Персональные данные в облаке: как не нарушить закон?

4 февраля 2021

PRO Бизнес

Персональные данные в облаке: как не нарушить закон?

Обязанность по обеспечению безопасности персональных данных законом возложена на плечи компаний. Руководитель должен хранить и обрабатывать персональные данные своих трудолюбивых сотрудников и любимых клиентов, как цербер, чтобы они не попали в руки злоумышленников. Причем, закон со всей благосклонностью разрешает хранить и обрабатывать эти «самые ценные» данные в облаке.

А поскольку облака нынче удобные, экономичные, надежные и «пушистые», то многие компании с удовольствием хранят там персональные данные и при этом не задумываются о штрафах и рисках…

Между тем за нарушение требований по защите персональных данных предусмотрена административная ответственность. Согласно ст. 13.11 КоАП РФ в зависимости от правонарушения штрафы для юридических лиц варьируют от 15 000 до 75 000 рублей, а для индивидуальных предпринимателей от 5 000 до 20 000 рублей.

Утечка персональных данных? Не, не слышали!

11 млрд записей персональных данных и платежной информации слили в Интернет в мире за весь 2020 год,
около 100 млн записей персональных данных и платёжной информации россиян утекло в сеть в минувшем году,
из 91 % российских компаний утекли в 2020 году базы клиентов, персональные данные сотрудников и финансовые документы, что подтверждает исследование разработчика средств для информационной безопасности «СерчИнформ»,
1,9 млн рублей составил средний ущерб от утечки для небольших компаний в ушедшем году, если верить подсчетам «Лаборатории Касперского»,
4,7 млн рублей за последний год потратила каждая российская компания в сегменте малого и среднего бизнеса на обеспечение инфобезопасности, что в 2 раза больше, чем за аналогичный период годом ранее.

Что же такое персональные данные?

В нашей стране за сохранностью персональных данных строго «следит» Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ).

Данный закон провозгласил персональными данными абсолютно любую информацию, которая прямо или косвенно относится к конкретному физическому лицу, именуемому субъектом персональных данных.

В свою очередь, Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» подразделяет персональных данные на 4 категории:

Общедоступные – те, которые были получены только из общедоступных источников, как справочники и адресные книги. То есть сведения о субъекте, полный и неограниченный доступ к которым он сам предоставил: фамилия, имя, отчество, год и место рождения, адрес проживания, номер телефона, сведения о профессии;
Специальные – сведения, которые касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, судимости, состояния здоровья и интимной жизни субъектов персональных данных;
Биометрические – данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность: фото, генетическая информация, рисунок радужной оболочки глаз и отпечатки пальцев;
Иные – вся остальная информация о сотруднике, которая не вошла в предыдущие описанные виды, как электронная почта или геолокация, кличка домашнего животного или вкусовые предпочтения.

Чтобы не было путаницы приведем пример с телефонным номером. Сами по себе номера телефонов вовсе не являются персональными данными, как многие считают. Однако, если в базе телефонного оператора указано, что владелец данного телефонного номера Иванов Иван Иванович, тогда мы имеем дело с персональными данными.

Или, к примеру, информация о политических и религиозных убеждениях, либо литературных пристрастиях вовсе не относятся к персональным данным и закон здесь «не указ». Но если вы разузнаете политические убеждения конкретного сотрудника и внесете эти сведения в базу вместе с ФИО человека, тогда эти данные «магическим» образом превращаются в персональные, и извольте соблюдать Закон № 152-ФЗ.

Требования, которые обязана соблюсти компания при обработке персональных данных в облаке

Что же такое персональные данные мы выяснили. И если ваша компания собирает и обрабатывает данные о клиентах и сотрудниках, то вы смело можете именовать себя оператором персональных данных. Хотите вы того или нет, но это уже закреплено Законом №152-ФЗ.

Вместе со столь почетным «статусом» оператора персональных данных, к компании предъявляются и соответствующие требования. Как говорится «назвался груздем – полезай в кузов». Тем самым компания, как оператор, просто обязана выполнить определенные требования. Давайте рассмотрим их подробнее, чтобы знать, где «можно упасть и постелить себе соломки».

1. Пройти регистрацию в Роскомнадзоре.

После того как компания сделала все «мыслимое и немыслимое», чтобы защитить персональные данные клиентов и сотрудников, ей нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Всю процедуру можно пройти через интернет. Причем в самой форме нужно указать: какие конкретно меры предприняла компания для защиты персональных данных, а также какие данные и где собирается хранить.

Многие компании, особенно небольшие, считают, что им не нужна подобная регистрация, раз их клиентов можно пересчитать по пальцам. Это мнение не верно. Даже если у вас маленький интернет-магазин и не более ста клиентов, вы все равно обязаны зарегистрироваться. Более того, если у вас всего один «несчастный» или наоборот счастливый клиент, с вас также никто не снимал обязанность в подобной регистрации. Как говорится, закон суров, но это закон.

Периодически Роскомнадзору становится «скучно» и он проводит проверку регистраций компаний в качестве операторов. При отсутствии регистрации может быть наложен штраф на юридических лиц от 30 000 до 50 000 рублей, согласно ч.1 ст. 13.11 КоАП РФ.

