Методы работы с персональными данными в облаках

Мы уже говорили о преимуществах работы в облаке. Советуем прочитать эту статью, спойлер: работать действительно удобнее и надежнее.

Но, если вы собираете и обрабатываете персональные данные в облаке, то вам необходимо знать о российском законодательстве, дабы в будущем не получить штраф.

Что же нужно знать?

Во-первых, нужно разобраться с самими персональными данными: они относятся к конкретному физическому лицу (субъекту). То есть, если в информационной базе содержится поименный список людей с их вариантами ответов, то это персональные данные. Анонимные опросы таковыми не являются.

Персональные данные разбиваются на четыре вида, о которых тоже нужно знать, чтобы в дальнейшем определить уровень защиты.

1.          Биометрические: фото, отпечатки пальцев и голос.

2.          Общедоступные: ФИО, номер телефона, профессия, возраст и место рождения.

3.          Специальные: раса, религиозные и политические убеждения, информация о здоровье.

4.          Иные: остальные личные данные (предпочтения в музыке, информация о домашних животных и так далее).

Если компания собирает данные, то по закону №152-ФЗ она должна обеспечить их защиту.

Требования к оператору персональных данных

Уровень защиты зависит от вида персональных данных, объема, отношений между компанией и владельцем данных и типе угроз.

Типы актуальных угроз:

1. Угрозы, связанные с недокументированными возможностями в системном ПО.

2. Угрозы, связанные с недокументированными возможностями в прикладном ПО.

3. Угрозы, не связанные с ПО.

Как же определить тип угрозы? Единого способа нет. Однако если вы используется сертифицированное ПО, то про угрозы первого и второго типа можно забыть. Если же сертификата нет, то уровень определит исключительно специалист по технической безопасности.

После того, как вы разобрались с вышеперечисленными аспектами, можно выяснить уровень защищенности системы.

Всего существует 4 уровня:

4-й уровень подойдет для общедоступных и иных персональных данных с третьим типом угроз. Этот уровень самый простой, для его обеспечения требуется лишь своевременная проверка и обновление антивируса.

3-й уровень распространяется на все типы персональных данных со вторым и третьим типами угроз. Данный уровень используется большинством компаний. Он требует ограничения настроек информационной системы и регулярную проверку.

2-й уровень также подходит для любых типов данных, но уже при первом типе угроз. Необходима установка системного обнаружения вторжений, защита от спама и наличие резервного копирования.

1-й уровень подойдет для биометрических и специальных данных с первым типом угроз. Потребуется установка ПО, разрешенного специальной службой безопасности. Самый сложный уровень защищенности системы.

Вам нужно будет через интернет заполнить анкету о защите, видах и месте хранения персональных данных. Данную форму советуем заполнять с юристом, специализирующимся в этой области, чтобы не наткнуться на подводные камни. Если вы пропустите данный этап, то можете получить штраф.

ВАЖНО: регистрироваться нужно вне зависимости от количества субъектов персональных данных. Даже если это один человек, зарегистрироваться все равно придется.

3.      Получить согласие на обработку персональных данных.

Чтобы персональные данные собирать и обрабатывать, вам необходимо получить на это согласие. Вы все-таки становитесь свидетелем его личной информации, которая может использоваться самыми разными способами. Поэтому получать и обрабатывать данные пользователя без его согласия – незаконно.

Немного про провайдера

Помимо вышеперечисленных правил важно знать о том, что закон требует обеспечить размещения базы персональных данных граждан РФ на территории страны. Обновление, изменение и извлечение данных должно осуществляться сначала в России, только потом их можно передавать за рубеж при необходимости.

Однако! Облачный провайдер не несет ответственности за утечку данных и другие нарушения, вся ответственность ляжет на оператора персональных данных, поэтому нужно тщательно подходить к выбору провайдера.

Немного про защиту данных в облаке

Мы не раз подчеркнули важность защиты персональных данных. Облако считается защищенным при наличии аттестата соответствия №152-ФЗ, который выдают специальные органы и подтверждают, что все сделано в соответствии с нормами и законами.

Облачное хранилище 1С имеет данный аттестат, так что надежная защита вашей базе персональных данных обеспечена. Кроме этого, 1С бесплатно перенесет всю базу в облако и окажет поддержку по любому вопросу и в любой ситуации.

Что в итоге?

1.      Обратите внимание на законы №152-ФЗ, №242-ФЗ (а также №149-ФЗ и №294-ФЗ).

2.      Обеспечьте защиту персональных данных, основываясь на их видах, количестве субъектов, отношениями между компанией и субъектами и типах актуальных угроз.

3.      Зарегистрируйтесь в Роскомнадзоре, несмотря на количество субъектов.

4.      Не забудьте про согласие на обработку персональных данных.

5.      База персональных данных должна быть размещена на территории РФ.

6.      Тщательно выбирайте облачный провайдер, обратите внимание на услуги 1С.