Как составить базу персональных данных

Всё чаще персональные данные обрабатываются с помощью средств автоматизации, то есть собираются, хранятся, обновляются и применяются. посредством использования электронных сервисов и систем. Таким образом, перед компаниями стоит задача не только соблюдения нормативных требований о получении и обработке персональных данных, но и обеспечения их безопасности и защиты, в том числе на уровне информационных систем персональных данных.

Все юридические лица и индивидуальные предприниматели обязаны соблюдать требования закона «О персональных данных» (№ 152-ФЗ от 27.07.2006 в ред. от 02.07.2021), как только они становятся операторами таких данных.

К операторам персональных данных относят лиц, которые самостоятельно или совместно с другими лицами организовывают и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав обрабатываемых данных, действия или операции с персональными данными.

Чтобы избежать возможных нарушений, уже на момент создания компании или ИП, которые планируют работать с физическими лицами и нанимать работников, необходимо:

1. Определить, с какими персональными данными компания или ИП будет иметь дело.
2. Изучить закон «О персональных данных», требования закона и определить, как и в каких локальных актах закрепить выполнение этих требований.
3. Организовать обработку персональных данных — подготовить, издать и опубликовать необходимые акты, а также создать условия для выполнения действий и операций с персональными данными с соблюдением нормативных требований.
4. Определиться с техническими средствами обработки ПДн, уделив особое внимание защите данных.

Следует избегать шаблонных решений. Они — не более чем ориентир. Желательно, чтобы все вышеперечисленные шаги были сделаны с привлечением кадровых специалистов и юристов. Например, многие компании и ИП считают, что достаточно лишь подготовить политику в отношении обработки ПД и согласие на обработку персональных данных, взяв за основу примеры этих документов из интернета. Действительно, это основные документы, однако в ходе проверки Роскомнадзор может потребовать и другие, которые обязательно должны быть, учитывая специфику работы с персональными данными в проверяемой компании. Могут вызвать претензии и представленные политика обработка ПДн и согласие на их обработку, поскольку они составлены шаблонно и не отражают особенности обработки ПДн у проверяемого лица. Поэтому если своих юристов и кадровиков нет, лучше для подготовки документов привлечь сторонних специалистов или, по крайней мере, показать им самостоятельно подготовленные документы.

Как организовать систему работы с персональными данными и избежать штрафа

Построение системы работы с персональными данными основывается на трёх главных аспектах:

1. Субъектах персональных данных — физических лицах, данные которых предстоит обрабатывать.
2. Категориях персональных данных, с которыми предстоит работать.
3. Нормативно-правовой базе, регулирующей обработку персональных данных тех категорий и тех субъектов, с которыми будет иметь дело компания или ИП.

Многие берут за основу только Федеральный закон «О персональных данных», однако если речь идёт о работниках, нужно учитывать и нормы Трудового кодекса РФ. Если, например, привлекаются фрилансеры, с которыми заключаются договоры гражданско-правового характера, придётся учесть и некоторые положения ГК РФ, в частности об охране частной жизни гражданина и его изображений. Если предстоит обрабатывать биометрические данные, а это специфическая категория ПД, потребуется отдельно изучить нормативные требования, касающиеся обработки биометрии, и учесть её особенности при разработке локальных актов.

Примерный порядок организации системы обработки ПДн:

1. Определяем и назначаем ответственных лиц — тех, кто на первом этапе займётся организацией работы с персональными данными и, возможно, в последующем возьмёт на себя функции контроля. В небольших или средних компаниях обычно эти задачи поручают юристу или кадровому специалисту. В крупных фирмах нередко создаются специальные отделы. ИП зачастую либо сами занимаются всеми вопросами, либо, хотя бы временно, привлекают специалистов на условиях аутсорсинга.
2. Определяем, с какими данными предстоит работать и кто их субъект, а также, какие действия, операции и процессы войдут в обработку персональных данных.
3. Готовим комплект документов. Он будет зависеть от информации, собранной на втором этапе. Политика компании в отношении обработки персональных данных — документ, обязательный в любом случае. Обязательно потребуется подготовить и форму согласия на обработку ПДн, и, возможно, не одну — в зависимости от категорий субъектов персональных данных. Для удобства операторов ПДн Роскомнадзор разработал конструктор такого документа. Подготовленный шаблон можно сразу отправить на проверку в ведомство и получить рекомендации. Кроме того, комплект документов должен включать положение о неавтоматизированной (или автоматизированной) обработке ПДн, приказы о назначении ответственных лиц и других лиц, задействованных в обработке ПДн. Не исключено, что потребуется разработка инструкций для описания процессов и операций.
4. Знакомим с документами под подпись сотрудников, которые назначены ответственными, задействованы в обработке ПДн и непосредственно работают с материалами, документами и сведениями, содержащими персональные данные.
5. Размещаем на информационном стенде, на официальном сайте компании (ИП), в интернет-магазине или других ресурсах, на которых ведётся сбор данных, политику компании в отношении обработки персональных данных. Это основной документ, он должен быть общедоступным.
6. Решаем вопрос о включении компании или ИП в реестр операторов персональных данных. Для этого необходимо в бумажном (почтой) или электронном виде (на сайте или через Госуслуги) направить уведомление в Роскомнадзор.

