Персональные данные (ПД) – это любая информация о физическом лице. Сегодня сведения о большинстве граждан являются частью глобальных баз данных. Без предоставления своих персональных данных никто не может открыть банковский счет, устроиться на официальную работу, купить сим-карту, подать документы в учебное заведение и совершить другие повседневные действия.

С сентября 2015 года на территории России действует новый закон «О защите персональных данных». Он включает в себя массу нововведений, основным из которых является запрет на хранение любой информации о жителях РФ на серверах в других странах. Теперь все данные должны добавляться в базы, серверы которых функционируют в Российской Федерации. Рассмотрим детальнее, что регулирует закон и какие правила хранения информации предусматривает.

Что относится к персональным данным?

Под понятием персональных данных понимают любые сведения, которые относятся к живому человеку. Сбор, хранение и обработку такой информации регулирует закон. В каждой стране есть свои нормы и принципы работы с ПД.

Современные информационные и коммуникационные технологии контролируют всю информацию о людях (история оплаты кредитными картами, звонки сотового телефона, позволяющие идентифицировать человека с точностью до 100 метров, интернет-соединение). Личные данные представляют значительную коммерческую ценность, а из-за этого возникают утечки информации:

• файлы незаконно покупаются и продаются;
• взлом серверов с целью копирования базы данных;
• слив информации по неосторожности со стороны ее владельца.
• Персональные данные включают в себя:
• биографическую информацию;
• текущую ситуацию с жильем, включая даты рождения, номера социального страхования, номера телефонов и адреса электронной почты;
• внешний вид и поведение, включая цвет глаз, вес и характер;
• данные о рабочем месте и информация об образовании, включая зарплату, налоговую информацию и номера учащихся;
• частные и субъективные данные. Сюда также относят религию, политические взгляды и данные гео-отслеживания;
• здоровье, заболевания и генетику, историю болезни, генетические данные и информацию о болезни.

Новый закон, сбор и обработка информации

Новый закон, запрещающий хранение персональных данных российских граждан в других государствах, стал причиной проблем для многих отечественных и заграничных компаний, которые хранят данные пользователей в облаках. Теперь эти компании должны не только организовывать сложную и трудоемкую миграцию информации на российские серверы, но также они обязуются соответствовать законодательству РФ в целом, включая его положения о сборе, хранении, использовании и защите.

Соблюдение этого законодательства остается одним из наиболее важных и сложно решаемых вопросов ведения законного онлайн-бизнеса в России.

Перед началом обработки персональных данных оператор должен уведомить ответственный государственный орган (Роскомнадзор) о персональной обработке сведений и предоставить ему требуемую законом информацию. В свою очередь, Роскомнадзор обязуется вести специальный реестр персональных данных операторов и обновлять его для получения новой информации.

Положения Закона об обработке ПД физического лица предусматривают:

• обработку персональных данных в соответствии с трудовым законодательством;
• использование личной информации исключительно в рамках подписания и заключения договора с физическим лицом и в интересах этого лица;
• письменное согласие человека на обработку данных.

Оператор должен также уведомить Роскомнадзор о любых изменениях в информации, которые связаны с обработкой персональных данных, в течение 10 дней после внесения таких изменений.

Основным и общим условием для юридического сбора и обработки персональных данных является согласие субъекта на выполнение действий с его личной информацией. Однако существуют исключения из этого правила. Согласие не понадобится в таких случаях:

• ситуации, когда персональные данные используют законопослушные средства массовой информации при условии, что права и законные интересы человека не нарушаются;
• второе исключение относится к обработке персональных данных с целью розыска человека.

Если организация намерена хранить личные данные в специальной базе данных и использовать их после выполнения трудового договора или договора купли-продажи, без согласия субъекта информация не может быть передана третьи лицам. На практике такое требование часто не соблюдается. В Сети можно найти массу площадок, на которых продаются базы данных телефонных номеров, адресов, паспортов и других важных составляющих персональной информации человека.

Методы сбора данных

Термин «сбор персональных данных» подпадает под общее определение «обработки личной информации». На практике понятие обработки персональных данных включает действия оператора при сборе информации, содержащей ПД, непосредственно от физических лиц либо от третьих лиц, которые получили личные данные легально. Сведения можно собирать по-разному: из специальных опросов, анкет, договоров, контрактов, справок и других документов.

Важно отметить, что закон подробно не рассматривает сам процесс сбора данных, из-за чего подвергся критике. Юридический анализ принятого пакета статей позволил выделить три основных метода сбора личных сведений субъекта:

1. Прямое получение персональных данных от субъектов через телефонный разговор, в письменной форме, через веб-интерфейс сайта или другие средства, которые связаны с основной деятельностью оператора данных.
2. Сбор персональных данных посредством маркетинговых действий, начиная от регистрации в дисконтной системе или программе лояльности и заканчивая участием в конкурсе или лотерее.
3. Сбор информации через покупки.

