по оценке встраивания криптосредств.

    Работы первого этапа проводятся, как правило, в течение двух месяцев от момента заключения контракта, стоимость определяется в зависимости от выбранного комплекса защиты. Сроки последующих этапов зависят от степени участия заказчика в процессе разворачивания системы и взаимодействия разработчика ЭДО и разработчика криптографии.

    Практика внедрения указанных технологий в системы Почты России, Пенсионного фонда России, банков и других организаций показала целесообразность такого порядка реализации криптографической защиты информации.

    Общее описание программных продуктов, предлагаемых ЗАО «МО ПНИЭИ», приведено на сайте компании, консультации можно получить по контактному телефону.

    Бизнес без опасности

    Бизнес безопасности или безопасность бизнеса? О том и о другом в одном блоге. Имеющий мозг да применит его (6+)

    Нужно ли шифрование для защиты ПДн?

    Чего-то понесло меня в тему шифрования в последнее время. Видимо постоянное «окружение» влияет 😉 Но обратимся к непростому, как оказывается, вопросу: «А нужно ли шифровать ПДн?» Многие операторы ПДн почему-то считают, что убрав из текста закона фрагмент «в т.ч. использовать шифровальные средства«, законодатели сказали, что это самое шифрование теперь необязательно. И да и нет. Оно и раньше было необязательным, но находились «читатели», которые в словах после «т.ч.» видели обязательство применения шифрования. И вот по инициативе ФСБ фрагмент убрали и многие «читатели» ринулись в другую крайность.

    Но дело даже не в этом, а в том, что все почему-то ставят знак равенства между термином «конфиденциальность», указанном в ФЗ-152, и термином «шифрование». Но ведь это не одно и тоже. Совсем не одно и тоже. Что говорит ФЗ-152 про конфиденциальность? «Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания«. Где тут слово «шифрование»? Это всего лишь требование не допускать распространения ПДн без согласия их субъекта или иного законного основания. Достаточно всего лишь вписать в договор с субъектом, что ПДн передаются в открытом виде по Интернет (утрирую малость, но суть остается прежней) и вот вы уже чисты перед законом — согласие субъекта есть. Или передача данных в ФНС, ФМС, ФОМС и т.п. Обязаны передавать? Обязаны. Вот и передавайте без обеспечения конфиденциальности 😉

    Но если все-таки и согласия у нас нет, и законных оснований тоже. Остается только шифрование? Опять нет. Требование не допускать распространения может быть достигнуто разными способами. Например, передачей ПДн в контролируемой зоне. Или передачей ПДн в среде, в которой перехват данных признан в результате экспертной оценки неактуальной угрозой. Или заключением договора с оператором связи на обеспечение конфиденциальности (перекладывание рисков на чужие плечи). И только в последнюю очередь речь идет о шифровании ПДн. А если вспомнить про связку «шифрование — обезличивание», то и вовсе весело становится 😉

    Закон о персональных данных шифрование

    Как известно, в России несколько лет действует Федеральный Закон №152 «О персональных данных».
    За время его первой публикации в 2006 году Закон претерпел значительные изменения, а сами данные теперь обязаны храниться на территории Российской Федерации и быть защищены. На практике это приводит к повышению ответственности бизнеса в отношении обработки данных. О том насколько сложно соблюдать требования Закона «О персональных данных» и дает ли это реальный эффект пойдет речь в этой статье.

    Любое юридическое лицо, организованное в российском правовом поле подпадает под данное регулирование. Наш проект RUVDS Закон затрагивает как в части обработки личных данных клиентов, так и защиты информации, с которой работают клиенты на нашем оборудовании.

    Есть несколько объектов защиты.

    Первый тип данных — сами данные о клиенте. К примеру, это его имя, дата и место рождения, паспортные данные, для юридических лиц – данные о компании. Клиент при начале работы с сервисом соглашается передать нам эту информацию на обработку, а мы обязуемся работать с ними в соответствии с Законом. Это более-менее понятный и просто объект защиты.

