en ru

Почти два года минуло с того момента, как были приняты последние поправки к закону «О персональных данных». Теперь на сайтах повсеместно установлены формы согласия на обработку личной информации и уведомления о сборе cookies. Но хорошо ли компании понимают, как хранить собранные данные без нарушений законодательства? 

Разговор становится еще более неоднозначным, когда речь заходит о мессенджерах – одном из основных способов общаться с клиентами сегодня. Оказывают ли они влияние на соблюдение законодательства? Ответить на этот вопрос особенно важно крупному бизнесу, которые обрабатывают большие объемы информации.

Сразу отметим: закон регулирует в том числе обращение с данными, которые работодатель получает у сотрудников. Мы не станем касаться этой стороны проблемы и поговорим только о взаимоотношениях с клиентами.

Что такое персональные данные, и кто считается их оператором?

В официальных документах конкретного определения персональных данных нет: к ним причисляются любые сведения, которые дают возможность идентифицировать человека. Приблизительный список выглядит следующим образом:

  • ФИО;
  • день и место рождения;
  • адрес;
  • телефонный номер;
  • e-mail;
  • фото;
  • семейный статус;
  • образование и вид занятий;
  • уровень доходов;
  • ссылки на аккаунты в соцсетях или на сайты.

К персональной информации эти сведения относятся как по отдельности, так и в совокупности. Так что, если ваш веб-сайт собирает только имя и телефонный номер, вы уже будете считаться полноценным оператором персональных данных. А, следовательно, к вопросу их хранения предстоит отнестись с максимальной тщательностью.

Что стоит учесть при хранении персональных данных?

ФЗ-152 запрещает «раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных». Оператор обязан обеспечить хранимой информации подходящий уровень защищенности. Если кратко, то следует соблюдать следующие меры:

  • защитите помещение, в котором хранятся данные, от взлома и утечки;
  • первичная БД в обязательном порядке должна находиться на серверах в РФ;
  • избегайте сбора и хранения данных, которые не нужны вам для работы: вы должны быть в состоянии объяснить, для каких целей используется та или иная информация; незаконный сбор данных влечет за собой наложение штрафа;
  • соблюдайте подходящий уровень защищенности.

Как узнать требуемый уровень защищенности данных?

В этом вопросе закон весьма точен: уровни защищенности описаны в требованиях к защите персональных данных при их обработке в информационных системах. Ориентироваться предстоит на три фактора.

1. Категория

  • Специальные категории: гражданство, религиозные, политические, философские убеждения, сведения о здоровье и интимной жизни.
  • Биометрические данные – вес, рост, фото, отпечатки пальцев и остальные физиологические сведения, указывающие на конкретного человека.
  • Общедоступные данные – те, которые пользователь лично разместил в открытом доступе: в соцсетях, на сайте или других общедоступных местах.
  • Прочие категории – те сведения, которые невозможно причислить к вышеуказанным пунктам.

2. Количество субъектов – до ста тысяч или свыше этого числа.

3. Актуальные угрозы – причины, по которым хранящиеся персональные данные могут быть скомпрометированы. Существует три вида угроз:  

  • уязвимости ОС;
  • уязвимости ПО, используемого при работе с персональными данными;
  • прочие угрозы – в частности, человеческий фактор.

Установить, какой уровень защищенности вам требуется, поможет таблица ниже.

Чем различаются уровни защищенности персональных данных?

Таких уровней всего четыре. Последний содержит три основных требования:

1. безопасность помещений, где хранятся данные:

  • запрет доступа посторонним;
  • наличие замков и видеонаблюдения;
  • разработка системы контроля и управления доступом;
  • опечатывание оборудования и входов в конце рабочего дня.

2. безопасность носителей:

  • ведение учета носителей;
  • размещение носителей в сейфах;
  • шифрование данных – в этом случае можно обойтись без сейфов.

3. безопасность информации:

  • анализ возможных угроз;
  • обеспечение криптографической защиты от атак;
  • обязательное шифрование при существовании угрозы кражи или попадания данных в руки мошенников.

4. подготовка документа со списком сотрудников, имеющих право находиться в хранилище и работать с персональными данными.

На третьем уровне добавляется еще одно требование: необходимо наделить одного из сотрудников полномочиями по обеспечению безопасности персональных данных.

Для поддержания второго уровня следует ограничить доступ к содержанию электронного журнала сообщений: его могут иметь только сотрудники оператора персональных данных или уполномоченного лица.

На первом, наиболее продвинутом уровне защищенности предстоит установить сигнализацию и в автоматическом режиме фиксировать каждое изменение прав доступа.

Какие последствия будут, если не соблюдать закон?

Во-первых, это чревато проблемами для тех, чьи данные вы хранили ненадежно. Вот лишь некоторые из возможных угроз:

  • преступники могут разместить их в интернете;

  • телефоны и адреса e-mail незаконно попадут в спам-базы;

  • профили в соцсетях будут взломаны, а субъекты персональных данных пострадают от незаконного вторжения в личное пространство;

  • ваши клиенты станут жертвами аферистов в сфере недвижимости и финансов.

Недовольные клиенты могут подать на компанию в суд. А если в ходе проверки выяснится, что вы неправильно обращаетесь с персональными данными, то пострадает и компания. Уполномоченные органы могут конфисковать оборудование, потребовать приостановки работы предприятия, наложить штраф, заблокировать веб-сайт и отозвать лицензию оператора персональных данных.

Я управляю общением в мессенджерах через чат-центр. Это что-то меняет?

Чат-центр – еще одна сторона, которая получает доступ к персональным данным. В большинстве случаев именно на его серверах будут храниться полученная через мессенджеры информация – но при этом ответственным все равно будет оператор, то есть вы. Значит, именно вам предстоит разобраться, где находятся сервера и соответствуют ли законодательству условия хранения.

Я не хочу брать ответственность за действия чат-центра. Можно ли этого избежать?

Для этого потребуется on-premise, или in-house, подключение: оно позволяет настроить программное обеспечение на своих серверах. Работа с персональными данными и доступ к оборудованию будут полностью под вашим контролем и, если возникнет необходимость, вы без проблем усилите защиту.

Такое решение может быть накладным: предстоит потратиться на оборудование, настроить ПО и обеспечить бесперебойную работу серверов. Но, если безопасность для вас приоритетна, расходы окупят себя.

Как настроить on-premise?

Chat2Desk предоставляет программное обеспечение в формате, который вы сможете развернуть на своих серверах. Сотрудникам техподдержки потребуется к ним доступ, чтобы настроить и поддерживать работу платформы – но такое решение исключает возможность скопировать данные, к тому же вы полностью будете контролировать действия третьей стороны.

Поделитесь этой статьей:
Статьи по теме
Облако тегов