Закон о защите персональных данных: основы

Опубликовано: 24.01.2018

видео Закон о защите персональных данных: основы

Обязательный закон в интернете | 54-ФЗ | Обработка персональных данных

Рано или поздно с вопросом обработки персональных данных сталкивается любой интернет-предприниматель. Когда проект набирает критическую массу клиентов, приходится задумываться о том, как привести документы на сайте в порядок. Но на практике дело не ограничивается лишь размещением в Сети оферты или описаний правил работы сайта.



Алексей Талан

Всем известно, что на сайте должен присутствовать документ, который регламентирует правила обработки и хранения добровольно переданных клиентами данных. Но о том, что дальше делать с этим данными, и как правильно обеспечивать их сохранность и безопасность, знают далеко не все.


Закон о защите персональных данных в РФ не работает

Закон о персональных данных

Когда вы регистрируетесь на сайте, который принадлежит российской компании, то практически любая информация, которую вы указываете о себе, подпадает под действие Федерального закона РФ №152 «О персональных данных». Это означает, что владелец ресурса, будь то интернет-магазин, социальная сеть или «облачный» сервис, обязан защищать вашу личную информацию от злоумышленников и не раздавать направо и налево.


Как подготовить сайт к 152-ФЗ и избежать штрафов

Негативных примеров того, как обращаются с личной информацией – масса. Взять хотя бы поток SMS-предложений от сервисов такси или турагентств.

Но бывают случаи посерьезнее, причем вызваны они могут быть ошибкой программистов. Так, в прошлом году в Сеть утекли десятки тысяч SMS, отправленных с сайтов операторов сотовой связи. В сообщениях, которые легко можно было найти в Яндекс или Google, обнаруживались паспортные данные и пароли к социальным сетям. Информацию клиенты вам могут предоставлять разную, от имени и фамилии, до данных по пластиковым картам и даже истории болезней. Чем важнее информация – чем выше за нее ответственность.

Кратко о законе

С точки зрения владельцев сайта закон - головная боль, особенно для начинающих предпринимателей, у которых к хронической нехватке денежных средств добавляется отсутствие опыта в решении бюрократических задач.

Полную версию закона можно изучить здесь . Мы же приведем краткую информацию, написанную обычным человеческим языком.

Основные определения

Персональные данные (ПД) – информация, которая определяет физическое лицо. Например:

фамилия, имя, отчество, год, месяц и дата рождения, адрес, социальное положение, доходы, телефон, образование и т.д. Оператор персональных данных – организация, государственная или частная, или физическое лицо, которые собирают, хранят и обрабатывают персональные данные. В нашем случае – это интернет-магазин, социальная сеть или онлайн-сервис, например, «Яндекс.Метрика».

Субъект персональных данных – физлицо, которое передает личные данные оператору.

Устаревшие и актуальные требования: будьте внимательны

При попытке подробнее узнать о законе ФЗ №152, первым делом в поисковике обнаруживаются статьи, в которых рассказывается о классах, категориях и объемах ПД.

Эти термины использовались в совместном приказе Минкомсвязи ФСТЭК и ФСБ, который в народе назывался «Приказ Трех». Документ перестал действовать с выходом Постановления Правительства 1119 от 1 ноября 2012 г, в котором на смену классам пришли уровни защищенности (УЗ).

УЗ сейчас описаны для всех видов информационных систем. Это значит, что операторы могут самостоятельно определить уровень защищенности для своего интернет-сервиса. Чего пока не хватает – так это конкретных требований по защите для каждого уровня УЗ. Пробелы закроют следующие постановления.

По словам нашего эксперта Андрея Прозорова из IBS Platformix, прошлые требования к защите классов формально утратили силу. Тем операторам, которые уже провели комплекс мер по защите сервисов, эксперт советует следующее:

1. Актом или протоколом утвердить УЗ и указать дополнительные свойства информационной системы согласно ПП1119.

2. Дождаться новых требований к защите ИСПД и надеяться, что переделывать придется немного.

Подробно изучить классификацию УЗ можно в блоге Андрея , я же, чтобы не утомлять читателя, приведу ниже таблицу и дам краткие пояснения.

Уровней защищенности – четыре, аналогично количеству классов, которые использовались ранее. УЗ определяются на основе актуальных угроз (АУ), количества обрабатываемых ПД в системе, типа ПД и чьи именно ПД оператор обрабатывает – сотрудников или клиентов. Разложим по полочкам.

