Персональные данные: правила хранения и ответственность за нарушение закона

За 2022-й год в России утекло более 660 млн записей с персональными данными. За утечку информации предприниматели получают штрафы. Вместе с Unisender разбираемся, как правильно хранить и защищать персональные данные, и какая ответственность ждет тех, кто нарушит закон.

Что такое персональные данные

Основной документ, регулирующий работу с персональными данными, ― ФЗ № 152-ФЗ «О персональных данных». Согласно ему, «персональные данные ― это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Это могут быть ФИО, email, телефон и т. д.

Полного перечня видов персональных данных нет, потому что обычно в расчет берут контекст. Например, в деле А40-139096/2022 Верховный суд РФ отказался признать адрес электронной почты и номер телефона персональными данными. Страховая компания собирала заявки на оформление полиса и запрашивала у пользователей только эту информацию. Роскомнадзор посчитал обработку персональных данных незаконной и подал иск.

Суд объяснил отказ удовлетворить запрос так: в этом случае нельзя определить конкретное лицо, к которому относится email и телефон. Пользователь может удалить почтовый ящик и расторгнуть договор с оператором связи ― тогда адрес почты и номер телефона перейдут другому человеку. Если бы при этом страховщики запрашивали у клиентов ФИО и можно было бы определить конкретное физическое лицо, указанная выше информация считалась бы персональными данными.

Чтобы понимать, какая информация кроме ФИО, электронной почты и телефона может считаться персональными данными, посмотрим на категории персональных данных. Они прописаны в Постановлении Правительства РФ № 1119.

• Специальные ― данные о национальности и расе, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
• Биометрические ― информация о биологических и физиологических особенностях человека, на основании которых можно установить личность (например, отпечатки пальцев).
• Общедоступные ― информация из справочников и адресных книг, на размещение которой пользователь дал письменное согласие. Примеры ― ФИО, год и место рождения и др. (ФЗ № 152, ст. 8).
• Иные. Персональные данные, которые не входят в первые три категории.

Примеры данных есть на сайте Роскомнадзора в форме уведомления для регистрации оператора.

Если компания собирает персональные данные клиентов (например, просит заполнить форму с ФИО и email, чтобы занести в базу и отправлять рассылку) или обрабатывает данные сотрудников, она становится оператором персональных данных.

Как и зачем регистрироваться в реестре операторов

Перед началом работы с персональными данными оператор обязан уведомить контролирующий орган ― Роскомнадзор (ФЗ № 152, ст. 22). Для этого нужно заполнить уведомление о намерении обрабатывать персональные данные. Форма есть на официальном сайте Роскомнадзора. Документ можно направить в бумажном виде почтой России или в электронном ― с помощью электронной подписи через сайт Роскомнадзора или через «Госуслуги».

Роскомнадзор вносит организацию в реестр операторов в течение 15 дней (Приказ Минкомсвязи России от 21.12.2011 № 346) и после публикует данные у себя на сайте.

Если в уведомлении оператора меняются сведения, или обработка персональных данных прекращается, компания так же должна поставить в известность Роскомнадзор. На эти случаи заполняются другие формы.

Но перед тем, как отправить уведомление, нужно подготовиться к выполнению функций оператора: разработать документы, продумать хранение и защиту персональных данных.

Какие документы готовит оператор

Политику действий в отношении персональных данных оператор определяет самостоятельно. В каждой организации, которая занимается обработкой этой информации, есть набор документов со способами сбора, сроками обработки и хранения, целями, порядком уничтожения и т. д. (ФЗ № 152, ст. 18.1).

Фиксированного перечня документов в законе нет. Ниже расскажу, что чаще всего составляют компании.

• Политика обработки и защиты персональных данных (иногда ее включают в политику конфиденциальности). Там указываются цели обработки, виды данных для сбора, условия хранения. Составить помогут рекомендации Роскомнадзора. Политику размещают в общем доступе, чаще всего, на официальном сайте компании.

• Согласие на обработку персональных данных. Документ подписывают с клиентом перед сбором информации. Если речь идет об интернет-взаимодействии ― достаточно, например, поставить галочку в форме и дать ссылку на документ. В нем прописываем, с какой целью собираем данные и как будем обрабатывать. Требования к содержанию согласия есть в ФЗ № 152, ст. 9.

• Приказы для сотрудников, которые занимаются обработкой персональных данных в компании. По закону оператор назначает ответственных лиц (ФЗ № 152, ст. 22.1). Локальные документы устанавливают порядок работы.
• Документ о неразглашении персональных данных. Сотрудники, которые будут работать информацией, подписывают положение, что не передадут данные третьим лицам.

Документов по персональным данным может быть около 50. На мой взгляд, полный перечень есть на сайте юридической компании Legal Box. Каждый оператор составит свой набор.

Как хранить и защищать персональные данные

Персональные данные могут храниться в бумажном или электронном виде. Согласно ФЗ № 152, ст. 18.1, п. 1.2, оператор сам определяет способ и фиксирует это в локальных документах (например, базы данных клиентов часто хранят в виртуальном облаке, а информацию о сотрудниках ― в распечатанном виде).

Другое требование ― чтобы базы данных находились на территории РФ. Исключения ― случаи, перечисленные в ФЗ № 152, ст. 18, п. 5.

