Использовать Dropbox, «Яндекс.Диск», Google Docs или облачные сервисы удобно и выгодно. Вот только, если дело касается обработки персональных данных, должно быть не только удобно-выгодно, но и законно. Мы попросили специалистов дата-центра GreenBushDC рассказать, как организовать процесс хранения и обработки персональных данных в облаке в соответствии со 152-ФЗ.
Как защищать персональные данные по закону
Чтобы разобраться с этим вопросом, вспомним о том, что относится к персональным данным и какими они бывают.
ФИО, дата и место рождения, фотография, отпечатки пальцев, сведения о доходе, номер телефона, e-mail, данные паспорта, СНИЛС или ИНН — все это персональные данные.
По сути, все компании так или иначе хранят и обрабатывают персональные данные, то есть являются операторами ПД. При этом ПД делятся на общедоступные, биометрические, специальные и иные, количество субъектов ПД может быть до или более 100 000, а защищать персональные данные нужно от трех типов угроз. От этих трех параметров — количество субъектов ПД, категории и типа угроз — зависит уровень защищенности.
Всего есть четыре уровня защищенности. Первый — самый жесткий и строгий, для него нужно реализовать 69 требований. Четвертый — базовый, он рассчитан на начальный уровень защиты.
Важно! Законодательство РФ не оговаривает разницу между защитой ПД на физических носителях и в облаке. В обоих случаях вы должно обеспечить данным соответствующие меры безопасности.
Защита ПД в облаке
В облачных сервисах к мерам защиты персональных данных относятся:
- Подтверждение согласия субъекта ПД на обработку данных. Здесь у юристов есть две позиции. Одни считают, что от клиентов/партнеров/сотрудников нужно получить согласие на обработку данных в облачном сервисе. Другие уверены, что достаточно согласия без указания места хранения и обработки. Вопрос спорный, правового свойства, но в любом случае, согласие должно быть.
- Реализовать требования в соответствии с уровнем защиты. Для четвертого уровня достаточно антивируса и регулярного обновления ПО, для третьего все вышеперечисленное, плюс контроль уязвимостей и ограничение доступа к настройкам системы. Для первого и второго уровней понадобится приватное облако на собственном оборудовании и аттестация в соответствии с 152-ФЗ.
- Реализовать требования по локализации. Закон 152-ФЗ не запрещает передачу персональных данных граждан РФ на зарубежные сервера, но изначально они должны быть локализованы в базе данных на территории России.
Кто несет ответственность за соблюдение требований закона?
Ответственность за хранение и обработку персональных данных несет оператор, то есть организация или физическое лицо, которое эти данные получило и использует. Провайдер, который предоставляет доступ к облачному сервису, не владеет этими данными и не имеет к ним доступа, поэтому и не несет за них ответственность. Ответственность провайдера услуги, в нашем случае ЦОДа, распространяется на уничтожение ПД (после расторжения контракта) и стабильность IT-инфраструктуры, развернутой на физических серверах. Сетевая безопасность, поддержание изолированной инфраструктуры и контроль доступа к облаку с персональными данными лежит в сфере ответственности оператора.