    Второй тип данных – информация, которая непосредственно хранится клиентами на VDS/VPS сервере. Это как раз более значимый и важный объект защиты. Примерами таких данных может быть логин-пароль к социальной сети, почте, личная бухгалтерия у физических лиц. А у юридических лиц спектр подобной информации еще шире – это и клиентские базы данных, и бухгалтерия, и специализированное ПО.

    С точки зрения Закона, юридические лица, передавая данные на хранение или обработку, несут полную ответственность за защиту этой информации. Именно поэтому банки, брокеры, крупный бизнес проверяют потенциального партнера по организации хранения и обработки данных. Проверяется все. Нужно отметить, что некоторые клиенты приезжали в наш дата-центр с целью убедиться, что физический носитель и каналы связи под надежной охраной, а персонал действительно компетентный.

    Каким образом можно организовать защиту данных?

    Есть различные источники угроз личной информации, к примеру, использование данных клиентов в личных целях сотрудником компании, уничтожение данных клиента будь это физическое или юридическое лицо, кража данных путем взлома сервера.
    Это, наверное, самые известные и понятные угрозы, с которыми каждый оператор связи сталкивается. Сам список, конечно, гораздо шире.

    Естественно, есть разные способы и уровни защиты данных.

    Если говорить в терминах 152-ого Закона, то этапы защиты информации можно перечислить как: определение угроз, разработка мер безопасности и учет носителей информации, применение мер и оценка их эффективности и мониторинг всей этой системы безопасности. Наша компания последовательно выполняет все необходимые действия для максимальной защиты данных и первое, с чего начинается работа – это люди. Каждый сотрудник нашей компании при поступлении на работу знакомится со списком конфиденциальной информации, к которой, в частности, относятся персональные данные клиентов. Он подписывается под своей ответственностью за то, что будет работать с этими данными в рамках законодательства РФ.

    Однако полагаться только на сознательность в данном вопросе нельзя. Поэтому нас действует четкая система разграничения и контроля прав доступа, разработанная дипломированными специалистами в области защиты информации. Если вкратце, то доступ к данным о клиентах (первый тип, о котором я говорил ранее) получают только те сотрудники, которые имеют соответствующую, подтвержденную сертификатом, квалификацию по работе с конфиденциальной информацией, и строго по регламенту. При этом доступ всегда персонифицированный, с логированием всех действий сотрудника. Поэтому, если специалист что-то модифицировал, скачал, отправил, сохранил данные о клиенте – мы это всегда увидим и сможем однозначно определить, кто это сделал.

    Доступ же к данным клиентов (второй тип данных), которые они хранят на сервере, сотрудники могут получить только при наличии заявки от клиента, к примеру, для оказания помощи в настройке, оказания каких-либо дополнительных специфических услуг. При этом сотрудник, который проводит любые работы на сервере клиента, так же сертифицирован для работы с конфиденциальной информацией, а компьютеры, с которых в случае необходимости осуществляется доступ к данным клиента, оборудованы специализированным ПО для предотвращения несанкционированного доступа и сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК).

    Такая организация работы, по сути, гарантирует защиту данных клиентов от потенциальных злонамеренных действий сотрудников и ограничивает потенциальную утечку информации областью защищенных и недоступных извне машин. К слову, и наш операторский зал оборудован круглосуточным видеонаблюдением, для предотвращения утечек с помощью подручных средств фотофиксации.

