По данным компании Positive Technologies, каждая вторая хакерская атака заканчивается утечкой данных. То есть эффективность хакерских атак – 50%! Вам могло показаться, что за 2021-23 годы в сеть утекло столько данных, что из хранилищ уже вычерпали все, что можно. Но 2024 год, хоть он еще и не закончился, уже бьет некоторые рекорды. Количество судебных дел в России по вопросам защиты персональных данных выросло на 70% за 2 года, а законодательные органы работают над ужесточением наказания по этим делам.
В общем, если ваша политика персональных данных базируется на документах 2014 года, то эта статья именно для вас. В ней мы расскажем, что такое персональные данные (ПДн), как их собирать и хранить и как с ними работать, не нарушая законы.
Что относится к персональным данным
Согласно закону №152-ФЗ РФ, персональными данными считается информация, которая касается конкретного человека и позволяет его идентифицировать прямо или косвенно, например, но не ограничено, по имени, паспорту или биометрии.
Подобный закон существует в большинстве стран мира. В России он принят в 2007 году. Определение, зафиксированное в законе, звучит так:
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физлицу.
Говоря простым языком, персональные данные — это информация, которую можно передать и по которой можно точно определить именно этого человека. И данные эти защищаются законодательно, потому что по ним можно выследить и преследовать человека, спланировать преступление против него и его близких. С развитием информационных технологий компании стали собирать персональные данные, чтобы накапливать информацию о клиентах, а также проводить более точные маркетинговые кампании.
Но чтобы клиенты не пострадали, компании должны надлежащим образом обрабатывать и хранить персональные данные своих клиентов.
Что по закону признается персональными данными:
- Фамилия, имя и отчество.
- Любые контакты: место жительства и прописки, номер телефона, электронная почта.
- Идентификационные номера: паспорт, ИНН, СНИЛС, номера удостоверений, свидетельств о браке и т. п.
- Информация о перемещениях и местоположении, координаты GPS, регистрация нахождения человека в определенном месте в конкретное время.
- Банковская информация: реквизиты, номер карты, информация о кредитах, доходах, расходах.
- Файлы Cookies.
- Медицинская информация: данные о здоровье, лечении, диагнозах, выписываемых лекарствах.
- Информация об образовании и работе: места учебы и работы, должности и т. п.
- Фотографии.
Например, если у вас есть данные паспорта человека или его ИНН, по ним можно безошибочно найти его владельца. Доступ к этим данным имеют соответствующие органы (налоговая и миграционная служба), а также организации, которым человек предоставил эти данные (например, поликлиника, работодатель или негосударственный пенсионный фонд).
Современные IT-решения могут помочь установить человека и без паспортных данных – например, камеры дорожного движения определяют владельца авто, исходя из госномера машины и ее особенностей — марки, цвета и т. п.
А вот, что к персональным не относится:
- Анонимные данные, которые нельзя связать с конкретным человеком. Например, когда компания хочет понять качество обслуживания клиентов в своих офисах, и просит посетителя выбрать на интерактивном экране свою оценку.
- Агрегированные данные, например, когда компания хочет сегментировать своих пользователей, чтобы сформировать целевые предложения для каждой группы. При работе с данными из них обычно удаляется персональная информация и остается только то, что важно в конкретный момент: возраст, пол, род деятельности и т. п. А вот имена и телефоны этих людей, как правило, не нужны.
- Контакты, которые не являются персональными. Сюда относятся корпоративные электронные почты, телефоны компаний и т. д. Давайте разберем такой случай: в компании есть корпоративные почтовые адреса, содержащие фамилию сотрудника или служебный телефон, зарегистрированный на этого человека. Тогда это уже является персональными данными и в приложении к Трудовому договору должны быть предусмотрены правила передачи этих данных. А вот если на визитках указан номер телефона целого отдела продаж, где трубку может взять любой менеджер – это не является передачей персональных данных.
Категории персональных данных
Разумеется, никто не ждет, что компания, которая собирает имя, телефон и дату рождения для дисконтной карты, организует систему защиты этих данных, сравнимую со спецслужбами. Поэтому законодательно установлено 4 типа персональных данных, каждый из которых имеет свои требования к защите.