Практическая сторона вопроса — средства сбора, хранения, использования персональных данных, других процессов их обработки. Здесь многое зависит от уровня технологичности компании или ИП. Но какими бы ни были средства, важно обеспечить надёжность, безопасность, защиту данных. Поскольку преимущественно используются технические средства (компьютеры, программное обеспечение и информационные системы), безопасность также обеспечивается техническим образом. Это могут быть, например, общедоступные антивирусы и межсетевые экраны или более сложные специальные средства защиты от несанкционированного доступа и средства криптографической защиты. Принцип простой: чем больше объём данных и процессов, тем более высокотехнологичной должна быть система информационной безопасности. Задача одна — исключить взлом и утечки информации, случайную утрату сведений или их повреждение (уничтожение).

Эта статья была полезной?

Подключиться

Чтобы подключиться к услуге защиты каналов связи, заполните заявку

Оператор — физическое или юридическое лицо, обязан принимать меры по защите личной информации граждан от несанкционированного доступа, ее копирования и распространения без согласия субъекта. Это достигается, в том числе организацией правильного хранения персональных данных. Разбираемся, какие есть требования по закону, и как их выполнять.

Общие требования к обработке и хранению персональных данных

Перечислим основные положения Закона №152-ФЗ, которые должен знать оператор:

1. Обработка персональных данных (ПД) допускается строго в рамках законных целей. Их оператор указывает в своей Политике, а также в уведомлении Роскомнадзора о начале деятельности с перданными. Цели определяют исходя из видов деятельности организации или ИП, законодательных требований. Например, работодатель может собирать персональные данные в резюме для поиска подходящего кандидата на заполнение вакансии.
2. Нельзя объединять базы данных с личной информацией граждан, обрабатываемых в несовместимых целях. Это означает, что сведения о работниках нужно держать отдельно от ПД клиентов.
3. Срок хранения персональных данных заканчивается с достижением целей их обработки, если иное не установлено законодательством или договором с субъектом ПД. Работодатель должен учитывать, что сфера действия Закона № 152-ФЗ не распространяется на архивную деятельность. То есть при определении сроков хранения документов всегда нужно учитывать Приказ Росархива от 20.12.2019 №236.
4. К носителям информации (бумага, флешки, жесткий диск ПК, облачные хранилища) с биометрическими данными предъявляются усиленные требования по ч. 10 ст. 19 Закона №152-ФЗ. Работодатель должен полностью исключить неправомерные или случайные доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.

Конкретные требования к хранению персональных данных зависят от выбранного способа обработки. По Закону №152-ФЗ их два: автоматизированный и исключительно без средств автоматизации, то есть без использования вычислительной техники. На практике у работодателя может применяться смешанный способ, когда часть ПД обрабатывается на компьютере, а часть — исключительно вручную.

Топ-5 документов по персональным данным, которые скачивают ваши коллеги:
	Бланк приказа о назначении ответственного за обработку персданных
	Образец положений согласия на распространение персданных
	Примерная форма политики по персданным
	Пример нового согласия на обработку персданных
	Чек-лист для аудита документов по персданным

Требования к хранению персональных данных в информационных системах

Основные правила обработки ПД в электронном виде установлены ст. 19 Закона №152-ФЗ и Постановлением Правительства РФ от 01.11.2012 №1119. В них приведены требования к защите персданных в информационных системах (ИС), которые состоят из баз данных с личной информацией, информационных технологий и средств обработки. Официальный сайт оператора тоже относится к ИС, если на нем есть сбор и хранение персональных данных физических лиц.

Информационные системы, в зависимости от категорий ПД, бывают:

• общедоступными, где содержатся Ф.И.О., адрес, место работы, образование субъекта и другая личная информация, которую 
• специальными — в них обрабатываются сведения о расовой, национальной принадлежности, политических взглядах и убеждениях, отношении к религии, состоянии здоровья физлица;
• биометрическими;
• иными, если в них не обрабатываются перечисленные выше три категории данных.

Степень защиты ИС зависит от категории ПД. К общедоступным предъявляется меньше всего требований. Чуть строже они к иным ПД. Самые серьезные требования существуют для специальных персональных данных. Именно содержащаяся в них информация способна принести наибольший ущерб и моральный вред гражданину.

Оператор должен оценить угрозы безопасности персданных в электронном виде и выстроить в зависимости от них защищенную ИТ-инфраструктуру. В Постановлении №1119 приведено три типа угроз. С учетом их устанавливается четыре уровня защищенности (УЗ). При этом также учитывается, какие категории ПД использует оператор. 