    Однако, остается вопрос, над решением которого бьются системные администраторы и сотрудники служб безопасности многих компаний – взлом информационных систем. Должен сказать, что при работе с виртуальным сервером обеспечить защиту от взлома значительно проще и прозрачнее. Когда вам нужно обеспечить безопасность передачи данных между физическими компьютерами сотрудников, на каждом из которых в отдельности есть конфиденциальная информация, вам необходимо контролировать каждый ПК, деятельность на нем в каждый момент времени. А если у вас все данные на одном виртуальном сервере, то вам нужно контролировать лишь доступ к нему. Мало того, нужно учесть, что сам дата-центр как отдельная бизнес-единица уже проработал защиту данных клиентов, защиту от DDOS-атак. Отдельно над этими же задачами поработал так же и провайдер хостинг услуг. К примеру, в нашем дата-центре есть мониторинг как самих серверов, так и анализатор трафика, позволяющий оперативно блокировать DDOS-атаки. То есть клиент еще на старте отношений получает серьезный уровень защиты «из коробки».
    Если вам нужно больше, можно заказать услугу по DDOS-защите. С такой услугой сервер получает IP-адрес из выделенной подсети, где на адрес поступает уже отфильтрованный поток данных. Это очень актуально для популярных сайтов, интернет-банков, игровых ресурсов.
    При этом при организации массового доступа к серверу, каждый доступ персонифицирован и логируется, как средствами самого VPS, так и средствами контроля оператора связи, поэтому вы достаточно легко и быстро сможете выявить и пресечь любую нелегальную деятельность с данными.

    Это является мотивом для очень многих компаний для перевода командной работы с данными, начиная от общей разработки до хранения многолетней бухгалтерской отчетности и работы интернет банков, на виртуальные сервера. Это и дешевле, и эффективнее.
    Среди наших клиентов, к примеру, есть банки и брокеры. В работе с ними есть определенная специфика, но с точки зрения безопасности данных на самом деле работа с такими клиентами не сложнее и не проще, чем с любыми другими. Стандарты безопасности и уровень сервиса одинаково высоки как для небольшого розничного клиента, так и для крупного юридического. Почему так? Потому что лицензию могут отозвать за нарушение в отношении любого клиента. Да и как юридическое лицо может доверить свои данные оператору, который не может защитить данные розничного клиента? Однако стоит сказать, что по запросу крупных клиентов мы можем установить дополнительные средства мониторинга, защиты, которые, по мнению клиента, нужны именно ему. Тут мы всегда идем навстречу. Естественно, при работе с крупными клиентами на слово никто не верит. Потому свою компетентность и уровень нужно подтверждать лицензиями.

    Любой оператор связи, который предоставляет свои услуги через свой узел связи (дата-центр), обязан обладать лицензиями Роскомнадзора на соответствующую деятельность. К примеру, наша компания лицензирована для предоставления телематических услуг связи и услуг по передачи данных (без голосовой информации). Отдельно для работы с конфиденциальной информацией и государственной тайной необходимо получить лицензию ФСТЭК. Лицензию можно получить только при наличии внутренних процедур по защите информации, специального сертифицированного ПО и оборудования для контроля доступа к данным, а так же физическую защиту носителей информации от любого способа кражи или воздействия. Это уже серьезная гарантия при работе с юридическими лицами. RUVDS как раз в процессе получения данной лицензии.

    На практике же реальная защита данных начинается с нескольких кордонов охраны помещения с видеонаблюдением, персонифицированным доступом в помещение с оборудованием, а само оборудование и операторский зал при этом так же находится под круглосуточным видеонаблюдением. Вся связь проходит через сертифицированные защищенные коммутаторы, а обработка личных данных клиентов и их хранение происходит на выделенной машине под контролем специализированного ПО, гарантирующего защиту от утечек.
    Так как само помещение имеет глухие стены толщиной минимум 1 метр, то это гарантирует от прослушки. Зачастую, подобные условия защиты невозможно создать в офисных помещениях, не говоря уже о технологической составляющей в поддержании постоянной температуры, бесперебойной связи и электропитания и газового пожаротушения. По сути, это хранилище данных уровня надежного банковского хранилища.

    Зачем такие меры?

