Рано или поздно с вопросом обработки персональных данных сталкивается любой интернет-предприниматель. Когда проект набирает критическую массу клиентов, приходится задумываться о том, как привести документы на сайте в порядок. Но на практике дело не ограничивается лишь размещением в Сети оферты или описаний правил работы сайта.
Всем известно, что на сайте должен присутствовать документ, который регламентирует правила обработки и хранения добровольно переданных клиентами данных. Но о том, что дальше делать с этим данными, и как правильно обеспечивать их сохранность и безопасность, знают далеко не все.
Закон о персональных данных
Когда вы регистрируетесь на сайте, который принадлежит российской компании, то практически любая информация, которую вы указываете о себе, подпадает под действие Федерального закона РФ №152 «О персональных данных». Это означает, что владелец ресурса, будь то интернет-магазин, социальная сеть или «облачный» сервис, обязан защищать вашу личную информацию от злоумышленников и не раздавать направо и налево.
Негативных примеров того, как обращаются с личной информацией – масса. Взять хотя бы поток SMS-предложений от сервисов такси или турагентств.
Но бывают случаи посерьезнее, причем вызваны они могут быть ошибкой программистов. Так, в прошлом году в Сеть утекли десятки тысяч SMS, отправленных с сайтов операторов сотовой связи. В сообщениях, которые легко можно было найти в Яндекс или Google, обнаруживались паспортные данные и пароли к социальным сетям. Информацию клиенты вам могут предоставлять разную, от имени и фамилии, до данных по пластиковым картам и даже истории болезней. Чем важнее информация – чем выше за нее ответственность.
Кратко о законе
С точки зрения владельцев сайта закон - головная боль, особенно для начинающих предпринимателей, у которых к хронической нехватке денежных средств добавляется отсутствие опыта в решении бюрократических задач.
Полную версию закона можно изучить . Мы же приведем краткую информацию, написанную обычным человеческим языком.
Основные определения
Персональные данные (ПД) – информация, которая определяет физическое лицо. Например:
- фамилия, имя, отчество,
- год, месяц и дата рождения,
- адрес,
- социальное положение,
- доходы,
- телефон,
- образование и т.д.
Оператор персональных данных – организация, государственная или частная, или физическое лицо, которые собирают, хранят и обрабатывают персональные данные. В нашем случае – это интернет-магазин, социальная сеть или онлайн-сервис, например, «Яндекс.Метрика».
Субъект персональных данных – физлицо, которое передает личные данные оператору.
Устаревшие и актуальные требования: будьте внимательны
При попытке подробнее узнать о законе ФЗ №152, первым делом в поисковике обнаруживаются статьи, в которых рассказывается о классах, категориях и объемах ПД.
Эти термины использовались в совместном приказе Минкомсвязи ФСТЭК и ФСБ, который в народе назывался «Приказ Трех». Документ перестал действовать с от 1 ноября 2012 г, в котором на смену классам пришли уровни защищенности (УЗ).
УЗ сейчас описаны для всех видов информационных систем. Это значит, что операторы могут самостоятельно определить уровень защищенности для своего интернет-сервиса. Чего пока не хватает – так это конкретных требований по защите для каждого уровня УЗ. Пробелы закроют следующие постановления.
По словам нашего эксперта Андрея Прозорова из IBS Platformix, прошлые требования к защите классов формально утратили силу. Тем операторам, которые уже провели комплекс мер по защите сервисов, эксперт советует следующее:
1. Актом или протоколом утвердить УЗ и указать дополнительные свойства информационной системы согласно ПП1119.
2. Дождаться новых требований к защите ИСПД и надеяться, что переделывать придется немного.
Подробно изучить классификацию УЗ можно в , я же, чтобы не утомлять читателя, приведу ниже таблицу и дам краткие пояснения.
Уровней защищенности – четыре, аналогично количеству классов, которые использовались ранее. УЗ определяются на основе актуальных угроз (АУ), количества обрабатываемых ПД в системе, типа ПД и чьи именно ПД оператор обрабатывает – сотрудников или клиентов. Разложим по полочкам.
Актуальные угрозы:
1-2 уровни связаны с наличием закладок в программном обеспечении, то есть недекларированных возможностей. Это лазейки, через которые можно получить доступ к сайту. Эти угрозы, очевидно, присутствуют в любом сервисе.
3 уровень – все остальные менее значимые угрозы.
Определение уровня АУ связано с определением возможного вреда от несанкционированного использования ПД.
Количество персональных данных
- Больше или меньше 100 000 субъектов.
Тип персональных данных
- Биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых оператор может установить личность субъекта персональных данных).
- Специальные (религиозные взгляды, состояние здоровья, расовая принадлежность и т.д.).
- Общедоступные (получаемые из общедоступных источников в соответствии с 152-ФЗ).
- Другие.