Личную информацию в ИС 3 и 4 уровня защиты можно обрабатывать в облачных хранилищах, если они соответствуют ст. 19 Закона №152-ФЗ. К информационным системам с УЗ 1 и 2 предъявляются гораздо более строгие требования.

Кроме обеспечения защиты ИС, оператор должен получить в большинстве случаев согласие на обработку, в том числе хранение персональных данных от гражданина. Правовые основания, когда это не обязательно, установлены в самом Законе №152-ФЗ.

Важно! Конкретные организационные и технические мероприятия по защите персональных данных разрабатываются с учетом Приказа ФСТЭК от 18.02.2013 №21.

Требования к хранению ПД в бумажном виде

До 1 сентября 2022 года под неавтоматизированной обработкой персданных понимались действия, производимые при непосредственном участии человека — Постановление Правительства РФ от 15.09.2008 №687. В связи с поправками в ст. 22 Закона №152-ФЗ появился термин «исключительно без средств автоматизации». То есть без использования вычислительной техники, если брать определение из ст. 3 Закона №152-ФЗ.

Предполагаем, что Положение №687 можно применять при неавтоматизированной обработке ПД в той части, в какой оно не регулирует работу с компьютерной техникой.

Компания использует бумажные носители с персональными данными: личные дела, трудовые книжки, договоры с работниками, также бухгалтерские ведомости на выплату зарплаты или командировочных. Чтобы обезопасить информацию в этих документах следует ответственно подойти к вопросу их хранения:

• держать бумаги нужно в сейфах или металлических несгораемых шкафах, которые запираются на замок. Или оборудовать специальное помещение, например, отдельное помещение кассы со стальной дверью;
• информацию, которую обрабатывают в разных целях, стоит держать отдельно друг от друга, также документы, у которых срок хранения персональных данных разный, лучше не смешивать; 
• не хранить в личных делах сотрудников: копии паспорта, СНИЛС и ИНН, свидетельства о браке или рождении ребенка, и все остальные, которые Роскомнадзор при проверке признает как содержащие избыточные персональные сведения.

Обратите внимание! Закон не запрещает хранить копии этих документов или их сканы, но только если работник дал согласие на хранение персональных данных и обработку, в котором указываются объем персональных сведений, способы и цели работы с ними. Но как показывает судебная практика, лучше не рисковать и уничтожить копии после того, как использовали информацию.

Совет   За хранение резюме соискателей можно получить штраф от Роскомнадзора, потому что там тоже содержатся персональные данные. Резюме разрешается использовать в течение срока, пока сотрудник кадровой службы рассматривает потенциальных кандидатов. Не храните этот документ ни в распечатанном виде, ни в электронном, например, присланный на e-mail, если вакансия уже закрыта. Если в компании формируется кадровый резерв, у каждого кандидата возьмите согласие на хранение сведений о нем и укажите цель хранения.

Как организовать хранение персональных сведений в компании: пошаговая инструкция

Чтобы обработка и хранение персональных данных в организации соответствовали нормам ФЗ-152 нужно разработать все требуемые документы и следовать определенным правилам:

• установить и зафиксировать в Положении о хранении персональных данных порядок доступа в специальное помещение или к местам хранения персональной информации согласно п.13 постановления Правительства от 15.09.2008 № 687. 
• Назначить тех, кто будет обрабатывать персданные и нести за это ответственность. Это могут быть работники кадровой службы или бухгалтерии. Ознакомить работников под роспись с этим документом. Как назначить ответственного за персданные, читайте здесь.
• Составить перечень персональных данных, которые будут обрабатывать в организации. В том числе те, которые передают третьим лицам: в ПФР, ГИТ, налоговую или статистику;
• Заранее разработать формы заявлений о согласии на обработку, хранение и передачу персональных сведений, также журналы учета и проверок — в случае если неожиданно придут проверяющие из Роскомнадзора или ФСТЭК;
• Выбрать место для хранения персональных данных на бумаге и оформить это приказом.
• Разработать и утвердить форму обязательства о неразглашении персональных данных и подписать его с сотрудниками, которые отвечают за работу с этой информацией;
• Подать уведомление в Роскомнадзор о том, что компания является оператором персональных данных, если еще не подали;
• После необходимо контролировать весь процесс работы с персональными данными, следить за изменениями в законодательстве и периодически проводить независимый аудит.

Оператор при хранении ПД должен обеспечить постоянную защиту их от несанкционированного доступа. С 1 сентября 2022 года о каждой утечке персональных данных следует сообщать в Роскомнадзор:

• в течение 24 часов — об инциденте;
• не позднее 72 часов — о результатах расследования утечки.

Подать уведомление можно на официальном портале Роскомнадзора. Для этого оператору понадобится подтвержденная учетная запись на Госуслугах.

Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Как оператору исполнить обязанность по размещению баз с персональными данными на территории РФ

Выбираем стратегии выполнения требований закона к обработке персональных данных и оцениваем риски их применения

Рост мировой геополитической напряженности в первой половине 2014 г. между Россией и некоторыми зарубежными странами, взаимные и встречные санкции побудили российские власти выступить с рядом инициатив по обеспечению национальной безопасности РФ.

22 июля 2014 г. был опубликован текст Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», который вступил в силу 1 сентября 2015 г. Им в ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» были внесены дополнения следующего содержания: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Это требование распространяется на всех операторов, за исключением некоторых случаев обработки персональных данных (далее – ПДн) СМИ и органами государственной власти. К исключениям также относится п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: «Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей». Однако, по нашему мнению, такое исключение может применяться только в тех случаях, когда на оператора возлагается обязанность по сбору и дальнейшей обработке ПДн за рубежом.

Важной особенностью положений Закона № 242-ФЗ является акцент на гражданстве субъектов ПДн. Ранее законодательство РФ было направлено на защиту прав субъектов ПДн безотносительно их гражданства. 

В случае если оператор поручает другому лицу обработку персональных данных, включая их сбор, указанное требование распространяется также и на это лицо. При этом оператор обязан обеспечить размещение данных на территории РФ. 

Необходимо отметить, что требование распространяется только на обработку ПДн при их сборе. Таким образом, можно сделать вывод о том, что последующие действия с ПДн могут производиться в базах данных (далее – БД) на территории иностранных государств. Кроме того, изменения в Закон № 152-ФЗ не затрагивают трансграничную передачу ПДн.

Общие рекомендации по выполнению требований Закона № 242-ФЗ

Операторам информационных систем с ПДн (далее – ИСПДн), обрабатывающим персональные данные граждан РФ, следует соблюдать следующие принципы:

• сбор ПДн, в том числе с территории иностранных государств, ведется только в БД на территории РФ;
• объем и актуальность ПДн, хранящихся в БД на территории РФ, должны быть равны или превосходить соответствующие показатели в отношении ПДн, хранящихся в зарубежных БД;
• получение новых ПДн посредством использования (анализа) имеющихся ПДн, которые были собраны в БД на территории РФ и переданы за рубеж, может производиться с помощью зарубежных БД и без предварительной локализации в РФ¹.

В начале августа 2015 г. Минкомсвязь на своем сайте открыла раздел «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года». В нем предлагаются разъяснения и ответы на вопросы, подготовленные на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти (Совета Федерации, Минкомсвязи, Роскомнадзора). Роскомнадзор в ноябре 2016 г. опубликовал свой комментарий к Закону № 242-ФЗ. Следует обратить внимание, что публикуемые в этих источниках разъяснения иногда противоречат друг другу².

На текущий момент несколько органов государственной власти высказали свою позицию, которая суммирует результаты толкования ими требований Закона № 242-ФЗ в отношении размещения БД с данными российских граждан. Необходимо отметить, что нижеприведенные интерпретации норм не всегда могут считаться официальными разъяснениями, так как не все эти органы, например Роскомнадзор, наделены таким правомочием.

Позиция Государственно-правового управления Президента РФ

• Обработка ПДн российских граждан должна осуществляться с использованием БД, находящихся на территории РФ, если только в конкретной ситуации не применимы случаи, указанные в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона № 152-ФЗ.
• В Законе № 242-ФЗ отсутствует упоминание о дублирующих БД или актуальных копиях данных.
• Исходя из положений ч. 1 ст. 1 Закона № 242-ФЗ он распространяется на всех операторов.
• Запреты, установленные в Законе № 242-ФЗ, распространяются и на те ПДн, которые были ранее переданы за пределы РФ.

Позиция Роскомнадзора

• Роскомнадзор при проведении проверок опирается на определение БП с ПДн. Согласно ему БД можно считать таблицу в формате Excel, Word, в которой содержится информация о ПДн граждан или иным образом упорядоченный массив ПДн, в том числе поддающийся обработке при помощи ЭВМ³.
• В Законе № 242-ФЗ отсутствует запрет на трансграничную передачу ПДн, так как ст. 12 Закона № 152-ФЗ не подверглась изменениям. Обработка ПДн посредством их передачи, в том числе на территорию иностранного государства, является трансграничной передачей. Допускается передача ПДн российских граждан, содержащихся в БД, находящихся в РФ, в том числе на территорию иностранных государств, в порядке и в соответствии с условиями, определенными законодательством о ПДн.
• Нормы Закона № 152-ФЗ не применяются за пределами территории РФ. Зарубежная обработка ПДн регулируется нормативными правовыми актами тех стран, в которых она осуществляется.
• Порядок определения оператором места нахождения БД с ПДн нормативно закрепляться не будет.
• Формирование и актуализация БД с ПДн российских граждан должны осуществляться на территории РФ. Требования Закона № 242-ФЗ не позволяют осуществлять отдельные процедуры, в том числе «хранение ПДн» в БД на территории иностранного государства.
• Каждый случай, в котором при сборе ПДн будет осуществляться одновременное хранение БД на территории РФ и иностранного государства, будет являться нарушением Закона № 242-ФЗ, поскольку оператор при сборе ПДн допустит их хранение в БД за пределами РФ. После сбора ПДн, т.е. после формирования БД на территории РФ, недопустимо изменение условий ее хранения путем переноса БД на территорию иностранного государства.
• Операторы должны самостоятельно определять процедуру установления гражданства субъекта ПДн. Если у оператора возникли трудности или сомнения в правильной идентификации гражданства субъектов ПДн, то он может осуществлять хранение ПДн этих субъектов в БД, размещенных на территории РФ.