    Во всем мире уже давно известно, что информация – своего рода нефть. Она может быть бесполезна, как когда-то ничего не стоила и сама нефть. Но при правильном ее использовании она может стать золотой жилой. В нашей стране это так же осознали и начали заниматься защитой этого ресурса. Самое простое применение такой информации – базы данных потенциальных клиентов. Это, вероятно, самое безвредное, если можно так сказать. Спектр же применений самый обширный, вплоть до сбора компрометирующих данных и взломов банковских счетов с помощью полученной информации. Поэтому защита нужна серьезная и постоянная.

    Так же не стоит забывать об отказоустойчивости и хранении резервных копий данных. Хотя сам факт отказа всего сервера крайне маловероятен, почти невозможен, всегда должна быть система зеркалирования данных, а для серьезных клиентов, по запросу, как правило, выделяется двойной объем дисков для постоянного бэкапирования. Это актуально как раз банкам, особенно тем, кто развернул интернет-банк на сервере, ведь они должны максимально быстро «поднять» резервную копию ресурса. Такая система это позволяет сделать и у нас она тоже есть.
    Еще одним нюансом становится масштабирование инфраструктуры. В случае, когда вы сталкиваетесь с подобной проблемой со своим «железом», выхода у вас два – сокращать нагрузку, что, вероятнее всего вас не устроит, — либо наращивать мощность сервера, докупая составные части, если архитектура позволяет, а скорее всего, вам придется купить просто более мощный сервер.
    С учетом текущей экономической ситуации задача иногда неподъемная для малого бизнеса и просто невыгодная. Очень сложно оценить эффект отдачи нового оборудования, а деньги за него нужно заплатить сразу.

    Если вы используете виртуальный сервер, подобные вопросы решаются мгновенно. Вы просто дозаказываете ресурс и компания выделяет для вас нужные мощности. Происходит это обычно с течение нескольких минут. Если вы так разрослись, что для вас уже не хватает одного сервера и данные нужно перенести на новый более мощный сервер, это займет пару часов. Но в любом случае, по сравнению с покупкой и настройкой своего железа – это молниеносно. А цена будет на порядки ниже. К примеру, аренда сервера, мощностью в хороший ноутбук, стоимостью 50 000 рублей, вам обойдется в 1 500 рублей (это без учета скидок за оплату за год). Сами понимаете, какая экономия. Это не говоря о том, что на машине могут работать сразу много сотрудников, подключаясь к ним со слабого дешевого ПК или даже с планшета. Так же к этому нужно добавит экономию на покупке программного обеспечения. Вы можете арендовать практически любое ПО для деятельности вашей команды у хостинг-провайдера.

    Закон о персональных данных шифрование

    Каждый год компания СКБ Контур проводит конкурс для предпринимателей «Я Бизнесмен», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

    Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

    Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

    Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать

    Закон о персональных данных шифрование

    Cегодня практически каждый сайт или веб сервис, оказывающий какие-либо услуги в Рунете, будь то новостной сервис или социальная сеть, имеет дело с персональными данными (или ПДн) своих пользователей, посетителей, подписчиков. C 1 июля 2017 года ответственность за нарушение законов в области персональных данных существенно увеличилась . Обновленная статья 13.11 КоАП расширилась и теперь в ней семь видов правонарушений, самый высокий штраф для юридических лиц – 75 000 рублей, который в совокупности нарушений может достигать 295 000 рублей. В России помимо административной ответственности несоблюдение законов о защите данных может повлечь также гражданскую (возмещение морального вреда) и уголовную ответственность (например, тюремное заключение).

    Роскомнадзор вправе возбуждать административные дела в области персональных данных, ранее подобные дела инициировали только прокуроры. Кроме того, есть риск блокировки ресурса Роскомнадзором в случае неустранения нарушений закона о персональных данных, но только по решению суда.

    Отчет Роскомнадзора показывает, что с момента начала реализации закона о локализации персональных данных (242-ФЗ) было проведено 2256 плановых проверок, 192 внеплановые проверки (по жалобе субъекта персональных данных) и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений. План проверок управления Роскомнадзора публикуют на своих сайтах.

