8 (800) 234-44-44
  • Главная
  • Блог
  • Персональные данные в облаках: оправданы ли опасения бизнеса?

Персональные данные в облаках: оправданы ли опасения бизнеса?

11 мая 2021 г.

Вопрос хранения и обработки персональных данных не первый год активно обсуждается как в бизнес-коммьюнити, так и среди ИТ-специалистов. Тема 152-ФЗ обросла множеством мифов и домыслов. Виной тому недостаточная осведомленность о реальном значении закона и подчас неверное толкование термина «персональные данные».

В этой статье мы развеем некоторые стереотипы о ПДн и постараемся разобраться, можно ли размещать ИСПДн в облаке и безопасно ли это.

Что относится к персональным данным

Многие полагают, что к ПДн может относиться любая личная информация, от ФИО до e-mail или номера мобильного телефона. В реальности все обстоит куда сложнее и интереснее.

Разберемся, что является персданными с точки зрения регулятора.

В категорию персональных данных попадают те данные, которые прямо или косвенно относятся к определяемому лицу, то есть субъекту ПДн.

Толкование на первый взгляд может показаться расплывчатым: как определить, какой минимальный набор данных о человеке стоит считать достаточным для классификации этого набора как персданных? Обратимся за разъяснениями к Роскомнадзору. В одной из своих публикаций регулятор отмечает, что:

  • данные считаются персональными, если их совокупный объем достаточен для идентификации лица, даже если они не включают никаких удостоверяющих личность документов.
  • если же без дополнительной информации установить конкретное лицо невозможно, такие данные считать персональными нельзя.

Чтобы понять, как работает эта механика на практике, рассмотрим несколько разноплановых сценариев.

Интернет-магазин

Предположим, вы являетесь хозяином интернет-магазина. Для оформления заявки покупателю предлагается заполнить поля с ФИО и номером телефона. Опционально можно указать адрес.

Все эти поля по отдельности не являются персданными как минимум по следующим критериям:

  • по ФИО невозможно установить конкретное лицо, так как в выборку могут попасть полные тезки;
  • номер телефона также не позволяет идентифицировать человека;
  • по одному и тому же адресу могут проживать разные лица.

Достоверно определить заказчика товара магазин может только по минимальному набору, состоящему из как минимум двух полей, например, ФИО и адрес.

Таким образом, хозяин интернет-магазина автоматически становится оператором персданных и обязан позаботиться об их защите согласно требованиям регуляторов.

Список фрилансеров

Интернет-агентство, принимающее заказы на верстку сайтов, ведет учет своих внештатных работников в Google-таблицах. Полных ФИО исполнителей в таблице нет, однако напротив каждого имени или никнейма присутствует поле «Номер банковской карты/счета». Как только аутсорс-специалист выполняет порученное задание, менеджер выполняет денежный перевод на указанный в графе номер счета.

Агентство в данном сценарии также выступает оператором персданных, так как номер банковской карты или счета подпадает под определение идентификатора, данное Роскомнадзором. Идентификатор — это некоторый набор сведений, который позволяет безошибочно идентифицировать конкретное лицо, которому они принадлежат.

К идентификаторам относятся:

  • Серия/номер паспорта;
  • Номер СНИЛС;
  • ИНН;
  • Набор биометрических данных;
  • Номер банковской карты или номер банковского счета.

В отдельную категорию Роскомнадзор выносит также данные, которые позволяют определить лицо с некоторой малой погрешностью:

  • ФИО, дата рождения и место прописки человека;
  • ФИО, дата рождения и занимаемая должность/место работы;
  • ФИО (или фамилия и инициалы) и любая дополнительная информация, которая однозначно выделяет некое лицо и позволяет идентифицировать его как определенную личность.

Агентство из примера является оператором ПДн, так как хранит информацию, позволяющую четко идентифицировать его внештатных сотрудников.

Важный аспект: сами по себе ФИО, адрес электронной почты, дата рождения или место проживания не являются персданных. В ряде случаев Роскомнадзор склонен рассматривать адрес электронной почты как ПДн, если в доменной части раскрывается место работы сотрудника, а сам адрес содержит полные имя и фамилию.

Кулинарный блог на WordPress и cookies

Даже примитивный блог на самой популярной CMS, собранный из сниппетов и плагинов может сделать вас объектом внимания регуляторов.

В последние годы Роскомнадзор вслед за европейскими коллегами стал пристальнее следить за данными пользователей, которые собираются сайтами или автоматически передаются в аналитические сервисы наподобие Метрики или Google Analytics. Это связано с тем, что современные технологии позволяют с достаточно высокой вероятности определить конкретного пользователя лишь по характерным следам, которые его браузер и компьютер в целом оставляют в интернете.