Позиция Минкомсвязи

• Субъект ПДн имеет право дать согласие на обработку своих ПДн и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.
• Оператор по-прежнему обладает правом поручить обработку ПДн иностранному лицу и осуществлять трансграничную передачу ПДн. Например, российские дочерние организации могут передавать ПДн своих работников в глобальные ИС (HR-системы, ERP-системы и т.п.), операторами которых являются иностранные материнские компании или иные организации.
• ИСПДн может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ. 
• Применение дублирующих БД, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.
• Нормы Закона № 152-ФЗ применимы только на территории РФ, а Конвенция о защите физических лиц при автоматизированной обработке персональных данных ETS от 28 января 1981 г. № 108 имеет приоритет над этим законом. Соответственно, иностранные лица не обязаны соблюдать его требования за пределами РФ, и они не подлежат юридической ответственности, предусмотренной действующим законодательством РФ.
• Закон № 242-ФЗ обратной силы не имеет. Следовательно, его положения не распространяются на правоотношения с иностранными лицами, ведущими БД с ПДн, оформленные до 1 сентября 2015 г.
• На деятельность авиакомпаний, осуществляемую в рамках реализации международного договора РФ или федерального закона, не распространяется положения ч. 5 ст. 18 Закона № 152-ФЗ об обязательной локализации БД с ПДн на территории РФ.
• Обработка ПДн для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18 Закона № 152-ФЗ, путем размещения в центрах обработки данных на территории РФ БД, содержащей ПДн граждан РФ, большего размера или аналогичного объему ПДн, передаваемому на территорию иностранного государства.

В целом вышеописанные позиции иллюстрируют два обобщенных подхода органов госвласти к толкованию норм Закона № 242-ФЗ:

• жесткий подход Государственно-правового управления Президента РФ и Роскомнадзора: запрещено все, что прямо не разрешено законом;
• мягкий подход Минкомсвязи: разрешено все, что прямо не запрещено законом.

Способы выполнения требований к обработке персональных данных

В связи с противоречивостью и фрагментарностью правоприменительной практики и комментариев уполномоченных органов затруднительно сделать однозначные выводы о наиболее оптимальных стратегиях выполнения требований к обработке персональных данных операторами, обладающими БД с ПДн российских граждан за пределами территории РФ. Можно выделить восемь возможных стратегий выполнения требований Закона № 242-ФЗ (см. рис. ниже). Допустимо комбинировать их между собой.

Следует дать дополнительные пояснения к некоторым из стратегий.

• Стратегия № 5 подразумевает отказ от процесса обработки ПДн с помощью организации – российского резидента. Стратегия реализуется путем осуществления прямого сбора, систематизации, обновления и хранения ПДн с помощью организации за пределами России. Такая компания – оператор ПДн не подпадает под российскую юрисдикцию. 
• Стратегия № 7 подразумевает создание на территории РФ промежуточной информационной системы или БД с целью хранения, уточнения, удаления собираемых в России ПДн и их последующей передачи для обработки другому оператору, в том числе за границу. БД с ПДн может представлять собой документ в формате Excel, Word или находиться на бумажных носителях, если этого достаточно для целей обработки. Процессы в зарубежных системах (например, в глобальных системах международных холдингов и групп компаний), связанные с последующей обработкой ПДн, сохраняются неизменными или адаптируются для автоматического использования данных из России.

Перечисленные стратегии формировались исходя из презумпции, что обработка ПДн при осуществлении процедур по обеспечению непрерывности информационно-технологической инфраструктуры и восстановления ее после сбоев, при разработке и тестировании программных модулей информационных систем не регулируется напрямую Законом № 242-ФЗ в части размещения БД с ПДн на территории РФ. Данное предположение основывается на следующем доводе: в рамках резервной информационно-технологической инфраструктуры и сред разработки и тестирования программных модулей ИС не осуществляется сбор ПДн субъектов. ПДн передаются в указанную инфраструктуру и среды из иных БД с ПДн. Для минимизации юридических рисков, связанных с обработкой ПДн в средах разработки и тестирования программных модулей ИС, оператору рекомендуется рассмотреть возможность применения технологий обезличивания (обратимого и необратимого) или шифрования ПДн.

