За 2022-й год в России утекло более 660 млн записей с персональными данными. За утечку информации предприниматели получают штрафы. Вместе с Unisender разбираемся, как правильно хранить и защищать персональные данные, и какая ответственность ждет тех, кто нарушит закон.
Основной документ, регулирующий работу с персональными данными, ― ФЗ № 152-ФЗ «О персональных данных». Согласно ему, «персональные данные ― это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Это могут быть ФИО, email, телефон и т. д.
Полного перечня видов персональных данных нет, потому что обычно в расчет берут контекст. Например, в деле А40-139096/2022 Верховный суд РФ отказался признать адрес электронной почты и номер телефона персональными данными. Страховая компания собирала заявки на оформление полиса и запрашивала у пользователей только эту информацию. Роскомнадзор посчитал обработку персональных данных незаконной и подал иск.
Суд объяснил отказ удовлетворить запрос так: в этом случае нельзя определить конкретное лицо, к которому относится email и телефон. Пользователь может удалить почтовый ящик и расторгнуть договор с оператором связи ― тогда адрес почты и номер телефона перейдут другому человеку. Если бы при этом страховщики запрашивали у клиентов ФИО и можно было бы определить конкретное физическое лицо, указанная выше информация считалась бы персональными данными.
Чтобы понимать, какая информация кроме ФИО, электронной почты и телефона может считаться персональными данными, посмотрим на категории персональных данных. Они прописаны в Постановлении Правительства РФ № 1119.
Примеры данных есть на сайте Роскомнадзора в форме уведомления для регистрации оператора.
Если компания собирает персональные данные клиентов (например, просит заполнить форму с ФИО и email, чтобы занести в базу и отправлять рассылку) или обрабатывает данные сотрудников, она становится оператором персональных данных.
Перед началом работы с персональными данными оператор обязан уведомить контролирующий орган ― Роскомнадзор (ФЗ № 152, ст. 22). Для этого нужно заполнить уведомление о намерении обрабатывать персональные данные. Форма есть на официальном сайте Роскомнадзора. Документ можно направить в бумажном виде почтой России или в электронном ― с помощью электронной подписи через сайт Роскомнадзора или через «Госуслуги».
Роскомнадзор вносит организацию в реестр операторов в течение 15 дней (Приказ Минкомсвязи России от 21.12.2011 № 346) и после публикует данные у себя на сайте.
Если в уведомлении оператора меняются сведения, или обработка персональных данных прекращается, компания так же должна поставить в известность Роскомнадзор. На эти случаи заполняются другие формы.
Но перед тем, как отправить уведомление, нужно подготовиться к выполнению функций оператора: разработать документы, продумать хранение и защиту персональных данных.
Политику действий в отношении персональных данных оператор определяет самостоятельно. В каждой организации, которая занимается обработкой этой информации, есть набор документов со способами сбора, сроками обработки и хранения, целями, порядком уничтожения и т. д. (ФЗ № 152, ст. 18.1).
Фиксированного перечня документов в законе нет. Ниже расскажу, что чаще всего составляют компании.
Документов по персональным данным может быть около 50. На мой взгляд, полный перечень есть на сайте юридической компании Legal Box. Каждый оператор составит свой набор.
Персональные данные могут храниться в бумажном или электронном виде. Согласно ФЗ № 152, ст. 18.1, п. 1.2, оператор сам определяет способ и фиксирует это в локальных документах (например, базы данных клиентов часто хранят в виртуальном облаке, а информацию о сотрудниках ― в распечатанном виде).
Другое требование ― чтобы базы данных находились на территории РФ. Исключения ― случаи, перечисленные в ФЗ № 152, ст. 18, п. 5.
В том же ФЗ № 152, ст. 5, п. 7 есть общие требования к хранению.
Основа правильного хранения персональных данных ― надежная защита. За нее отвечает оператор (ФЗ № 152, ст. 19), даже если передает обработку третьему лицу (тогда нужно заключать договор ― Постановление Правительства № 1119, п. 3).
Для каждой категории персональных данных устанавливаются свои средства защиты. Они зафиксированы в нормативных актах Федеральной службы безопасности Российской Федерации (ФСБ) ― приказ ФСБ России от 10 июля 2014 г. № 378 и Федеральной службы по техническому и экспортному контролю (ФСТЭК) ― приказ ФСТЭК России от 18.02.2013 № 21. ФСБ отвечает за криптографическую защиту данных, а ФСТЭК ― за техническую. Все технические средства для защиты персональных данных должны пройти проверку этих служб.
Всего выделяют четыре уровня защищенности персональных данных. Чтобы определить уровень, нужно знать четыре параметра (Постановление Правительства № 1119).
К технологии хранения биометрических данных вне информационных систем есть особые требования. Познакомиться с ними можно здесь.
Зная эти параметры, можно рассчитать уровень защищенности персональных данных по калькулятору ФСТЭК. Система выдаст перечень мер для защиты информации. Но: нужно точно знать все параметры, иначе калькулятор определит уровень неправильно. Чтобы не ошибиться, стоит обратиться к специалисту по информационной безопасности.
Например, персональные данные в Unisender защищают меры четвертого уровня. Некоторые из них:
Оператору, который нарушил требования ФЗ № 152, грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность. Формат наказания зависит от случая. Например:
Полный перечень мер наказания.
8 сентября 2023 года Роскомнадзор опубликовал на официальном сайте рекомендации для операторов персональных данных. Используйте эти подходы, чтобы действовать по закону.
Рекомендации помогут правильно обрабатывать персональные данные и не нарваться на штрафы.