    Другие надзорные органы: Федеральная служба по техническому и экспортному контролю России (регулирует вопросы технической защиты информации в нашей стране) и ФСБ России (регулирует вопросы криптографии (шифрования). Стоит здесь отметить громкое дело о требовании ФСБ расшифровать переписку мессенджера Телеграм (Telegram), где пересекаются, с одной стороны, интересы частных лиц и их право на неприкосновенность частной жизни, и, с другой стороны, интересы общества, госбезопасности.

    Настоящая статья поможет разобраться, как сайту или веб сервису соответствовать законодательству о персональных данных и избежать штрафов.

    Основные действующие в России законы, касающиеся персональных данных:

    • Страсбургская «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» 1985 года, была ратифицирована в России в 2005 году.
    • Конституция РФ. Статьи 23 и 24.
    • Федеральный закон «О персональных данных» от 27.07.2006 (далее «закон о персональных данных«)
    • Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006

    Также существуют специальные нормы по отраслям права: КоАП РФ (статья 13.11), как упоминалось выше, Трудовой кодекс РФ (глава 14), Воздушный кодекс РФ (ст. 85.1), ФЗ Об основах охраны здоровья граждан в РФ и другие. Кроме того, разными ведомствами, например, Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности издаются подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных.

    Давайте разберемся с понятиями.

    Персональные данные

    Законодатель отнес любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ о персональных данных). В силу такого широкого определения ПДн в законе, определить какие данные подпадают под охрану закона, а какие нет — дело не простое. Поэтому следует руководствоваться позицией регулятора — Роскомнадзора.

    Пункт 2.5 Методических рекомендаций Роскомнадзора по уведомлению о начале обработки персональных данных раскрывает в скобках, какая это может быть информация: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных.

    В любом случае, согласно закону, который имеет превалирующую силу над подзаконным актом (методические рекомендации), конкретный перечень видов персональных данных не определен, что дает правоприменительным органам волю интерпретации.

    Оператор персональных данных

    Любая организация, ИП и физическое лицо является оператором и, таким образом, попадает под действие закона о персональных данных, если

    • самостоятельно или с другими лицами (юридическими или физическими) организует и(или) осуществляет обработку персональных данных,
    • а также определяет цель такой обработки, состав персональных данных, действия (операции).

    Проще говоря, если вы обрабатываете и контролируете персональные данные, то вы оператор.

    Обработка персональных данных

    Если вы совершаете хотя бы одно из нижеперечисленных действий, то вы обрабатываете персональные данные и обязаны подчиняться закону о персональных данных:

    • Сбор
    • Запись
    • Систематизация
    • Накопление
    • Хранение
    • Уточнение (обновление, изменение)
    • Извлечение
    • Использование
    • Передача (распространение, предоставление, доступ)
    • Обезличивание
    • Блокирование
    • Удаление
    • Уничтожение персональных данных.

    ЧТО НУЖНО СДЕЛАТЬ ДЛЯ СОБЛЮДЕНИЯ ЗАКОНА?

    1. УВЕДОМИТЕ РОСКОМНАДЗОР

    Если вы обрабатываете персональные данные, как описано выше, то вы обязаны уведомить об этом Рoскомнадзор (управление Роскомнадзора по субъекту по месту регистрации в налоговом органе) до начала обработки (ст. 22 закона о персональных данных). Вы можете это сделать в письменном виде путем направления письма или электронно на сайте Роскомнадзора (бумажную версию также необходимо выслать. После чего в течение 30 дней со дня получения уведомления Роскомнадзором вносится запись в реестр операторов персональных данных, вы получаете выписку о внесении. По состоянию на 27 октября 2017 года 400 098 операторов зарегистрировано. Сведения об операторах и находятся в общем доступе (за исключением способов обеспечения безопасности персональных данных, более подробно об этом ниже).