Представленные стратегии рассматривают только вопросы логики распределения информационных потоков внутри и между ИСПДн, но не затрагивают вопросы правового характера.

Риски применения стратегий выполнения требований Закона № 242-ФЗ

Для просчета юридических рисков, сопутствующих применению стратегий выполнения требований Закона № 242-ФЗ, оценивалась вероятность⁴ выявления правонарушения (обнаружить несоответствие могут Роскомнадзор и Прокуратура, субъекты ПДн, контрагенты оператора и иные лица) и дальнейшего доказывания этого факта в суде. Для этого выявлялась степень соответствия стратегии требованиям закона с точки зрения органов госвласти, опирающихся на политическую ситуацию и ведомственное мнение, и судов, руководствующихся юридической трактовкой и внутренним убеждением.

Отметим, что здесь не учитывалась возможность нарушения оператором требования об уведомлении Роскомнадзора о местонахождении БД с ПДн и привлечения его к ответственности по ст. 19.7 КоАП РФ, поскольку письмо о внесении изменений в сведения в реестре операторов он обязан направить в ведомство вне зависимости от выбора стратегии.

Ниже приведено графическое представление интегральной оценки в диапазоне от 0 до 5 баллов в отношении величины юридических рисков для каждой из стратегий. Так, стратегия № 1 получила 0 баллов, что демонстрирует ее безрисковость. Выбор стратегии № 2 чреват наибольшим юридическим риском среди всех восьми стратегий.  При реализации остальных стратегий вы в большей (стратегии № 4, 5, 8) или меньшей степени (стратегии № 3, 6, 7) рискуете столкнуться с наступлением неблагоприятных последствий, описанных далее.

Оценка реализации стратегий выполнения требований Закона № 242-ФЗ

Выбор стратегии основывается на принципе минимизации вероятного ущерба компании и расходов на ее реализацию. При этом ущерб подразделяется на штраф, влияние на бизнес и репутационный ущерб. Расходы могут быть однократными и периодическими. 

Чтобы вычислить расходы, определить риски и дать общую оценку стратегии качественные значения ставятся в соответствие с количественными, которые представляют собой безразмерную величину (условные пункты).

Оценка стратегий осуществляется в отношении только тех систем, базы данных с ПДн которых полностью или частично располагаются за пределами РФ. При оценке применяется допущение, что в течение жизненного цикла систем проверка со стороны Роскомнадзора будет проведена как минимум один раз.

Привлекательность стратегии определяется по формуле, позволяющей оценить величину расходов на ее реализацию: S_i=C_i+O_i*T_э+P_о,i*P_в,i*P_д,i*M*S₁+P_о,i*P_в,i*P_сми,I*D.

• S_i – обозначение оцениваемой стратегии (значение i соответствует порядковому номеру стратегии); 
• C_i – однократные расходы при реализации стратегии i;
• O_i – периодические расходы при реализации стратегии i;
• T_э – ожидаемый период эксплуатации ИСПДн;
• P_о,i – вероятность обнаружения ИСПД проверяющими органами при реализации стратегии i;
• P_в,i – вероятность выявления нарушений в обнаруженной ИСПДн по результатам проверки при реализации стратегии i;
• P_д,i – вероятность признания постановления Роскомнадзора законным при реализации стратегии i;
• М – мультипликатор (уровень) влияния на бизнес;
• S₁ – расходы на реализацию стратегии, включая периодические за период жизненного цикла;
• P_сми,i – вероятность освещения результатов в СМИ при реализации стратегии i;
• D – вероятный репутационный ущерб.

Влияние на бизнес выражается в виде расходов на реализацию стратегии, умноженных на мультипликатор. Мультипликатор зависит от критичности системы для бизнеса, сложности переноса системы, вовлеченности ее в основные бизнес-процессы и находится в промежутке от 1 до 3 единиц. 

Вероятность обнаружения ИСПДн зависит в первую очередь от того, был ли уведомлен Роскомнадзор об этой системе, а также от вовлеченности ее в деятельность организации, и оценивается по шкале 0–100%. Для основных бизнес-процессов вероятность обнаружения ИСПДн выше. Вероятность выявления правонарушения в ИСПДн зависит от реализованной стратегии и компетентности проверяющих.

Чтобы упростить процедуру оценки вероятностей, используется экспертное мнение о степени соответствия стратегий требованиям Закона № 242-ФЗ. Степень соответствия анализируется по следующей шкале:

• легкообнаружимое несоответствие (вероятность – 100%);
• труднообнаружимое несоответствие (вероятность – 80%);
• крайне труднообнаружимое несоответствие или соответствие с сильнозаметными уязвимостями (вероятность – 60%);
• соответствие со среднезаметными уязвимостями (вероятность – 40%);
• соответствие со слабозаметными уязвимостями (вероятность – 20%);
• полное соответствие (вероятность – 0%).

