Конфиденциальность и хранение персональных данных

27.07.2006 вышел Закон о защите персональных данных. Формулировки Закона настолько туманны, что невозможно даже понять, что является персональными данными, а что нет, и за все годы, прошедшие с момента принятия Закона, несмотря на ряд принятых дополнительно Постановлений, полной ясности в этот вопрос внесено не было. Однако это вовсе не повод для оптимизма, это означает в первую очередь, что в случае возникновения каких-то проблем Закон будет трактоваться в пользу обвинения.

В этой статье мы не ставили задачи разъяснения Закона, оставляем это юристам, здесь же попытаемся дать общие рекомендации, как построить работу с персональными данными клиентов, чтобы его не нарушать (или нарушать не очень грубо).

Что же считается персональными данными?

Не из формулировки Закона, а только из общих соображений считается, что это набор сведений, которые однозначно идентифицируют конкретного человека. Например, являются ли фамилия, имя и отчество персональными данными? По всей видимости, нет, т к можно найти множество людей, для которых эти данные полностью совпадают. Однако добавление адреса или даты рождения делает такой набор сведений уже персональными данными. В то же время один только адрес также не может считаться персональными данными, по этому адресу может проживать несколько человек.

Очевидно, что паспортные данные являются персональными, т к однозначно идентифицируют конкретного человека, равно как и номер мобильного телефона, поскольку при его получении необходимо эти паспортные данные указывать. Однако и тут есть некоторые разночтения, да, телефонный номер зарегистрирован на конкретного человека, но выяснить, на кого именно, могут только сотрудники правоохранительных органов и нескольких других организаций, имеющих доступ к соответствующим базам мобильных операторов. Предпологается, что сами базы удовлетворяют требованиям Закона и надежно защищены от несанкционированного доступа.

Чем грозит несоблюдение закона?

Закон, который не очень понятно, как выполнять, тем не менее, устанавливает вполне конкретные наказания за невыполнение:

• Штрафом за нарушение законодательства о персональных данных (обычно налагается после проверки, максимальный размер — 10 000 рублей;
• Штрафом за неустранение нарушений (максимальный размер — 20000 рублей);
• Штрафом за непредоставление сведений в Роскомнадзор (максимальный размер — 5000 рублей).
• Кроме этого, законопроект об изменениях в законе «О персональных данных» ещё в конце 2013 года отправился в Государственную Думу. Он предполагает увеличение максимальной суммы штрафа за невыполнение требования закона до 300 000 рублей.

Оператор персональных данных

Если компания собирает и обрабатывает сведения о клиентах, которые могут считаться персональными данными, то она является оператором персональных данных, и поэтому должна организовать и получить соответствующую лицензию на систему хранения и обработки персональных данных. Это серьезная работа, требующая значительных финансовых затрат. Позволить это могут себе только очень крупные компании.

Что же делать многочисленным интернет-магазинам, которые балансируют на грани рентабельности?

Согласие на обработку

Некоторые компании размещают в формах регистрации на своих сайтах "галочку" под названием «Согласие на обработку персональных данных». Формулировка может быть значительно более детальной, испрашивая разрешение на передачу их в курьерскую компанию для доставки заказа. Лучше всего поместить на сайт ссылку на «политику в отношении обработки персональных данных», где подробно описать все случаи использования и методы обработки таких данных.

Является ли это достаточной мерой, чтобы удовлетворить требованиям Закона? К сожалению, нет.

Дело в том, что, получив от клиента персональные данные, мы начинаем нести ответственность за их сохранность, и принимать определенные меры по предотвращению несанкционированного доступа, а это значит, что наш интернет-магазин должен пройти сертификацию, как система хранения персональных данных. Даже не заостряя внимание на стоимости такой лицензии, можно с уверенностью сказать, что проверки магазин не пройдет.

Ничего не собирать!

Какой же основной вывод? Очень простой. Чем меньше сведений о клиентах у нас будет, тем проще будет жить.

Ведь что нам реально надо знать о клиенте? В большинстве случаев нужны:

• имя, чтобы было к кому обращаться;
• e-mail, чтобы знать, куда отправлять сообщения о покупке;
• адрес, куда доставить покупку;
• телефон для связи с курьером.

Из всех перечисленных только телефон может вызывать какие-либо сомнения на тему, что он является персональными данными. Однако, это просто контактный телефон, он может с тем же успехом быть стационарным телефоном в офисе клиента, мы же не требуем указывать непременно мобильный. Да и с мобильным телефоном тоже вопрос неоднозначный, о чем мы упоминали выше.

Если же после получения заказа удалять из базы сайта все эти данные, то компанию вообще нельзя обвинить в нарушении Закона.

К счастью, в последнее время клиенты и сами не спешат оставлять на сайтах лишние сведения. Более того, если в форме регистрации или оформления заказа слишком много полей, обязательных для заполнения, это может даже привести к отказу от покупки, и клиент предпочтет уйти на сайт конкурента, у которого требования к регистрации не такие жесткие. Еще лучше, если регистрация вообще не требуется. Это вполне логично. У нас же не требуют паспорт при покупке батона хлеба.

Конфиденциальность и маркетинг

Однако как же удовлетворить требования маркетологов, которые хотят знать о клиентах как можно больше, чтобы делать персонифицированные рассылки, а при входе на сайт показывать индивидуально подобранные предложения?

Тут тоже не может возникнуть проблем. История посещения сайта эффективно хранится в "куках" на компьютере самого клиента, и конечно же, эта история не является персональными данными. Пол клиента в большинстве случаев можно определить по имени, возраст - по совокупности интересов. И, получив все эти сведения, можно хранить их вместе с e-mail адресом в базе сайта. Идентифицировав клиента по "кукам", где мы при первом посещении сайта сохранили некий ID (просто число), мы уже знаем при каждом новом заходе, что именно надо предложить конкретно этому посетителю.

Если же посетитель "продвинутый" и удалит наши "куки" - ничего страшного, сайт перестанет его "узнавать", но при очередном заказе мы сравним указанный e-mail с имеющимися в базе и снова "привяжем" к посетителю все добытые сведения.

Получается, что все то обилие информации, которое мы пытались получить раньше, нам совершенно не нужно, главное - уметь правильно использовать те сведения, что мы получаем и так, не заставляя клиента заполнять огромные формы.

Полезные ссылки для юристов

И не только для юристов, но для всех, кто хочет быть «в теме». Приведены ссылки на другие сайты, поэтому мы не отвечаем за их работоспособность. Если какая-либо ссылка не работает, попробуйте поискать документ по названию.

Постановления, приказы, методические рекомендации

Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении Требований и методов по обезличиванию персональных данных», утверждены руководителем Роскомнадзора 13.12.2013

Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

Методический документ «Меры защиты информации в государственных информационных системах», утвержден ФСТЭК России 11.02.2014

Информационное сообщение ФСТЭК России по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 июля 2013 г. № 240/22/2637

Информационное сообщение ФСТЭК России об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных, от 20 ноября 2012 г. № 240/24/4669

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка), ФСТЭК России, 2008 год

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 2008 год

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденны руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденны руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622