Хранение персональных данных в облаке

Закон о персональных данных № ФЗ-152

Закон РФ о хранении персональных данных, вступивший в силу в середине 2011 года, затрагивает сотрудников практически любой компании. Информация о работниках, а также базы данных клиентов компании, являются желанной добычей злоумышленников. Например, исследования группы компаний InfoWatch показывают, что в 2009 году среди всех зарегистрированных утечек информации персональные данные составили 89,8%.

Какие данные можно считать персональными? Это любые данные, которых достаточно, чтобы однозначно определить физическое лицо и получить информацию о нём. К информационным системам персональных данных (ИСПДн) могут быть отнесены кадровые и бухгалтерские базы данных, биллинговые системы операторов и сервис-провайдеров, call-центры, автоматизированные системы бюро пропусков, а также другие базы данных, где содержится персональная информация. Даже если секретарь составляет на компьютере список сотрудников с телефонами и датами рождения, эта информация уже относится к категории персональных данных и должна быть надёжно защищена.

Любая организация, выполняющая обработку и хранение данных физических лиц, должна защищать такие данные в своих информационных системах. Кроме того, необходимо получить документы о соответствии этих систем требованиям закона о хранении персональных данных.

Хранение персональных данных в РФ

Закон о хранении и обработке персональных данных в РФ был принят для облегчения международной торговли. Правила обмена персональными данными необходимо соблюдать при совершении трансграничных сделок. Однако, такой обмен возможен только между государствами, где на деле обеспечивается защита любой персональной информации. Во многих странах Европы использование подобных законов началось ещё в 19 веке. Поэтому в 2005 году Госдумой РФ была ратифицирована конвенция Совета Европы "О защите личности в связи с автоматической обработкой персональных данных". В 2006 году Госдума приняла соответствующий закон, устанавливающий правила хранения и обработки персональных данных.

Однако, исполнение закона о персональных данных потребовало многих его доработок, уточнений и согласований, поэтому срок вступления закона в силу был продлён. Федеральным законом предусматривается, что информационные системы персональных данных (ИСПДн), созданные до 1 января 2011 г., когда в силу вступили поправки и уточнения закона, должны быть приведены в соответствие с требованиями ФЗ-152 «О персональных данных» не позднее 1 июля 2011 г.

1 июля 2017 года вступили в силу поправки к закону «О персональных данных». Теперь операторы ИСПДн, т.е. государственные и муниципальные органы, юридические или физические лица, которые хранят и обрабатывают персональные данные граждан РФ, обязаны делать это на территории страны, причём, предварительно получив согласие субъектов персональных данных на их обработку.

Кроме того, был принят закон о внесении изменений в Кодекс РФ об административных правонарушениях, который регулирует защиту персональных данных. Согласно закону, статья 13.11 кодекса теперь имеет новое название: «Нарушение законодательства РФ в области персональных данных» и изложена в новой редакции. Изменения статьи Кодекса вступили в силу с 1 июля 2017 г.

Хранение персональных данных клиентов интернет-магазинов

Интернет-магазины относятся к категории операторов ИСПДн, поскольку хранят и обрабатывают информацию своих клиентов. Это жизненно необходимо для их успешного бизнеса. Работая с базами персональных данных своих клиентов, интернет-магазины могут:

1. Проводить успешные рекламные кампании и акции по скидкам для постоянных клиентов

2. Выявлять предпочтения клиентов, планируя закупки

3. Предлагая клиентам товары по их интересам

4. Оценивать тенденции рынка, проводя опросы клиентов

5. и многое другое.

Всё это, несомненно, помогает интернет-магазину достичь успехов в бизнесе. Однако, чтобы работать в полном соответствии с ФЗ-152, интернет-магазины должны соблюдать ряд условий:

1. Соблюдать принципы конфиденциальности, не запрашивать излишнюю информацию и не в целях сбора данных

2. Получать согласие лица на обработку его персональных данных явным и документированным способом

3. Публиковать на сайте интернет-магазина политику компании в отношении обработки персональных данных

4. Предоставлять доступ к персональным данным по запросу их субъектов

5. Уточнять, блокировать доступ или уничтожать персональные данные по требованию субъекта

6. Обеспечивать безопасность персональных данных, защищать их от несанкционированного доступа посторонних, незаконного копирования и пр.

7. И, самое главное, серверы хранения с ИСПДн должны находиться на территории РФ.

Как правильно оценить, какая информация может относиться к персональным данным? Приведём примерный список, составленный по принципу «включая, но не ограничиваясь», согласно разъяснениям Роскомнадзора.

• Фамилия, имя, отчество

• Паспортные данные

• Год, месяц, дата рождения, место рождения

• Адрес регистрации или фактического, либо временного, проживания

• Семейное положение

• Социальное положение и имущественное положение

• Образование

• Профессия, род занятий, тип занятости

• Уровень доходов

• а также другие данные, которые сами по себе, или вместе с другими данными, могут дать возможность идентифицировать личность человека.

Сотрудникам интернет-магазина необходимо хорошо знать основные положения законодательства о персональных данных, чтобы правильно его применять. В то же время, хорошее знание статей закона позволяет не совершать излишних, «перестраховочных» действий. Например, в соответствии с пунктом 5 части 1 статьи 6 Закона ФЗ-152, допускается обработка персональных данных без согласия субъекта персональных данных, если

• она необходима для исполнения договора, стороной которого является субъект персональных данных;

• заключается договор по инициативе субъекта персональных данных;

• субъект персональных данных является выгодоприобретателем или поручителем договора.

На сайте интернет-магазина необходимо явно разместить информацию о политике конфиденциальности, которая должна включать следующие положения:

• Цель сбора персональных данных и для чего они будут использоваться, например, для исследования рынка, проведения скидочных акций, и пр.

• Срок хранения персональных данных

• Возможности изменения, редактирования и удаления персональных данных пользователем

• Перечень данных, которую собирает и обрабатывает сайт: кроме указанных выше персональных данных, это может быть, например, IP-адрес клиента, политика использования cookie и др.

• Правила и цели законной передачи персональных данных третьим лицам: партнёрам, уполномоченным органам и пр.

• Любая информация об изменении политики конфиденциальности.

Сервис хранения персональных данных в облаке OnCloud.ru позволяет защитить ваши персональные данные с полным соблюдением ФЗ-152 без закупки дополнительного оборудования и внедрения собственных систем защиты. Решение «под ключ» от OnCloud по хранению и обработке персональных данных обеспечивает систему хранения и защиты персональных данных в полном соответствии с ФЗ-152 с аттестацией по классу УЗ2. Кроме того, имеется возможность разработки частного решения для хранения данных с классом УЗ1, с использованием только сертифицированных средств защиты. А также, сервис позволяет определить класс данных, выбрать техническое решение и оформить все необходимые документы.