Чьи персональные данные
В ИСПД могут использоваться данные сотрудников, или же данные клиентов, допустим, в записях заказов интернет-магазинов.
Таблица. Определение уровня защищенности ИСПД (правые колонки)
Меры по защите персональных данных
Очевидно, что кардинально меры по защите ПД с переходом на УЗ не изменятся. Расскажу об общих принципах защиты.
Помните: чем больше ПД вы собираете, тем больше мер придется принять. Поэтому стоит подумать, без каких сведений вы можете обойтись, чтобы снизить риски и объем работы. Кроме того, в некоторых случаях ПД стоит разнести по разным базам данных и уменьшить срок хранения сведений о пользователях.
Разделить меры можно на два вида: организационные и программно-технические. К первым относятся:
- классификация информационной системы,
- выявление возможных угроз,
- создание плана действий по защите данных и должностных инструкций,
- утверждение перечня лиц, которые допущены к обработке ПД.
К программно-техническим можно отнести:
- проверку оборудования,
- установку сертифицированных антивирусов, сетевых экранов и криптографических средств,
- налаживание системы разграничения доступа, регистрации и учета,
- использование средств защиты от утечек информации по различным каналам.
Что и в каком количестве необходимо устанавливать определяется на шаге выявления угроз и типа хранящихся ПД. Лучше всего отдать задачу по защите данных на аутсорс – то есть в стороннюю организацию с лицензией ФСТЭК. Цена вопроса для самых-самых личных данных (класс 1 по старой классификации) начинается примерно от 300 000 рублей.
Помимо работы по установке сертифицированных антивирусов, сетевых экранов и спецприложений, аутсорсеры оформят за вас кучу бумаг, которые будут свидетельствовать о принятых мерах. Это могут быть должностные инструкции, приказы, акты о ликвидации ПД клиентов, подтверждения покупки сертифицированных программ и т.д. Если случится прокол, вы всегда сможете подать в суд на подрядчика и переложить на него часть ответственности.
Ответственность за нарушение персональных данных (за работу сайта без проведения защитных мер) многогранна, в основном проходит по административной линии (штрафы, предписания, приостановка деятельности предприятия). При этом наказывается нарушение требований по защите ПД. Поскольку явного требования к лицензированию и аттестации нет, то за это прямо не наказывают. Наказывают за отсутствие мероприятий по защите (отсутствие документов, регламентов, процедур, технических мероприятий).
Что нужно для работы сайта
Хорошая новость: чтобы собирать персональные данные для интернет-магазина или онлайн-сервиса, никакая лицензия не требуется. Необходимо лишь провести мероприятия по защите данных.
Получать лицензии ФСТЭК и ФСБ России необходимо только в том случае, если вы оказываете услуги по технической защите информации. Например, помогаете интернет-сервисам правильно организовать работу с ПД или обещаете клиентам защищать их данные.
Примеры таких лицензий можно посмотреть на сайтах хостинг-провайдера , сервиса онлайн-дневников и компании .
Оферта на сайте необходима, если вы запрашиваете у пользователя любые личные данные. Примеры и варианты реализации таких договоров стоит смотреть на крупных сайтах. Нам понравилось, как это сделано на tcsbank.ru. Написано кратко и доступно для пользователя, что встретишь редко.
Сервис обязан уведомить субъекта, с какой целью и в каком порядке будут использоваться его персональные данные. Это не обязательно делать отдельным документом, можно включить в общие правила сервиса.
Следует обратить особое внимание и на то, как хранятся у вас персональные данные клиентов. Удостоверьтесь, что к ним не имеют доступ поисковые роботы (проверьте хотя бы файл правил для поисковиков robots.txt, который находится в mysite/robots.txt). Также убедитесь, что доступ к личным данным клиентов имеют только те сотрудники, которым это требуется.
Основные части оферты
В этой главе я перечислю основные моменты, которые должны присутствовать в оферте о персональных данных. Примеры можно посмотреть по ссылкам выше.
Если вашим сервисом могут воспользоваться несовершеннолетние – внесите пункты, что требуется согласие родителей или опекунов.
Укажите дальнейший маршрут данных пользователя: будут ли они передаваться третьим лицам и аффилированным компаниям.
Кратко опишите, для чего и сколько времени собираетесь хранить данные, а также как клиент может затребовать удаление данных.
Опишите, какие данные и с какой целью предоставляет пользователь.
Итого
Оказывается, работать с персональными данными не так страшно и затратно, особенно если у вас небольшой проект. Для большинства сервисов достаточно разработать оферту и усилить контроль за программистам, чтобы внутренние страницы клиентов не стали достоянием Google.
Главное же, что надо помнить: чем меньше сведений вы собираете – тем безопаснее работа для вас, как оператора.
Об авторе
Алексей Талан, руководитель стартапа "Витамин знаний" в бизнес-инкубаторе ИТ-парка г. Казань.