    Важно отметить, что вы обязаны не просто заполнить уведомление и направить его, но также выполнить то, что вы в нем написали.

    Как и везде, существуют исключения. Поэтому сначала проверьте основания обработки персональных данных БЕЗ уведомления уполномоченного органа (ст. 22 закона о персональных данных). В частности, например, следующие основания для неуведомления:

    • данные, обрабатываемые в соответствии с трудовым законодательством (это не освобождает от защиты персональных данных ваших сотрудников и соблюдения трудового законодательства)
    • персональные данные были получены в связи с договором с субъектом персональных данных при условии, что (1) данные не передаются третьим лицам без согласия субъекта, (2) используются только для целей исполнения договора с субъектом
    • если данные общедоступны
    • у вас есть только ФИО клиента и др.

    Если вы все-таки не попадаете под основания для исключения, то форма уведомления есть в Рекомендациях Роскомнадзора (приложение 1). Подробнее поговорим о некоторых сведениях, которые требуется указать в Уведомлении.

    Какие действия вы совершаете с персональными данными и какие способы обработки используете. В большинстве случаев обработка данных владельцами сайтов/веб сервисов является автоматизированной (есть также неавтоматизированная и смешанная). Здесь следует указать, куда передается информация: по внутренней сети оператора (то есть доступна только определенным сотрудникам), с использованием интернета или не передается вообще.

    Другой важный момент касается мер для обеспечения выполнения обязанностей по закону о персональных данных.

    • Издание документов и локальных актов о порядке обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным и прочее. См. также Рекомендации Роскомнадзора по составлению подобных документов.
    • Технические меры, например, защита паролем, антивирусные средства Если вы используете криптографические (шифровальные) средства, то нужно указать наименование таких средств и их класс (см. Приказ ФСБ России).

    Если вы передаете персональные данные на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 закона о персональных данных), то нужно указать какие именно стране. Допускается трансграничная передача на территорию стран — членов Совета Европы , а также иных государств, где персональные данные адекватно защищаются и есть комплексный закон, регулирующий данную область.

    Неуведомление Роскомнадзора грозит штрафом для юридических лиц от 3000 до 5000 р. (см. ст. 19.7 КоАП РФ). Такие дела рассматриваются судом (ст. 23.1 КоАП). Роскомнадзор вправе потребовать уточнения данных путем направления вам письма с перечнем недостающих сведений (ст.22 закона о персональных данных и п.3.3. Рекомендаций Роскомнадзора). В случае каких-либо изменений информации, которую вы указали в уведомлении, то требуется в течение 10 дней с момента возникновения изменений сообщить об этом управление Роскомнадзора (форма есть в приложении 2 к Рекомендациям Роскомнадзора).

    2) ХРАНИТЕ БАЗУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В РОССИИ

    С 1 сентября 2015 года хостинг, база, центр обработки персональных данных должны располагаться на территории России (ст.16 закона об информации). И несмотря на то, что закон о “локализации персональных данных” назвали законом ручного применения и под его раздачу недавно попала лишь сеть профессиональных контактов LinkedIn , не исключено, что похожее может произойти и с Фэйсбуком и рядом других крупных сервисов, после чего правоприменение по подобного рода делам может развернуться куда шире. Закон одинаково распространяется и на иностранные организации, которые обрабатывают персональные данные россиян и чьи услуги, сервисы направлены на пользователей в России. Если сбор данных осуществляется не в ходе функционирования крайне чувствительных веб-сервисов (тематических форумов, сайтов знакомств, UGC-ориентированных ресурсов), на которых организатору сервиса надлежит обеспечить максимальную безопасность данных своих пользователей, то размещение баз данных на серверах внутри страны способно минимизировать риски претензий Роскомнадзора в связи с несоблюдением закона. Однако решение об этом следует принимать в индивидуальном порядке, оценивая тематику, функционал и аудиторию ресурса. Пока же мы видим, что мелкие и средние веб-сайты, сервисы и приложения россиян в части соблюдения “закона о локализации” ведомство интересуют не сильно.

