Rambler's Top100
Статьи ИКС № 01-02 2017
СЕРГЕЙ СМОЛИН   09 марта 2017

Обработка и хранение персональных данных: закон требует, ЦОДы предлагают

Законодательство Российской Федерации в области персональных данных предъявляет строгие требования к обеспечению их безопасности при обработке. Решение части проблем могут взять на себя ЦОДы.

Сергей СМОЛИН, ведущий юрист, DataSpace

В последнее время у всех на слуху новеллы, вносимые законодателем в правовое регулирование действий по обработке и хранению персональных данных граждан. Изменения в Федеральном законе «О персональных данных» (№ 152-ФЗ) направлены на ужесточение контроля за операторами, обрабатывающими такие данные. Помимо введения обязанности хранить персональные данные российских граждан только на территории РФ, законодатель расширил полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), на которую возложен контроль за операторами, обрабатывающими персональные данные граждан. Указанные изменения в той или иной степени затрагивают деятельность широкого круга участников экономического оборота – от небольших интернет-магазинов до операторов центров обработки данных.

Какие данные – персональные?

В соответствии с п. 1 ст. 3 152-ФЗ персональными данными является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», т.е. любая информация, при помощи которой можно идентифицировать личность. Как правило, к персональным данным относят: ФИО, дату и место рождения, паспортные данные, физические характеристики, контактную информацию и т.д. – перечень подобных сведений достаточно широк, но не является исчерпывающим.

Кто является оператором?

Понятие «оператор» в значении, определенном в 152-ФЗ, значительно шире, чем мы привыкли считать. Согласно п. 2 ст. 3 упомянутого закона, оператор – это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

Персональные данные граждан в той или иной степени получает, обрабатывает и хранит практически каждая компания – при приеме на работу новых сотрудников или при переписке с клиентами – и любая из них может быть признана оператором персональных данных. Операторов можно разделить на две группы: на тех, которые обязаны уведомлять Роскомнадзор об обработке персональных данных, и тех, которые делать это не обязаны.

Кто не обязан уведомлять Роскомнадзор?

Перечень действий по обработке персональных данных, которые не требуют уведомления Роскомнадзора, приведен в ст. 22 152-ФЗ. К таким действиям относятся действия юридических лиц, которые получают и обрабатывают персональные данные граждан в следующих случаях:

  1. Для исполнения требований трудового законодательства.
  2. При заключении компанией договора с физическим лицом.
  3. Если персональные данные содержат только ФИО граждан.
  4. Если персональные данные раскрываются для предоставления разового пропуска.
  5. Если персональные данные обрабатываются без использования компьютера.
  6. Если персональные данные обрабатываются в целях транспортной безопасности.

Во всех перечисленных случаях компания не обязана уведомлять уполномоченный орган о том, что осуществляет сбор, обработку и хранение персональных данных. Тем не менее всегда существует риск того, что компания неумышленно может осуществлять такую обработку персональных данных, которая влечет за собой обязанность уведомлять Роскомнадзор.

Кто обязан уведомлять Роскомнадзор?

К таким операторам относятся компании, которые обрабатывают персональные данные на постоянной основе. В эту категорию попадают владельцы сайтов с регистрацией пользователей (с указанием ФИО, электронной почты и телефона), туристические агентства, банки, розничные магазины с клубными картами, медицинские клиники, бизнес-центры и т.п.

Список компаний и организаций, обязанных уведомлять Роскомнадзор об обработке персональных данных, не является исчерпывающим. Часто компании, получая персональные данные граждан, не осознают, что их обработка регулируется законом.

Что должен делать оператор?

Если компания относится к первой группе, то никаких действий предпринимать не требуется. Операторы персональных данных, входящие во вторую группу, должны подготовить необходимый пакет документов (перечень можно найти на сайте Роскомнадзора) и направить их в ведомство для внесения компании в реестр операторов персональных данных.

В настоящий момент в этом реестре зарегистрировано почти 370 тыс. компаний. Процедура регистрации не сложна, но после внесения в реестр оператор должен будет следить за изменениями, вносимыми в ФЗ «О персональных данных». Такие изменения могут повлечь необходимость подачи дополнительных документов в Роскомнадзор. Неуведомление уполномоченного органа об обработке персональных данных может привести к серьезным последствиям.

Каковы последствия нарушения требований закона?

В первую очередь компании необходимо оценить риск того, что факт обработки персональных данных, не подпадающий под ст. 22 152-ФЗ, будет выявлен Роскомнадзором. Если компания однократно произвела обработку персональных данных и работа с такими данными не является для нее постоянной, то риск привлечения к ответственности относительно низок.

Большинство ИT-компаний являются операторами персональных данных и максимально вовлечены в процесс их обработки. В связи с этим велика вероятность проверки Роскомнадзором соблюдения ими положений 152-ФЗ.

Роскомнадзор может привлечь к ответственности сотрудников, руководителя компании и саму компанию. Как правило, за различные выявленные нарушения – от нарушения порядка сбора, хранения и обработки информации о гражданах до несоответствия требованиям лицензий – на оператора персональных данных накладывается целый ряд штрафов. Крупные игроки ИT-индустрии помимо штрафов подвержены репутационным рискам, которые трудно оценить в денежном выражении. Центр обработки данных или оператор связи, не способный надлежащим образом организовать обработку персональных данных, может вызвать сомнение у потенциальных клиентов.

Необходимо также учитывать, что проверки Рос­комнадзора могут быть не только плановыми, но и организованными по заявлению третьих лиц или сотрудника компании, который сочтет, что при обработке персональных данных были нарушены его права.

Что могут обеспечить ЦОДы?

Организация надлежащей работы с персональными данными, требующаяся от любой ИT-компании, должна быть многосторонней. Она должна охватывать как юридические направления (правовые аспекты получения персональных данных), так и практические (организация процедуры хранения персональных данных, ведения журналов доступа к персональным данным и т.д.).

Логика законодательного ужесточения требований к процедурам обработки персональных данных обусловлена в первую очередь необходимостью обеспечения безопасности граждан. С каждым годом все больше персональных данных вовлекается в оборот во всемирной сети: номера телефонов, данные банковских карт, личная переписка – и все они должны храниться надежно. Многие компании передают хранение персональных данных специалистам – профессиональным операторам связи и дата-центрам. В такой ситуации сохранность персональных данных зависит от правильного выбора поставщика услуг. Центр обработки данных, имеющий не только отказоустойчивую инфраструктуру, но и надежную физическую охрану, в полной мере способен обеспечить защиту серверов клиентов и не допустить несанкционированного доступа к персональным данным. По этой причине большинство банков и крупных компаний доверяют хранение персональных данных ЦОДам высокого уровня надежности.  

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!