Актуальные угрозы:

1-2 уровни связаны с наличием закладок в программном обеспечении, то есть недекларированных возможностей. Это лазейки, через которые можно получить доступ к сайту. Эти угрозы, очевидно, присутствуют в любом сервисе.

3 уровень – все остальные менее значимые угрозы.

Определение уровня АУ связано с определением возможного вреда от несанкционированного использования ПД.

Количество персональных данных

Больше или меньше 100 000 субъектов. Тип персональных данных

Биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых оператор может установить личность субъекта персональных данных). Специальные (религиозные взгляды, состояние здоровья, расовая принадлежность и т.д.). Общедоступные (получаемые из общедоступных источников в соответствии с 152-ФЗ). Другие. Чьи персональные данные

В ИСПД могут использоваться данные сотрудников, или же данные клиентов, допустим, в записях заказов интернет-магазинов.

Таблица. Определение уровня защищенности ИСПД (правые колонки)

Меры по защите персональных данных

Очевидно, что кардинально меры по защите ПД с переходом на УЗ не изменятся. Расскажу об общих принципах защиты.

Помните: чем больше ПД вы собираете, тем больше мер придется принять. Поэтому стоит подумать, без каких сведений вы можете обойтись, чтобы снизить риски и объем работы. Кроме того, в некоторых случаях ПД стоит разнести по разным базам данных и уменьшить срок хранения сведений о пользователях.

Разделить меры можно на два вида: организационные и программно-технические. К первым относятся:

классификация информационной системы, выявление возможных угроз, создание плана действий по защите данных и должностных инструкций, утверждение перечня лиц, которые допущены к обработке ПД. К программно-техническим можно отнести:

проверку оборудования, установку сертифицированных антивирусов, сетевых экранов и криптографических средств, налаживание системы разграничения доступа, регистрации и учета, использование средств защиты от утечек информации по различным каналам. Что и в каком количестве необходимо устанавливать определяется на шаге выявления угроз и типа хранящихся ПД. Лучше всего отдать задачу по защите данных на аутсорс – то есть в стороннюю организацию с лицензией ФСТЭК. Цена вопроса для самых-самых личных данных (класс 1 по старой классификации) начинается примерно от 300 000 рублей.

Помимо работы по установке сертифицированных антивирусов, сетевых экранов и спецприложений, аутсорсеры оформят за вас кучу бумаг, которые будут свидетельствовать о принятых мерах. Это могут быть должностные инструкции, приказы, акты о ликвидации ПД клиентов, подтверждения покупки сертифицированных программ и т.д. Если случится прокол, вы всегда сможете подать в суд на подрядчика и переложить на него часть ответственности.

Ответственность за нарушение персональных данных (за работу сайта без проведения защитных мер) многогранна, в основном проходит по административной линии (штрафы, предписания, приостановка деятельности предприятия). При этом наказывается нарушение требований по защите ПД. Поскольку явного требования к лицензированию и аттестации нет, то за это прямо не наказывают. Наказывают за отсутствие мероприятий по защите (отсутствие документов, регламентов, процедур, технических мероприятий).

Что нужно для работы сайта

Хорошая новость: чтобы собирать персональные данные для интернет-магазина или онлайн-сервиса, никакая лицензия не требуется. Необходимо лишь провести мероприятия по защите данных.

Получать лицензии ФСТЭК и ФСБ России необходимо только в том случае, если вы оказываете услуги по технической защите информации. Например, помогаете интернет-сервисам правильно организовать работу с ПД или обещаете клиентам защищать их данные.

Примеры таких лицензий можно посмотреть на сайтах хостинг-провайдера nic.ru , сервиса онлайн-дневников dnevnik.ru и компании «ОнЛайн Защита» .

Оферта на сайте необходима, если вы запрашиваете у пользователя любые личные данные. Примеры и варианты реализации таких договоров стоит смотреть на крупных сайтах. Нам понравилось, как это сделано на tcsbank.ru. Написано кратко и доступно для пользователя, что встретишь редко.

Сервис обязан уведомить субъекта, с какой целью и в каком порядке будут использоваться его персональные данные. Это не обязательно делать отдельным документом, можно включить в общие правила сервиса.