Общедоступные
Это данные, опубликованные в открытых источниках с согласия владельца. Пример таких данных – каталоги специалистов (например, сервис prodoctorov или контакты мастеров мелкого ремонта на досках объявлений). К общедоступным данных относятся:
- Ф.И.О;
- дата рождения;
- место рождения;
- адрес прописки и проживания;
- контактные данные;
- образование;
место работы.
Если пользователь хочет изъять эти сведения из публичного доступа, он может подать соответствующее заявление оператору или обратиться в суд.
Специальные
То, что мы называем личными данными:
- касающиеся личной и сексуальной жизни;
- политические, философские и религиозные взгляды;
- национальная принадлежность.
Коммерческие компании, как правило, эти данные не собирают. Доступ к ним осуществляется после решения суда, при реализации международных соглашений или после письменного согласия владельца.
Биометрические
Данные этого типа описывают любые биологические и физиологические особенности, с помощью которых можно определить личность владельца. К ним относятся:
- ДНК;
- фотографии;
- группа крови;
- отпечатки пальцев;
- рисунок сетчатки глаза.
Оператор не может собирать биометрические данные без письменного разрешения владельца, кроме общедоступных. Исключение составляют особые случаи, такие как расследование преступлений, действия судебного решения, спасение жизни и т.п. Но если хранение происходит не с целью установки личности человека, то данные не являются объектом персональных данных. Иначе вашей бабушке пришлось бы просить письменное разрешение на хранение семейного фотоархива.
Иные
Данные, которые невозможно определить в одну из этих групп. Например: социальный статус, размер зарплаты, даты отпуска и т. п.
Операторы и субъекты
Теперь, когда мы определились с тем, что такое персональные данные, перейдем к вопросам взаимодействия. Всегда есть субъект персональных данных — сам человек, и те, кто эти данные собирает (операторы).
Оператор имеет право осуществлять с данными следующие действия::
- Сбор персональных данных. Оператор обеспечивает пользователю возможность заполнить соответствующую форму, не скрывая своих интересов. Публичная оферта и политика конфиденциальности находятся в открытом доступе, и обычно есть ссылки на них при регистрации. Сбор является первым этапом обработки данных, но стоит особняком.
- Обработка персональных данных. Оператор может не просто собирать данные, но и анализировать, чтобы достичь своих целей — продажи, репутация, расширение и т. п. Например, присылать поздравления на день рождения пользователя, создавать группы любимых товаров и т. д. Вариантов обработки данных очень много, в каждом бизнесе есть свои рабочие приемы, к тому же постоянно появляются новые идеи.
- Хранение данных. Это можно делать на собственных или арендованных серверах и базах данных.
- Защита персональных данных. К сожалению, случаев утечки данных довольно много, но не все знают, что за это можно привлечь к ответственности по тому же закону ФЗ-152. Сфера защиты данных — одна из самых живых в мире IT. С одной стороны, такого количества личных данных в интернете еще не бывало, с другой —- за ними постоянно охотятся мошенники, и айтишники прямо сейчас создают устойчивую систему защиты.
Чтобы делать все это, оператору необходимо получить разрешение, а соглашение об обработке данных должно быть опубликовано на официальном сайте, чтобы пользователи могли ознакомиться с ним в любой момент.
В обязанности оператора входит надежное хранение и недопущение сливов данных. Согласно ФЗ №152, оператор сам определяет способ хранения данных. Главное — соблюдать ряд требований:
- компании могут хранить и обрабатывать персональные данные россиян только на территории РФ;
- срок хранения прописывается в Соглашении (обычно это срок действия Договора или предоставления услуги);
- после окончания этого срока данные следует уничтожить или обезличить.
Если оператор передает данные на хранение другой компании, то ответственность все равно несет оператор.
А как же субъекты? Они имеют право:
- требовать от оператора уточнения персональных данных, их блокировки или удаления из базы компании;
- получать информацию, касающуюся обработки его данных (основания и цели сбора данных, наименования и места нахождения оператора и его серверов, сроков хранения, данных о трансграничной передаче, ответственного лица и т. п.)
- обжаловать действия или бездействие оператора в случае нарушения его прав в судебном порядке;
- на защиту прав и законных интересов, в том числе на возмещение убытков или компенсацию морального вреда (для этого можно обратиться в местное отделение Роскомнадзора или отделение суда по месту прописки).