Файлы cookie и данные аналитики позволяют не просто отследить пользователя, но и составить на него некое цифровое досье, которое будет включать в себя его частые локации, предпочтения и паттерны поведения на сайте. Таким образом даже самые примитивные сайты (за исключением страниц, не содержащих javascript-кода и подключенных аналитических инструментов) обязаны получать у пользователей разрешение на обработку собранных в автоматическом режиме ПДн.

Усугубляет ситуацию также и то, что Google Analytics, вторая по популярности аналитическая система в РФ, физически размещена в облаке на территории США — страны, которая не обеспечивает адекватную российским требованиям защиту персданных.

Согласно перечню Роскомнадзора к ПДн, которые содержатся или могут содержаться в файлах Cookie, относятся:

  • ОС пользователя, включая версию системы;
  • Данные о местонахождении пользователя, полученные из часового пояса и времени браузера;
  • Язык браузера;
  • Разрешение экрана пользователя (или размер окна, в котором просматривается сайт);
  • Данные о глубине цвета монитора;
  • Поддержка Javascript в браузере (включая состояния «вкл/выкл» и версию языка);
  • Тип и скорость соединения пользователя с интернетом;
  • Белый IP-адрес пользователя, статический или динамический.

Персональные данные в облаке

Нарушение 152-ФЗ предусматривает для операторов персданных серьезное наказание. Соответственно, перед владельцами бизнеса и ИТ-специалистами встает закономерный вопрос: что делать, если я собираю или планирую собирать данные пользователей, подпадающие под определение персданных? Можно ли хранить персональные данные в облаке так, чтобы одновременно и соблюсти букву закона, и не стать жертвой злоумышленников?

Разумеется, далеко не любое облако подходит для размещения ИСПДн. Так, даже самые защищенные и безопасные зарубежные облачные провайдеры по определению не могут попасть в ваше поле зрение, так как это нарушает принцип «хранение и обработка персональных данных возможна только в пределах РФ».

Не подойдет и публичное облако российского оператора: несмотря на комплекс мер, которые предпринимает провайдер для защиты данных своих клиентов, их недостаточно для соответствия нормам регулятора.

Облачные провайдеры, в том числе и #CloudMTS, предлагают готовое решение этой проблемы: размещение персональных данных в «Облаке 152-ФЗ».

Со стороны сервис-поставщиков, оказывающих подобные услуги, гарантируется полное соблюдение норм действующего законодательства РФ в отношении хранения и обработки персданных. Дата-центры, в которых физически располагаются хранилища и ИТ-ресурсы, находятся на территории Российской Федерации и прошли аттестационные мероприятия.

Если компания размещает свои сервисы, как внутренние, так и доступные посетителям через интернет, в защищенном сегменте, это автоматически означает, что она, будучи оператором ПДн, проявила должную осмотрительность и обеспечила все необходимые меры для защиты данных своих пользователей.

В том случае, если по вине провайдера произошла утечка или в его инфраструктуре были выявлены несоответствия с нормами регулятора, виновником окажется именно он.

Как убедиться, что провайдер выполняет требования регулятора

При выборе инфраструктуры для размещения ИСПДн вы можете столкнуться с двумя типами документов, предоставляемых поставщиками сервисов:

  • декларация соответствия;
  • аттестат.

Что выбрать — решение с аттестатом или декларации соответствия будет достаточно? Чтобы ответить на этот вопрос, необходимо понимать ключевые отличия между этими документами.

Аттестат Декларация соответствия
Кто проводит процедуру Компания-лицензиат Самостоятельно, консалтер, компания-лицензиат
Соответствие ГОСТ Да Необязательно
Есть ли возможность сослаться на подтверждающий документ Да Не всегда
Есть ли возможность сослаться на подтверждающий документ Да Не всегда
Есть ли возможность сослаться на документ при аттестации государственной информационной системы Да Нет
Определен ли срок действия Да Не всегда зафиксирован
Есть ли разделение ответственности Да Нет

Итак, вы решили выбрать аттестованную инфраструктуру. Что стоит проверить при изучении документа:

  • требуемый уровень защищенности (УЗ) и класс защиты (К);
  • адреса физического расположения ресурсов;
  • срок действия документа.

Подводя итог, отметим: закон суров, но это закон. Прежде всего его действие направлено на защиту пользователей от действий злоумышленников. Обладая персональными данными, они могут нанести вред репутации, частной жизни и/или финансовому положению лиц, информация о котором из-за неосмотрительности оператора оказалась скомпрометированы.

Поделиться
Персональные данные в облаках: все, что нужно знать о защите, хранении и обработке ПДн в облачном хранилище, не нарушая 152-ФЗ, а также, какие данные считаются персональными, какие нет.

Другие статьи

/ Решим ваши задачи