Следует обратить особое внимание и на то, как хранятся у вас персональные данные клиентов. Удостоверьтесь, что к ним не имеют доступ поисковые роботы (проверьте хотя бы файл правил для поисковиков robots.txt, который находится в mysite/robots.txt). Также убедитесь, что доступ к личным данным клиентов имеют только те сотрудники, которым это требуется.

Основные части оферты

В этой главе я перечислю основные моменты, которые должны присутствовать в оферте о персональных данных. Примеры можно посмотреть по ссылкам выше.

Если вашим сервисом могут воспользоваться несовершеннолетние – внесите пункты, что требуется согласие родителей или опекунов.

Укажите дальнейший маршрут данных пользователя: будут ли они передаваться третьим лицам и аффилированным компаниям.

Кратко опишите, для чего и сколько времени собираетесь хранить данные, а также как клиент может затребовать удаление данных.

Опишите, какие данные и с какой целью предоставляет пользователь.

Итого

Оказывается, работать с персональными данными не так страшно и затратно, особенно если у вас небольшой проект. Для большинства сервисов достаточно разработать оферту и усилить контроль за программистам, чтобы внутренние страницы клиентов не стали достоянием Google.

Главное же, что надо помнить: чем меньше сведений вы собираете – тем безопаснее работа для вас, как оператора.

CEO "Клик-Шторм" (резидент бизнес-инкубатора ИТ-парка, Казань).

Популярное
К теме архитектура
Архитектура Древней Греции Наследие древнегреческой архитектуры лежит в основе всего последующего развития мирового зодчества и связанного с ним монументального искусства. Причины такого устойчивого

Святого Спиридона Тримифунтского церковь. / Ломоносовский район, Ломоносов город. / Русские Церкви
Святого Спиридона Тримифунтского церковь. Ломоносовский район, Ломоносов город. В г. Ораниенбауме до 1838 г. было только две церкви: Св. Великомученика Пантелеймона в Ораниенбаумском дворце

Храм-подворье святителя Николая Чудотворца в Бари сегодня
Вряд ли в России найдется дом православного человека, в котором бы не было иконы святителя Николая Чудотворца. Точно так же среди нашего верующего народа вряд ли обнаружишь того, кто, помолившись святителю

Введение во храм Пресвятой Богородицы
Введение во храм Пресвятой Богородицы 1) Место праздника в границах православного богослужебного года. Праздник Введения во храм Пресвятой Богородицы — один из важнейших — двунадесятых — годичных

Дивеево и окрестные святыни – путеводитель для паломников
Свято-Троицкая Серафимо-Дивеевская женская обитель является одной из главных святынь Православного мира. Она, наравне с Афоном, Иверией и Киевом, считается одним из четырёх земных уделов Божией Матери.

Храм Архангела Михаила
Как свидетельствуют некоторые источники, в 1669 году деревянная церковь во имя Архистратига Михаила в селе была отстроена заново. В переписных книгах Московского уезда 1675 года, говорится: "...в Сетуньском

Прохождение Dark Souls III - Прохождение Dark Souls III - Cathedral of the Deep - Храм глубин
Посмотрите левее от костра на той площадке, где вы сражались с The Crystal Sage / Знатоком кристальных чар . Пройдите по дорожке, и вы увидите пару мясников с клеткой на спинах и проповедницу   (толстая

Вечерняя Москва - Первый шаг к храму Будды. В Отрадном открылась буддийская Ступа Просветления
Храм для всех Большая огороженная стройплощадка, песок и гравий, дорожка из бетонных плит – вокруг ступы скоро начнутся полномасштабные работы по возведению стен основного храмового комплекса. А пока

Храм Святого Георгия Победоносца в селе Илор. Экскурсии по Абхазии. Туристическая компания РУСАЛТУРС
Экскурсии Одна из народных легенд рассказывает: «Один местный князь в лесу во время охоты ранил оленя. Убегая, животное скрылось в густых зарослях. Охотник преследовал его, и следы крови привели

Кто создал Храм в село Быково – Баженов или Казаков? 1
Не один раз я упоминал про православно-масонский Храм Владимирской иконы Божьей Матери, рядом с которым жил в ранние школьные годы, катался рядом с ним на коньках, вообще привык к его готическому силуэту.

Счетчики




rss