|
Закон о защите персональных данных: основыОпубликовано: 24.01.2018  Рано или поздно с вопросом обработки персональных данных сталкивается любой интернет-предприниматель. Когда проект набирает критическую массу клиентов, приходится задумываться о том, как привести документы на сайте в порядок. Но на практике дело не ограничивается лишь размещением в Сети оферты или описаний правил работы сайта. Алексей Талан Всем известно, что на сайте должен присутствовать документ, который регламентирует правила обработки и хранения добровольно переданных клиентами данных. Но о том, что дальше делать с этим данными, и как правильно обеспечивать их сохранность и безопасность, знают далеко не все. Закон о защите персональных данных в РФ не работает Закон о персональных данных Когда вы регистрируетесь на сайте, который принадлежит российской компании, то практически любая информация, которую вы указываете о себе, подпадает под действие Федерального закона РФ №152 «О персональных данных». Это означает, что владелец ресурса, будь то интернет-магазин, социальная сеть или «облачный» сервис, обязан защищать вашу личную информацию от злоумышленников и не раздавать направо и налево. Как подготовить сайт к 152-ФЗ и избежать штрафов Негативных примеров того, как обращаются с личной информацией – масса. Взять хотя бы поток SMS-предложений от сервисов такси или турагентств. Но бывают случаи посерьезнее, причем вызваны они могут быть ошибкой программистов. Так, в прошлом году в Сеть утекли десятки тысяч SMS, отправленных с сайтов операторов сотовой связи. В сообщениях, которые легко можно было найти в Яндекс или Google, обнаруживались паспортные данные и пароли к социальным сетям. Информацию клиенты вам могут предоставлять разную, от имени и фамилии, до данных по пластиковым картам и даже истории болезней. Чем важнее информация – чем выше за нее ответственность. Кратко о законе С точки зрения владельцев сайта закон - головная боль, особенно для начинающих предпринимателей, у которых к хронической нехватке денежных средств добавляется отсутствие опыта в решении бюрократических задач. Полную версию закона можно изучить здесь . Мы же приведем краткую информацию, написанную обычным человеческим языком. Основные определения Персональные данные (ПД) – информация, которая определяет физическое лицо. Например: фамилия, имя, отчество, год, месяц и дата рождения, адрес, социальное положение, доходы, телефон, образование и т.д. Оператор персональных данных – организация, государственная или частная, или физическое лицо, которые собирают, хранят и обрабатывают персональные данные. В нашем случае – это интернет-магазин, социальная сеть или онлайн-сервис, например, «Яндекс.Метрика». Субъект персональных данных – физлицо, которое передает личные данные оператору. Устаревшие и актуальные требования: будьте внимательны При попытке подробнее узнать о законе ФЗ №152, первым делом в поисковике обнаруживаются статьи, в которых рассказывается о классах, категориях и объемах ПД. Эти термины использовались в совместном приказе Минкомсвязи ФСТЭК и ФСБ, который в народе назывался «Приказ Трех». Документ перестал действовать с выходом Постановления Правительства 1119 от 1 ноября 2012 г, в котором на смену классам пришли уровни защищенности (УЗ). УЗ сейчас описаны для всех видов информационных систем. Это значит, что операторы могут самостоятельно определить уровень защищенности для своего интернет-сервиса. Чего пока не хватает – так это конкретных требований по защите для каждого уровня УЗ. Пробелы закроют следующие постановления. По словам нашего эксперта Андрея Прозорова из IBS Platformix, прошлые требования к защите классов формально утратили силу. Тем операторам, которые уже провели комплекс мер по защите сервисов, эксперт советует следующее: 1. Актом или протоколом утвердить УЗ и указать дополнительные свойства информационной системы согласно ПП1119. 2. Дождаться новых требований к защите ИСПД и надеяться, что переделывать придется немного. Подробно изучить классификацию УЗ можно в блоге Андрея , я же, чтобы не утомлять читателя, приведу ниже таблицу и дам краткие пояснения. Уровней защищенности – четыре, аналогично количеству классов, которые использовались ранее. УЗ определяются на основе актуальных угроз (АУ), количества обрабатываемых ПД в системе, типа ПД и чьи именно ПД оператор обрабатывает – сотрудников или клиентов. Разложим по полочкам. Актуальные угрозы: 1-2 уровни связаны с наличием закладок в программном обеспечении, то есть недекларированных возможностей. Это лазейки, через которые можно получить доступ к сайту. Эти угрозы, очевидно, присутствуют в любом сервисе. 3 уровень – все остальные менее значимые угрозы. Определение уровня АУ связано с определением возможного вреда от несанкционированного использования ПД. Количество персональных данных Больше или меньше 100 000 субъектов. Тип персональных данных Биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых оператор может установить личность субъекта персональных данных). Специальные (религиозные взгляды, состояние здоровья, расовая принадлежность и т.