2. Получить от субъектов персональных данных согласие на обработку их данных с использованием облачного сервиса.

По факту компания осуществляет передачу персональных данных третьему лицу – провайдеру облачных услуг. Закон «идет в ногу со временем» и не против переноса персональных данных в облако. Для этого компания обязана получить согласие субъекта, в котором нужно среди всех иных данных, указать наименование провайдера облачного сервиса, перечень передаваемых персональных данных и цели передачи.

Стоит учесть, что до подписания согласия необходимо рассказать пользователю – как вы собираетесь использовать его персональные данные, как хранить и кому передавать. Как правило, чтобы соблюсти это требование на сайте добавляют страницу с политикой конфиденциальности. Каждый из нас не раз сталкивался, когда на сайте «приходилось» заполнять согласие на обработку персональных данных. И пока мы не поставим галочку в нужном окошке, мы связаны по рукам и ногам.

Соответственно, прежде чем перенести персональные данные в облако, нужно получить согласие от всех субъектов такой информации. В противном случае на основании ч.2 ст. 13.11 КоАП РФ компании грозит штраф от 15 000 до 75 000 рублей.

3. Обеспечить надлежащие меры защиты персональных данных, обрабатываемых в облачных сервисах.

Выполнить данное законодательное требование не просто, поскольку у оператора персональных данных фактически отсутствует возможность контролировать технические меры защиты, принимаемые облачным сервисом.

Согласно Федеральному закону «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, обработка данных может быть передана сторонним компаниям при выполнении обязательного условия по защите подобной информации. Тем самым ответственность за безопасность этого процесса возложена на поставщика информационной системы, который обязан обеспечить:

полную безопасность доступа от вероятных несанкционированных действий;
контроль за доступом в систему, а также своевременное выявление злоумышленников;
готовый и проверенный механизм действий в случае несанкционированного доступа к информации;
надежную работу технических инструментов, выполняющих обработку данных;
полное резервное копирование данных с возможностью оперативного восстановления;
периодический мониторинг степени безопасности информации.

4. Соблюдать требования о локализации персональных данных граждан России на территории Российской Федерации.

При выполнении данного требования загвоздка состоит в том, что большинство серверов, предоставляемых провайдерами или, на которых располагаются облачные сервисы, находятся за границей.

При всем при этом законом № 152-ФЗ закрепил требования, по которым персональные данные граждан России первоначально должны храниться исключительно в базе данных, расположенных на территории Российской Федерации. Впоследствии их можно передать за рубеж, исполнив все требования, предъявляемые к трансграничной передаче персональных данных.

Нередко компании не в курсе описанного требования о локализации или попросту забывают проверить местонахождение сервера используемого облачного сервиса. В результате они нарушают закон, так как:

не соблюдено требование о локализации. Если при проверке будет выявлено, что компания не выполнила установленное требование о систематизации и хранении информации в базах данных исключительно на территории РФ, а использовала хранилища за рубежом. Тогда Роскомнадзор имеет полное право оштрафовать компанию на баснословную сумму – от 1 до 6 миллионов рублей за первичное нарушение, и от 6 до 18 миллионов рублей за повторное;
неполучение согласий от субъектов персональных данных на трансграничную передачу персональных данных.

Как обеспечить надежную защиту персональных данных в облаке?

Закон № 152-ФЗ разрешает компаниям хранить данные в облаке. Ключевым фактором при выборе провайдера облачных данных должно стать условие, чтобы его дата-центр располагался на родной земле – в России. Причем, с одной стороны, законом не запрещено передавать для обработки «российские» данные за рубеж, а с другой, в первый раз их требуется записать на сервер, расположенный на территории РФ.

Что касается самого облачного провайдера, то его часто по ошибке относят к операторам персональных данных. В действительности оператором всегда остается компания. Следовательно, если персональные данные окажутся в коварных руках злоумышленников, то перед Роскомнадзором с повинной головой будет стоять вовсе не провайдер, а оператор, то есть ваша компания.

Поэтому к выбору облачного провайдера нужно подойти ответственно и найти самого надежного профессионала, ведь «на кон поставлены» финансы и репутация компании. Главный критерий защищенности облака – наличие у провайдера облачных услуг аттестата соответствия 152-ФЗ, который выдается контролирующими органами. Аттестат выступает гарантией того, что инфраструктура облака выстроена согласно требованиям приказов Федеральной службы по техническому и экспортному контролю, а данные защищены самым надежным образом.

Чтобы обеспечить защиту персональных данных на должном уровне, провайдер облачных услуг обязан:

выявить тип потенциальных угроз безопасности данных и наивысший уровень защищенности для облака;
предусмотреть меры по обеспечению максимальной безопасности данных в случае несанкционированного доступа;
выстроить частную модель угроз для облака;
реализовать надежную систему защиты, опираясь на разработанную модель;
отработать систему защиты передаваемой информации;
найти и предоставить оператору персональных данных возможность для развертывания дополнительных инструментов безопасности;
оказать всевозможную помощь оператору по реализации мер защиты в его компании.