    Адрес местонахождения баз данных необходимо сообщить Роскомнадзору. Если Вы все таки решили локализовать данные, то обратитесь к вашему хостинг провайдеру для получения адреса расположения вашего сервера. Здесь можно ознакомиться более подробно с темой локализации данных в России.

    3) СОЗДАЙТЕ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ И ПОЛУЧИТЕ СОГЛАСИЕ НА ОБРАБОТКУ

    Согласно позиции РКН, в отношении использования веб-ресурсов не требуется рукописного согласия на обработку персональных данных, однако критически важным является наличие на сайте Политики обработки персональных данных либо Политики конфиденциальности с положениями о порядке сбора, хранения и обработки ПДн. Наиболее известен случай из практики о привлечении к адм. ответственности юридической компании за отсутствие на сайте политики обработки персональных данных. Поэтому наличие подобной политики на сайте во многих случаях считается уже достаточным, чтобы соответствовать закону.

    Утвердите приказом политику конфиденциальности, разместив ее на сайте, (мобильном приложении, если имеется) так, чтобы пользователю было не трудно найти ее, например, в футер. В политике нужно отразить категории персональных данных, виды обработки, цели обработки, меры защиты, какие действия вы выполняете с данными. Уведомляйте посетителей сайта, что их персональные данные обрабатываются в целях функционирования сайта и получайте их согласие на обработку. Можно посмотреть, как это делают другие сайты. Например, Яндекс в своей политике конфиденциальности указал, что использование сервисов является согласием на обработку: “Использование Сервисов Яндекса означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов”.

    Похожее положение в политике конфиденциальности Рамблера : “При регистрации на Интернет-ресурсе заполняя размещенную на Интернет-ресурсе Рамблера регистрационную форму и предоставляя свои персональные данные Рамблеру, Пользователь подтверждает, что он достиг возраста 14 лет и что он принимает настоящий Регламент и дает согласие на обработку своих персональных данных Рамблеру в соответствии с Политикой в отношении обработки персональных данных в Рамблере и сведениями о реализуемых требованиях к защите персональных данных, а также изложенными в ней правилами обработки персональных данных”.

    Таким образом, в регистрационные и иные формы заполнения на вашем сайте, можно под кнопкой добавить следующую фразу со ссылкой на правила пользования сервисом, куда вы также включаете политику конфиденциальности. Такой подход также подтверждается и позицией Роскомнадзора.

    В июле 2017 Роскомнадзор опубликовал Методические рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. При написании Политики на сайте, необходимо руководствоваться этими рекомендациями.

    Несмотря на то, что политика конфиденциальности является юридическим документом, вы должны обеспечить, чтобы текст был легко понятен и точен. Нежелательно использовать скрытые предложения в тексте или делать его слишком расплывчатым, поскольку это может повлиять в общем на авторитетность и репутацию вашего сервиса.

    4) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ ПУНКТ О COOKIES

    Cookie-файлы — небольшие информационные маркеры (копии веб-страниц, картинок, видеороликов и другого контента, просмотренного с помощью браузера), которые ваш сайт может записывать на жесткий диск компьютера посетителя. Благодаря cookies ваш сайт может:

    • узнавать пользователей и их предпочтения
    • подстраивать веб-контент, отображаемый на вашем сайте, под отдельных пользователей
    • собирать информацию о том, как посетители используют ваш сайт
    • помогать Вам совершенствовать ваши продукты и сайты

    В российском законе нет понятия cookies, каких-либо определенных специальных требований в их отношении, они формально не признаются персональными данными. Нет необходимости российскому сайту брать отдельное согласие посетителя путем нажатия кнопки при входе на его сайт, как некоторые сайты это делают. Дело в том, что иностранные компании, которые подчиняются юрисдикциям других государств, обязаны независимо от местонахождения пользователей, получать согласие на использование файлов cookies. Например, в Евросоюзе веб-сайт должен получить разрешение от посетителей прежде, чем записывать свои cookies на их компьютеры.