д.). Общедоступные (получаемые из общедоступных источников в соответствии с 152-ФЗ). Другие. Чьи персональные данные В ИСПД могут использоваться данные сотрудников, или же данные клиентов, допустим, в записях заказов интернет-магазинов. Таблица. Определение уровня защищенности ИСПД (правые колонки) Меры по защите персональных данных Очевидно, что кардинально меры по защите ПД с переходом на УЗ не изменятся. Расскажу об общих принципах защиты. Помните: чем больше ПД вы собираете, тем больше мер придется принять. Поэтому стоит подумать, без каких сведений вы можете обойтись, чтобы снизить риски и объем работы. Кроме того, в некоторых случаях ПД стоит разнести по разным базам данных и уменьшить срок хранения сведений о пользователях. Разделить меры можно на два вида: организационные и программно-технические. К первым относятся: классификация информационной системы, выявление возможных угроз, создание плана действий по защите данных и должностных инструкций, утверждение перечня лиц, которые допущены к обработке ПД. К программно-техническим можно отнести: проверку оборудования, установку сертифицированных антивирусов, сетевых экранов и криптографических средств, налаживание системы разграничения доступа, регистрации и учета, использование средств защиты от утечек информации по различным каналам. Что и в каком количестве необходимо устанавливать определяется на шаге выявления угроз и типа хранящихся ПД. Лучше всего отдать задачу по защите данных на аутсорс – то есть в стороннюю организацию с лицензией ФСТЭК. Цена вопроса для самых-самых личных данных (класс 1 по старой классификации) начинается примерно от 300 000 рублей. Помимо работы по установке сертифицированных антивирусов, сетевых экранов и спецприложений, аутсорсеры оформят за вас кучу бумаг, которые будут свидетельствовать о принятых мерах. Это могут быть должностные инструкции, приказы, акты о ликвидации ПД клиентов, подтверждения покупки сертифицированных программ и т.д. Если случится прокол, вы всегда сможете подать в суд на подрядчика и переложить на него часть ответственности. Ответственность за нарушение персональных данных (за работу сайта без проведения защитных мер) многогранна, в основном проходит по административной линии (штрафы, предписания, приостановка деятельности предприятия). При этом наказывается нарушение требований по защите ПД. Поскольку явного требования к лицензированию и аттестации нет, то за это прямо не наказывают. Наказывают за отсутствие мероприятий по защите (отсутствие документов, регламентов, процедур, технических мероприятий). Что нужно для работы сайта Хорошая новость: чтобы собирать персональные данные для интернет-магазина или онлайн-сервиса, никакая лицензия не требуется. Необходимо лишь провести мероприятия по защите данных. Получать лицензии ФСТЭК и ФСБ России необходимо только в том случае, если вы оказываете услуги по технической защите информации. Например, помогаете интернет-сервисам правильно организовать работу с ПД или обещаете клиентам защищать их данные. Примеры таких лицензий можно посмотреть на сайтах хостинг-провайдера nic.ru , сервиса онлайн-дневников dnevnik.ru и компании «ОнЛайн Защита» . Оферта на сайте необходима, если вы запрашиваете у пользователя любые личные данные. Примеры и варианты реализации таких договоров стоит смотреть на крупных сайтах. Нам понравилось, как это сделано на tcsbank.ru. Написано кратко и доступно для пользователя, что встретишь редко. Сервис обязан уведомить субъекта, с какой целью и в каком порядке будут использоваться его персональные данные. Это не обязательно делать отдельным документом, можно включить в общие правила сервиса. Следует обратить особое внимание и на то, как хранятся у вас персональные данные клиентов. Удостоверьтесь, что к ним не имеют доступ поисковые роботы (проверьте хотя бы файл правил для поисковиков robots.txt, который находится в mysite/robots.txt). Также убедитесь, что доступ к личным данным клиентов имеют только те сотрудники, которым это требуется. Основные части оферты В этой главе я перечислю основные моменты, которые должны присутствовать в оферте о персональных данных. Примеры можно посмотреть по ссылкам выше. Если вашим сервисом могут воспользоваться несовершеннолетние – внесите пункты, что требуется согласие родителей или опекунов. Укажите дальнейший маршрут данных пользователя: будут ли они передаваться третьим лицам и аффилированным компаниям. Кратко опишите, для чего и сколько времени собираетесь хранить данные, а также как клиент может затребовать удаление данных. Опишите, какие данные и с какой целью предоставляет пользователь. Итого Оказывается, работать с персональными данными не так страшно и затратно, особенно если у вас небольшой проект. Для большинства сервисов достаточно разработать оферту и усилить контроль за программистам, чтобы внутренние страницы клиентов не стали достоянием Google. Главное же, что надо помнить: чем меньше сведений вы собираете – тем безопаснее работа для вас, как оператора. CEO "Клик-Шторм" (резидент бизнес-инкубатора ИТ-парка, Казань). 
|