Документы для работы с персональными данными
Законодательство предполагает, что никто не может просто так начать собирать персональные данные граждан. Чтобы начать это делать, компания подает в Роскомнадзор соответствующее уведомление, а также правоустанавливающие документы: свидетельства о регистрации, Устав, Разрешения на коммерческую деятельность и прочее, в зависимости от статуса. После этого в течение 30 дней компанию вносят в список операторов. И с этого дня можно начинать работу по сбору и хранению данных.
Важно! Если сведения из прошлого уведомления изменились (реорганизация юрлица или смена наименования, номер регистрации, лицензии и т. п.), необходимо уведомить РКН о таких изменениях. Причем, если с момента первоначальной подачи изменились какие-то требования законодательства, то необходимо будет привести все документы в соответствие с новыми нормами.
Какие еще документы необходимы, чтобы организация могла обрабатывать персональные данные:
Политика в отношении обработки персональных данных. Этот документ является общедоступным, то есть позже компания дает его пользователям для ознакомления перед тем, как собрать с них их данные.
Модель угроз безопасности и способы их предотвращения. Для этого стоит провести анализ надежности систем хранения данных вашей компании с возможными узкими местами и мерами для их предотвращения.
- Приказ о списке информационных систем, обрабатывающих персональные данные. Они должны соответствовать требованиям Постановления Правительства №1119. Кроме самого приказа, нужно провести проверку соответствия этим требованиям. Для этого нужно обратиться в аттестационный центр, имеющий лицензию ФСТЭК РФ.
- Приказ о назначении ответственного лица за обеспечение безопасности. Обычно это директор или начальник службы информационной безопасности.
- Приказ о назначении ответственного за организацию обработки персональных данных. Как правило, это начальник отдела кадров.
- Акт оценки вреда, который может быть причинен пользователям, оставившим свои данные, с точки зрения требований закона.
Поговорим об ответственности
РКН регулярно проводит проверки компаний на предмет того, собирают ли они персональные данные, и если да, то зарегистрированы ли эти компании должным образом. Ответственность за нарушения предусмотрена в статье 13.11. КоАП РФ.
- Незаконный сбор и обработка данных без согласия субъекта наказывается штрафом от 20 000 до 40 000 рублей для должностных лиц и до 150 000 — для юридических.
- Если на сайте отсутствует Политика обработки, возможен штраф от 700 до 30 000 рублей. Если же Политика есть, но ее забыли согласовать должным образом, то можно получить штраф до 50 000 рублей.
- При неправильном хранении или утечке данных должностным лицам присуждается штраф до 200 000 рублей, а юрлицам — до 6 млн. При повторном нарушении возможные штрафы увеличиваются до 800 000 и 18 млн рублей соответственно.
Вот полный список возможных мер наказания в этой сфере
Важно! Если компания хранит данные в облаке, это не снимает ответственности с оператора. Именно в его интересах подобрать или создать такую инфраструктуру, которая обеспечит полное соблюдение законодательства в этой области.
Важно понимать, что несмотря на разгул всевозможных хакеров, источником утечки в половине случаев всё еще оказывается сотрудник (или бывший сотрудник) компании. Поэтому нужно опасаться не только внешних угроз, но и человеческого фактора внутри компании.
Чек-лист по обработке персональных данных
- К персональным данным (ПДн) относится любая информация, которая может идентифицировать конкретного человека. Это все номера, которые присваиваются госорганами (номер паспорта, ИНН, СНИЛС, служебные удостоверения и т. п.). Также персональными данным может признаваться ряд других данных — место работы, номера телефонов, GPS-координаты перемещений и т. п.
- Чтобы бизнес мог работать с этими данными, необходимо специальное разрешение Роскомнадзора. Вся деятельность регулируется законом №152-ФЗ.
- Персональными данными не считаются анонимные, агрегированные и корпоративные данные, по которым невозможно определить конкретного человека.
- Собирать, хранить и обрабатывать информацию можно только для достижения бизнес-целей и на обозначенный срок. Самовольно собирать досье на людей — запрещено.
- Если Оператор передает хранение персональных данных другой компании, то ответственность за исполнение обязанностей все равно лежит на нем.
- Нарушение требований закона предусматривает административную и уголовную ответственность — штрафы для должностного и юридического лица.
- В половине случаев в утечке виноваты не внешние силы, а сотрудники компании, часто те, которые уже не работают в ней, поэтому важно прописывать Трудовой договор и NDA с учетом этой специфики.