В том же ФЗ № 152, ст. 5, п. 7 есть общие требования к хранению.

• Хранить данные не дольше, чем нужно для целей обработки, в формате, позволяющем определить субъекта.
• После достижения цели персональные данные уничтожить или обезличить.

Основа правильного хранения персональных данных ― надежная защита. За нее отвечает оператор (ФЗ № 152, ст. 19), даже если передает обработку третьему лицу (тогда нужно заключать договор ― Постановление Правительства № 1119, п. 3).

Для каждой категории персональных данных устанавливаются свои средства защиты. Они зафиксированы в нормативных актах Федеральной службы безопасности Российской Федерации (ФСБ) ― приказ ФСБ России от 10 июля 2014 г. № 378 и Федеральной службы по техническому и экспортному контролю (ФСТЭК) ― приказ ФСТЭК России от 18.02.2013 № 21. ФСБ отвечает за криптографическую защиту данных, а ФСТЭК ― за техническую. Все технические средства для защиты персональных данных должны пройти проверку этих служб.

Всего выделяют четыре уровня защищенности персональных данных. Чтобы определить уровень, нужно знать четыре параметра (Постановление Правительства № 1119).

1. Категория персональных данных: 1 ― специальные, 2 ― биометрические, 3 ― общедоступные, 4 ― иные.
2. Чьи персональные данные будут обрабатываться: работников организации или других лиц.
3. Количество субъектов, данные которых обрабатываются: менее 100 000 и более 100 000.
4. Типы актуальных угроз: 1 ― связанные с наличием недокументированных возможностей в системном программном обеспечении; 2 ― связанные с наличием недокументированных возможностей в прикладном программном обеспечении; 3 ― не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.

К технологии хранения биометрических данных вне информационных систем есть особые требования. Познакомиться с ними можно здесь.

Зная эти параметры, можно рассчитать уровень защищенности персональных данных по калькулятору ФСТЭК. Система выдаст перечень мер для защиты информации. Но: нужно точно знать все параметры, иначе калькулятор определит уровень неправильно. Чтобы не ошибиться, стоит обратиться к специалисту по информационной безопасности.

Например, персональные данные в Unisender защищают меры четвертого уровня. Некоторые из них:

• вся информация размещена на серверах в сертифицированных датацентрах;
• передача данных по защищенному протоколу SSL (защищенный протокол HTTPS);
• сертификат одного из ведущих сертификационных центров Comodo;
• все передаваемые данные шифруются 128-битным ключом, как в крупных банках или платежных системах;
• коммутаторы и брандмауэры размещены на каждом уровне для дополнительной безопасности;
• передача данных между узлами осуществляется посредством SSL-соединений;
• ведется постоянный мониторинг безопасности сетей;
• гибкая настройка прав доступа по ролям;
• настройка доступа к разным функциям: просмотр контактов, загрузка контактов,
  создание сообщений, отправка email- и sms-рассылок;
• отправка по API, без загрузки базы электронных адресов клиентов в сервис Unisender - и др.

Ответственность за нарушение закона

Оператору, который нарушил требования ФЗ № 152, грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность. Формат наказания зависит от случая. Например:

• Невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных ― штраф от 100 до 200 тыс. ₽ для должностных лиц и от 1 до 6 млн ₽ для юрлиц. При повторном нарушении должностные лица заплатят от 500 до 800 тыс. ₽, а юрлица ― от 6 до 18 млн ₽.
• Сбор персональных данных без подписанного согласия на обработку ― штраф от 20 до 40 тыс. ₽ для должностных лиц и от 30 до 150 тыс. ₽ для юрлиц. При повторном нарушении должностные лица заплатят от 40 до 100 тыс. ₽, ИП ― от 100 до 300 тыс. ₽, юрлица ― от 300 до 500 тыс. ₽.

Полный перечень мер наказания.

Рекомендации Роскомнадзора по работе с персональными данными

8 сентября 2023 года Роскомнадзор опубликовал на официальном сайте рекомендации для операторов персональных данных. Используйте эти подходы, чтобы действовать по закону.

1. Собирайте только те данные, которые нужны для достижения цели. Например, если вы задумали общаться с клиентом через сервис email-рассылок, отправляя письма с презентацией товаров/услуг, достаточно узнать имя, фамилию и электронный адрес. Номер телефона можно не брать. И не собирать лишние данные даже на «всякий случай». После достижения цели информацию рекомендуют уничтожить.
2. Храните персональные данные, различные по целям и категориям, в разных местах. К примеру, сведения о клиентах можно поместить на облачный диск, а о сотрудниках ― в локальную базу данных на компьютере или распечатать. Причем данные, раскрывающие личность человека (ФИО, адрес и др.), и документы по взаимодействию с ним (переписка, договоры и др.) тоже лучше хранить отдельно, а для сопоставления информации использовать синтетические идентификаторы.
3. Чтобы защитить данные, даже при передаче для обработки третьим лицам, используйте технические средства, которые принадлежат вам.
4. Своевременно передавайте информацию об утечках в Роскомнадзор.
5. Защищайте данные внутри организации с помощью физических средств (например, охранных систем).
6. Назначьте в компании ответственного за защиту персональных данных.

Рекомендации помогут правильно обрабатывать персональные данные и не нарваться на штрафы.