Вероятность распространения информации в СМИ зависит от значимости нарушения, степени вовлеченности системы в основные процессы организации и также оценивается по шкале 0–100%.

Действующим законодательством не установлена прямая ответственность за неисполнение операторами требований о локализации БД с ПДн (ч. 5 ст. 18 Закона № 152-ФЗ). Однако этот пробел может быть восполнен в среднесрочной перспективе. Размер штрафа может быть установлен в пределах 50 тыс. руб. (с учетом размера штрафа, установленного ч. 1 ст. 13.11 КоАП РФ). Это значительно меньше прочих расходов на реализацию стратегий и величины сопутствующих рисков. При расчете общей оценки стратегии штраф в явном виде не учитывается.

Рассмотрим пример оценки восьми стратегий в отношении отдельно взятой ИСПДн.

Итак, в рассмотренном примере наиболее привлекательной оказалась стратегия № 1 – создание промежуточной БД на территории РФ. Немного менее привлекательной является стратегия № 2 – перенос БД на территорию РФ.

---

¹ Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор ПДн – это процесс целенаправленного получения данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации в БД на территории РФ возникает только в период сбора ПДн. Если, например, в зарубежной системе на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие ПДн нельзя рассматривать как получаемые во время сбора, т.е. они не были получены от субъекта или через уполномоченных оператором лиц.

² Например, Минкомсвязь указывает, что понятие «база данных» на уровне федерального закона раскрыто в абз. 2 ст. 1260 ГК РФ следующим образом: «Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины». Тут же ведомство поясняет, что при применении Закона № 242-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме. Роскомнадзор придерживается мнения, что следует руководствоваться понятием, которое дано в Модельном законе о персональных данных, принятом в Санкт-Петербурге 16 октября 1999 г. Постановлением № 14-19 на 14-м пленарном заседании Межпарламентской Ассамблеи государств – участников СНГ: «база персональных данных» – это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Следовательно, базой данных можно считать таблицу в формате Excel, Word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и в каком формате обрабатываются – бумажном или электронном.

³ С данным расширительным толкованием понятия БД можно не согласиться, так как согласно п. 10 ст. 3 Закона № 152-ФЗ БД является неотъемлемой частью ИСПДн, а обработка ПДн, содержащихся в БД, осуществляется с использованием информационных технологий и технических средств (средств автоматизации). При этом, согласно ч. 1 ст. 1 Закона № 152-ФЗ, без использования средств автоматизации могут обрабатываться ПДн, зафиксированные на материальном носителе и содержащиеся в картотеках или иных систематизированных собраниях ПДн. Таким образом, упорядоченные массивы ПДн можно условно разделить на две категории: [электронные] базы данных в составе ИСПДн; картотеки и иные систематизированные собрания ПДн. 

⁴ Оценка проводилась в течение трех лет. Указанный срок был определен на основании нормы, закрепленной в п. 33 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312).

Оператор может собирать личную информацию граждан только на законных основаниях. Один из принципов — обрабатывать только те персональные данные (ПД), которые отвечают целям их обработки (ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О защите персональных данных»).

Для применения 152-ФЗ под целью понимается определенный результат деятельности оператора, для достижения которого ему нужна информация о гражданине. И вот здесь начинается путаница. Конечная цель любого предпринимателя — получение прибыли, но для обработки персональных данных такую формулировку применять нельзя. 

Цели должны быть конкретные, заранее определенные и законные (ч. 2 ст. 5 152-ФЗ). Роскомнадзор рекомендует при их формулировке анализировать правовые акты по деятельности оператора, уставную деятельность и бизнес-процессы. Также практически у всех операторов есть бухгалтерский учет, социальное и пенсионное страхование, кадровое делопроизводство.

Например, компания оказывает услуги по организации корпоративов. У нее в штате и по договорам ГПХ работает шесть человек. Компания может собирать персональные данные в целях:

• исполнения договора с заказчиками по организации праздничного мероприятия и взаимодействия с представителями заказчика;
• проведения рекламных кампаний;
• ведения кадрового делопроизводства; 
• обязательного пенсионного, социального и медицинского страхования работников и т.д.

Все цели обработки персональных данных условно можно разделить на две группы. Первая — выполнять требования законов и нормативных правовых актов. Это, например, сдача отчетности в ФНС, внебюджетные фонды. Вторая — исполнять обязательства перед субъектом персональных данных, в том числе по трудовым и гражданским договорам.

Оператор не может собирать избыточную личную информацию, которая не относится к целям обработки (ч. 5 ст. 5 152-ФЗ). Например, при приеме на работу кадровик не может запрашивать у гражданина его отношение к политическим партиям или адрес страницы в социальной сети, если это напрямую не связано с трудовой деятельностью. Или ИНН пациента будет избыточным при сдаче клинических анализов.

