1.09.2015 в России начал действовать законно локализации баз персональных данных, который связан непосредственно с законом «О персональных данных».  Многие агентства, работающие с зарубежными компаниями (а именно их обычно беспокоит вопрос сохранности персональных данных), не обладают исчерпывающей информацией по этому вопросу и не знают, как этот закон применять и какова сфера его влияния.

Данная статья помогает разобраться со следующими вопросами:

  1. Что регулирует этот закон?
  2. На кого он распространяется?
  3. Каковы его основные требования?
  4. Чем грозит нарушение закона физическим и юридическим лицам?
  5. Как правильно выполнять указанные в законе требования и как донести до клиента, что закон соблюдён?

Что регулирует этот закон?

Для начала давайте разберёмся, что же называют персональными данными. К ним относят любые сведения о физическом лице. Даже адрес электронной почты с указанием лица, которому этот адрес принадлежит, считается персональными данными.

Агентства имеют дело, как минимум, с персональными данными сотрудников, их близких родственников, кандидатов на открытые вакансии и, конечно, своих клиентов.

Персональные данные делятся на:

  1. Специальные (национальность, раса, политические взгляды, вера, состояние здоровья, философские убеждения и т.д.).
  2. Биометрические (особенности физиологии человека, позволяющие установить личность).
  3. Общедоступные (размещённые физ.лицом в сети Интернет, располагающиеся в справочниках и т.д.).
  4. Иные (всё, что не подходит под первые три категории).

Как раз первые два пункта и предусматривают особые требования к обработке.

Возвращаясь к поставленному изначально вопросу, закон регулирует обработку (и всё, что с ней связано) персональных данных физ.лиц юридическими лицами, бюджетными организациями и ИП, которые просто обязаны обрабатывать эти данные правильно и защищать их в соответствии с установленными нормами.

На кого распространяется закон?

Под действие закона попадают все операторы персональных данных: физ. и юр.лица, бюджетные организации и ИП, которые занимаются обработкой персональных данных физ.лиц.

Однако прежде всего действие закона связано с фирмами, работающими в таких сферах, как:

  • Гостиничное дело;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Бюджетные организации;
  • Офлайн- и онлайн-ритейл;
  • Реклама и диджитал.

Главным «надзирателем» в сфере персональных данных является Роскомнадзор, он же и следит за такими компаниями и разновидностями обработки ПД:

  • Для оказания услуг;
  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для рекламных и новостных рассылок;
  • Для выдачи карт лояльности;
  • Для звонков потенциальным клиентам;
  • Для регистрации на сайтах и информационных системах.

Каковы его основные требования?

Условно все требования можно разделить на 4 группы.

1. Подготовка организационно-распорядительных бумаг.

По закону операторы ПД должны иметь локальные акты и политику, устанавливающую нормы обработки и защиты ПД.

Роскомнадзор при проверке требует ряд необходимых документов, которые обычно предоставляются в виде копий.

Однако в законе не прописан точный перечень документов, поэтому каждый оператор ПД волен составлять этот список по своему разумению, основываясь на тексте закона.

2. Приведение процессов работы с ПД к установленным нормам.

По закону ПД нужно правильно не только обрабатывать и передавать, но и собирать.

При сборе ПД всегда должен заключаться договор или браться согласие на их обработку.

При передаче данных контрагенту или приёме данных от него нужно составлять соглашение  поручении на их обработку.

Необходимо ознакомить всех сотрудников с документацией по обработке и защите ПД. Они должны расписаться за проведённый инструктаж и подписать документ о неразглашении.

Далее необходимо подать в Роскомнадзор уведомление об обработке ПД.

3. Установка технической защиты ПД в базах и системах.

При хранении ПД в информационных системах необходимо составить акт, указывающий уровень их безопасности, затем спроектировать модель угроз и создать техническое задание для системы защиты ПД. Следующим шагом должно стать внедрение проекта системы защиты фирмой или подрядчиком со специальной лицензией.

Данным пунктом в списке требований почти всегда пренебрегают, так как подходящий антивирус стоит очень дорого, а проверяется данное требование  крайне редко.

4.  Хранение базы ПД на территории РФ.

Закон гласит, что ПД граждан РФ с 1.09.2015 могут собираться и храниться только на территории РФ.

Роскомнадзор постановил: все операторы должны предоставить данные о локализации баз ПД до 29.02.2016.

Соблюдение требований закона проверяется Роскомнадзором, ФСТЭК и ФСБ.

В случае, когда хостинг-провайдер использует зарубежные сервера для обработки ПД, ответственность за это несёт конечный клиент.

Чем грозит нарушение закона физическим и юридическим лицам?

При выявлении нарушений могут применяться следующие меры:

  • Штраф в размере до 300 000 рублей (для организаций);
  • Штраф в размере до 10 000 рублей (для должностных лиц);
  • Прекращение сотрудничества с должностным лицом;
  • Отстранение от работы с последующим запретом занимать руководящие должности на срок до трёх лет (для руководителей);
  • Блокировка интернет-ресурса компании (с 1.09.2015 Роскомнадзор может сделать это без надлежащей проверки, основываясь только на жалобе физ.лица);
  • Занесение компании в «чёрный список» нарушителей.

Немного цифр: с начала 2015 года за нарушения этого закона фирмы и должностные лица были оштрафованы в сумме на 174 миллиона рублей.

Как правильно выполнять указанные в законе требования и как донести до клиента, что закон соблюдён?

Что касается соблюдения требований, возможно несколько вариантов:

1. Собственными силами.

Если вам не жаль времени на изучение законов, подзаконных актов, технических аспектов, поиск и создании шаблонов и пробу своих сил на практике (при отсутствии гарантий, что вы всё сделаете правильно) – дерзайте.

2. С помощью юриста.

Здесь главное – выбрать подходящего юриста, обладающего необходимыми знаниями, навыками и имеющего опыт работы с Роскомнадзором. Уточняйте все необходимые детали перед наймом.

3. При помощи системного интегратора.

К этому методу прибегают обычно крупные частные и государственные учреждения.

Плюсы:

  • Высокое качество услуг.
  • Наличие гарантий.
  • Выполнение всей необходимой работы.

Минусы:

  • Огромная стоимость.
  • Долгие сроки исполнения.

4. Понадеяться на удачу.

Сомнительный в данной ситуации плюс: изначально – никаких затрат.

Минус: когда-нибудь удача закончится, и требования придётся выполнить, и штраф составит от 30 до 300 тысяч рублей за единичное нарушение.

5. Использовать специальные сервисы.

Плюсы:

  • Доступность для человеческого понимания.
  • Адекватная стоимость.
  • Работа выполняется оперативно.
  • У некоторых сервисов существует услуга предоставления гарантий и помощи при проверках.

Очевидные минусы:

  • Способ не работает, если речь идёт о крупных компаниях.
  • Сервисы не смогут полностью обеспечить внедрение системы защиты ПД.

Вопрос о выполнении данного закона лучше решить прямо сейчас.

Во-первых, это прямая обязанность любой организации, работающей с ПД.

Во-вторых, ситуация такова, что в настоящее время клиенты (особенно зарубежные) часто запрашивают документы, подтверждающие выполнение закона «О персональных данных».

Ну и в-третьих, с помощью этого закона на вас могут давить как органы исполнительной власти, так и ваши же конкуренты.