Про персональные данные

На волне очередных диалогов про мой любимый ФЗ-152 я решил передать в паблик свою инструкцию по этому закону, т.к. не всё в нём так однозначно и просто :-)

Эту инструкцию я в свое время писал для IT-Agency, чтобы дать понять как не навлечь на себя и, как следствие, на клиентов агентства гнев компетентных органов, делая все по закону.

Речь пойдет любых сайтах, на которых мы собираем, храним, используем персональные данные физических лиц. Таким проектом необязательно является (к примеру) интернет-магазин, персональные данные одинаково эффективно может собирать и маленький лендинг, и большой проект.

Храните ли вы их на бумаге или в базе данных на сервере, вы являетесь оператором персональных данных и подпадаете под действие ФЗ-152.

Что такое персональные данные

Любая информация, относящаяся к физическому лицу и, по которой, это физическое лицо можно определить является персональными данными.

Например: ФИО, дата и место рождения, номер телефона, адрес электронной почты, адрес (любой), данные о доходах и имуществе, семейное положение, образование, профессия, биометрические данные и прочее, что каким-либо образом может идентифицировать физическое лицо.

Хозяйке на заметку
Добавьте ко всем формам, которые собирают персональные данные, на вашем сайте обязательный чек-бокс с согласием пользователя на обработку вами его персональных данных. Поставьте в него ссылку на ваше соглашение на обработку персональных данных (примеры легко гуглятся).
Вся процедура не займет у вас много времени, а нервов сэкономит прямо с порога.

Поехали дальше. Закон четко определяет три вещи:

  • Где такие данные можно хранить;
  • Как и в каком виде их можно хранить;
  • Что вам будет за нарушение этого закона.

Где надо хранить персональные данные?

В России. Это обязательное требование ФЗ, которое обойти нельзя.

Перед тем, как заказывать хостинг для проекта поинтересуйтесь у конкретного поставщика этой услуги наличием серверных мощностей в РФ. Как правило, о таких преимуществах хостинговая компания сообщает прямо в своей тарифной сетке. Важно понимать, что серверы в российских ДЦ стоят, как правило, заметно дороже.

Не реклама: я лично очень люблю FastVPS, но он в Эстонии. Некоторое время назад они озаботились наличием ДЦ в РФ и у них это получилось, однако ценники на серверы там и здесь заметно отличаются.

В Эстонии это выглядит так:

А в России уже вот так:

Дороже примерно в два раза, зато будете спать несколько спокойнее.


Как и в каком виде хранить персональные данные?

Для удобства будем делить понимание этого на 5 шагов.

Шаг 1: Определим категорию вашего сайта

Шаг 2: Определим объем персональных данных

* Одновременно обрабатываются = находятся на сервере в том или ином виде в одно и то же время.

Тут важно понимать, что объем исчисляется не суммарным количеством полученных данных, а количеством данных, находящихся на сервере в одно время. Это актуально в том случае, когда вы собираете заявки и отдаете их в стороннюю CRM, а на сервере не держите. То есть, грубо говоря, чтобы перешагнуть первый порог вам нужно получить персональные данные от 1000 человек одновременно. Такой вот лайфхак.

Шаг 3: Классифицируем ваш проект

Итак, мы уже знаем категорию вашего проекта и объем данных. По этим двум параметрам можно классифицировать проект:

Шаг 4: Приходим к понимаю, что делать

Класс проекта известен. Для каждого класса есть свой набор действий.

Класс 4
Защита персональных данных находится полностью в вашей зоне ответственности.

Класс 3
На выбор одно из двух: декларирование соответствия или аттестация по требованиям безопасности информации; плюс обязательно: получение лицензии ФСТЭК по технической защите конфиденциальной информации для распределенных систем третьего класса.

Класс 2
Обязательно надо пройти аттестацию по требованиям безопасности информации, провести мероприятия по защите персональных данных по ПЭМИН (ГОСТ Р 53112–2008), получить лицензию ФСТЭК по технической защите конфиденциальной информации для распределенных систем.

Класс 1
Обязательно надо пройти аттестацию по требованиям безопасности информации, провести мероприятия по защите персональных данных по ПЭМИН (ГОСТ Р 53112–2008), получить лицензию ФСТЭК по технической защите конфиденциальной информации.

Шаг 5: Последовательность действий из ФЗ-152

  1. Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
  2. Предпроектное обследование информационной системы — сбор исходных данных;
  3. Классификация системы обработки персональных данных;
  4. Построение частной модели угроз с целью определения их актуальности для информационной системы;
  5. Разработка частного технического задания на систему защиты персональных данных;
  6. Проектирование системы защиты персональных данных;
  7. Реализация и внедрение системы защиты персональных данных;
  8. Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
  9. Аттестация (сертификация) по требованиям безопасности информации;
  10. Повышение квалификации сотрудников в области защиты персональных данных;
  11. Сопровождение (аутсорсинг) системы защиты персональных данных.

Примеры из реального мира

Чтобы было нагляднее, дам несколько живых примеров:

Пример №1: Два интернет-магазина с разным объемом базы клиентов

Пример №2: Два интернет-магазина с разным типом хранения данных

Про обезличивание данных можно почитать здесь.


Ответственность

На сегодняшний день санкции за нарушение закона таковы:

  • Уголовная ответственность 
    (УК РФ: ст.137, 140, 155, 183, 272, 273, 274, 292, 293)
    Там и штрафы от 100 000 до 300 000 руб. и дисквалификация на 2–5 лет, и арест на 4–6 месяцев имеется.
  • Административная ответственность
    (КоАП: ст. 5.27, 5.39, 13.11–13.14, 13.19, 19.4–19.7, 19.20, 20.25, 32.2)
    Здесь штрафы: 5000–10000 рублей для юр. лиц; 500–1000 рублей для должностных. Однако, необходимо учитывать, что штраф налагается за каждое допущенное нарушение, а разных правил в законе очень много. Поэтому достаточно легко ваши 10000 рублей штрафа могут превратиться в 20000, 50000 или 100000 рублей даже в рамках одной проверки. Бонусом ответственный может получить 500 000 рублей штрафа + дисквалификацию до 3-х лет
  • Дисциплинарная ответственность
    (ТК РФ: ст.81, 90, 195, 237, 391)
    Тут, как правило, идет речь об увольнении.

Последние новости с полей говорят о том, что суды начали работать по этому закону и уже есть первые решения не в пользу попавшихся. Также речь идет о постепенном увеличении штрафов за нарушение.


Делаем выводы

  1. Независимо от вашего отношения к этому закону, его легче и спокойнее соблюдать, чем отвечать по всей его строгости.
  2. Персональные данные должны храниться на территории России.
  3. В большинстве случаев можно не проходить аттестацию, лицензирование и сертификацию, если правильно обезличивать персональные данные.
Like what you read? Give Владимир Демченков a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.