В 152-ФЗ нет точного перечня информации, которая относится к персональным данным. Это любые сведения, которые позволяют прямо или косвенно определить конкретное физическое лицо — субъекта персональных данных (ст. 3 152-ФЗ). Законом определены только категории ПД:

1. Общедоступные — информация, которая с согласия физического лица включается в общедоступные справочники и базы данных (ст. 8 152-ФЗ). Это, например, Ф.И.О., номер телефона, адрес, год рождения, должность.
2. Специальные — сведения о расовой и национальной принадлежности, состоянии здоровья, интимной жизни, политических взглядах, философских убеждениях, религии (ст. 10 152-ФЗ).
3. Биометрические — сведения, которые характеризуют физиологические и биологические особенности человека (ст. 11 152-ФЗ). Это, в первую очередь, данные из Единой биометрической системы. Подробнее об этой категории ПД смотрите разъяснения Роскомнадзора.
4. Иные — те сведения, которые не отнесены к первым трем категориям персональных данных.

Категорий субъектов персональных данных, по большому счету, всего две: состоящие в трудовых отношениях с оператором и не состоящие с ним в трудовых отношениях. Роскомнадзор в своих рекомендациях 2017 года в качестве варианта предлагает:

• работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; 
• клиенты и контрагенты оператора (физические лица); 
• представители/работники клиентов и контрагентов оператора (юридических лиц).

Оператор может выбрать свою классификацию. Например: работники и бывшие работники; клиенты; посетители; пациенты; представители контрагентов — юридических лиц. Степень детализации по категориям субъектов ПД оператор определяет самостоятельно.

 

Правовые основания обработки персональных данных. Не надо ссылаться на 152-ФЗ — он определяет требования к работе с ПД, а не причину. Правовые основания прямо связаны с целями обработки информации о физическом лице. Это те нормативные документы, которые регулируют конкретный вид деятельности оператора. Например, ст. 65 Трудового кодекса устанавливает перечень документов для трудоустройства.

Способы обработки персональных данных. В Законе 152-ФЗ таких способов всего два: с использованием средств автоматизации и исключительно без средств автоматизации (ст. 3 152-ФЗ). На практике бывает смешанная форма, когда часть информации о физлице обрабатывается вручную, а часть — на компьютере.

Перечень действий с персональными данными составляют исходя из определения обработки персональных данных (ст. 3 152-ФЗ). Оператор указывает в Политике сроки для каждого из них. 

По общему правилу персональные данные хранятся не дольше, чем это требуют цели их обработки, если иное не установлено законом или условиями договора с субъектом ПД (ч. 7 ст. 5 152-ФЗ).

Роскомнадзор рекомендует также указывать в Политике порядок актуализации, исправления, уничтожения сведений граждан, регламент ответов на их запросы.

В Законе 152-ФЗ нет требования оформлять документ как локальный нормативный акт, то есть с учетом мнения профсоюза, либо согласовывать ее с Роскомнадзором. Порядок действий будет типовой для разработки и утверждения локального акта:

1. Назначить разработчика. Как правило, это ответственный за организацию обработки персональных данных.
2. Оформить, согласовать и утвердить Политику. Примерная структура приведена в рекомендациях Роскомнадзора, но их нужно адаптировать под требования 2022 года по срокам ответов на запросы субъекта ПД, содержания сведений по каждой цели обработки ПД (ст. 1 266-ФЗ).
3. Ознакомить всех работников с Политикой обработки персональных данных под личную подпись. Этого требования нет в 152-ФЗ, но сотрудники относятся к субъектам ПД.

Оператор должен обеспечить неограниченный доступ к Политике. Если у него есть свой сайт, то он публикует ее в сети Интернет (ч. 2 ст. 18.1 152-ФЗ). За нарушение этого требования оператора привлекут к административной ответственности со штрафом до 60 000 рублей (п. 3 ст. 13.11 КоАП РФ).

В заключение отметим, что Политику разрабатывают только юридические лица. Однако это не значит, что ИП и самозанятым из категории операторов ничего делать в этой сфере не нужно. По запросу физического лица они обязаны представить ему сведения по ч. 7 ст. 14 152-ФЗ, которые по структуре почти совпадают с Политикой. За невыполнение этого требования ИП и граждан тоже привлекут к ответственности (п. 3 ст. 13.11 КоАП РФ).

Photo by Majid Gheidarlou on Unsplash

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Что является персональными данными и что о них важно знать

1. Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, email, группа крови, фотография.
2. Персональные данные делят на четыре группы. От того, к какой группе они относятся зависит уровень необходимой защиты данных при их хранении и обработке.
3. Хранение ПДн — сохранение их у себя в базах данных или другом месте. Обработка ПДн — любые действия с ними, в том числе сбор, анализ, изменение и удаление.
4. Если вы работаете с персональными данными, то обязаны соблюдать 152-ФЗ о защите персональных данных.