    Однако, лучше себя обезопасить, ведь определение персональных данных расплывчато, а Роскомнадзор не дремлет с проверками. Без каких-либо всплывающих окон и кнопок можно просто написать в политике конфиденциальности, что под персональной информацией пользователя также понимаются: “IP-адрес хоста, данные файлов cookie, информация о браузере пользователя, местоположение”. Как компании формулируют пункты о cookies, вы также можете посмотреть в их политиках, размещенных на официальных веб-ресурсах.

    5) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ EMAIL И АДРЕС, КУДА ПОЛЬЗОВАТЕЛЮ МОЖНО ОБРАТИТЬСЯ С ЗАПРОСОМ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Например, об их удалении. Не игнорируйте письма с подобными запросами и удаляйте персональные данные по первому требованию, если это возможно сделать без болезненного изменения структуры и контента сайта. Ведь чья-то жалоба может стать поводом для внеплановой проверки Роскомнадзором и(или) судебной тяжбы.

    6) НАЗНАЧЬТЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Обязательным требованием является назначение соответствующим приказом ответственного за организацию обработки данных (ст.22.1 закона о персональных данных). Это может быть как физическое, так и юридическое лицо (по договору). Такой человек (или компания) должен следить за изменениями в законодательстве о персональных данных, информировать, обучать, обновлять политику конфиденциальности и иные акты о персональных данных.

    7) ПРИМИТЕ ТЕХНИЧЕСКИЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Меры по обеспечению безопасности персональных данных при их обработке установлены в ст.19 закона о персональных данных. Их вы также указываете в уведомлении Роскомнадзора.

    Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных и требования по обеспечению безопасности. Эти требования содержатся в Постановлении Правительства №1119 от 01.11.2012. Во исполнений указанных положений появился следующий приказ: Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Вы можете принять меры как самостоятельно, так и с привлечением юридического лица (или ИП), имеющего лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Существует множество организаций, предлагающих программные комплексы, IT решения, средства защиты персональных данных. Если вы нанимаете организацию и используете разработанные ею средства защиты, то удостоверьтесь, что они прошли в установленном порядке процедуру оценки соответствия (сертификация проводимая ФСТЭК).

    Вы также можете сами получить лицензию ФСТЭК. Это открывает возможности самим оказывать услуги в области защиты данных, в том числе для государственных организаций.

    Применение сертифицированных средств защиты или получение лицензии ФСТЭК — это дорогостоящий процесс и времязатратный, который чаще всего позволяют себе большие компании. Но можно рассматривать это как инвестицию, ведь подтверждается надежность и безопасность персональных данных клиентов и, таким образом, возрастает привлекательность вашего бизнеса.

    Все же нет обязательного требования привлекать специалистов — подрядчиков, можно это сделать самостоятельно. Все зависит от модели вашего бизнеса, сложности баз данных, процессов и финансовых возможностей.

    Несколько советов по принятию мер безопасности персональных данных самостоятельно:

    • Обследуйте свои информационные системы персональных данных, поймите, где именно и какие данные располагаются, как они двигаются и циркулируют, кто имеет к ним доступ
    • Классифицируйте свои информационные системы персональных данных (есть разные факторы классификации, например, расовая и национальная принадлежность, численность субъектов). Чем выше класс, тем серьезнее должна быть защита
    • Постройте модель угроз
    • Составьте список мер защиты и выполняйте их на основе классов информационных систем (включить в уведомление Роскомнадзора перечень таких мер)
    • Можете также привлечь сторонние организации частично по каким-то отдельным задачам. Определите степень привлечения.
    • Обучайте своих технических сотрудников
    • Проводите проверку эффективности мер самостоятельно или с привлечением подрядной организации не реже 1 раза в 3 года (п.6 Приказа ФСТЭК)