Обработка информации

Обработка персональных данных включает в себя их распределение и совместное использование, а также настройку доступа к таким сведениям. Коммерческие компании могут проводить с информацией любые действия, с которыми согласился субъект, с целью получения финансовой выгоды. К таким действиям относят рассылку рекламы, звонки с различными торговыми предложениями, персонализированный анализ данных.

До 2015 года допускалось хранение персональной информации граждан Российской Федерации на серверах, расположенных за границей. Сегодня все компании и организации обязуются использовать только те сервисы хранения, которые расположены на территории страны. Согласно новому законодательству, ряд мероприятий, связанных с персональными данными, включая сбор, регистрацию, систематизацию, накопление, хранение, обновление, изменение и получение персональных данных, должен осуществляться через базы данных, расположенные в Российской Федерации.

Явных исключений из этого ограничительного подхода мало: все они связаны с деятельностью государственных органов, общественными интересами, средствами массовой информации, научными, литературными или иными творческими видами деятельности, а также выполнениями международных соглашений (например, данные в авиабилете, услуги по бронированию). Никаких исключений для любых других категорий персональных данных нет.

Несмотря на отсутствие конкретных и простых требований к операторам ПД, конкретизации в официальных правилах, многие положения закона были приняты без детального рассмотрения.

В законе не указывается, будут ли иностранные компании без физического присутствия в России собирать ПД, но Роскомнадзор заявляет, что законодательные требования будут применяться к любой компании, которая не ориентирована на хранение данных о жителях РФ на территории страны.

Поскольку закон не содержит какого-либо определения «первичного сбора данных», обязательство записывать, систематизировать, накапливать, хранить, обновлять, изменять и извлекать личные сведения, используя расположенные в России БД, применяется везде, где собираются данные.

При записи и хранении информации на серверах, расположенных на территории России, персональные данные могут по-прежнему быть доступными из-за границы или переведены за границу в соответствии с трансграничной технологией передачи данных. Таким образом, личные сведения российских граждан могут обрабатываться в базах данных, расположенных за пределами Российской Федерации, при условии, что вся вновь собранная информация в итоге будет передана для хранения в РФ. Также все данные, хранящиеся за рубежом, должны храниться одновременно и в России.

Вопрос о том, как точно определить гражданство пользователей, должен быть разрешен каждым отдельным оператором персональных данных.

Правила хранения

Правила хранения персональных данных можно условно разделить на несколько шагов, каждому из которых обязуется следовать работодатель или компания, которая заинтересована в сборе ПД:

1. Шаг 1. Каждая организация обязуется издать свои локальные акты, в которых описывается процесс регулирования хранения личной информации клиентов и сотрудников.
2. Шаг 2. Необходимо утвердить официальный документ, в котором указывается перечень типов используемой информации.
3. Шаг 3. Создание службы, которая ответственна за обработку ПД. Для малого и среднего бизнеса достаточно назначения одного уполномоченного сотрудника.
4. Шаг 4. Роскомнадзор обязан проводить регулярные проверки. Для ускорения этого процесса до официального аудита властей должны быть подготовлены все заявления работников с согласиями на использование ПД, базы данных и журналы учета.
5. Шаг 5. Установка метода хранения данных – локально или на облачном сервере. Создание системы безопасности и шифрования информации для максимального исключения вероятности ее утечки в будущем.

Срок хранения

Срок хранения данных зависит от их типа. Закон регулирует автоматическое очищение серверов с целью минимизации затрат. К примеру, личные сообщения пользователей мессенджеров и социальных сетей должны храниться на облаке оператора не более 30 дней. Служебная переписка, данные сотрудников и клиентов не могут удаляться на протяжении 1 года.

В настоящее время рассматривается возможность сокращения установленных сроков, так как большинство провайдеров не могут выполнить эту норму за неимением финансовой и технической возможности.

Недостатки нового закона – возможна ли утечка данных?

Среди основных критических замечаний к изменениям 2015 года были следующие:

• Закон использует основные условия международных конвенций, но, в отличие от национального законодательства во многих европейских странах, он не уточняет все нюансы с достаточной детализацией – как следует организовать хранение информации и какие необходимо использовать инструменты.
• Закон о персональных данных устанавливает требования к обработке персональных данных, которые являются очень строгими, часто дорогостоящими, и вряд ли их можно выполнить без помощи специализированных компаний с соответствующими государственными лицензиями, которых на территории РФ практически нет.
• Стоимость выполнения этих требований или их аутсорсинга наносит финансовый ущерб компаниям.
• Не учитывается специфика отдельных видов бизнеса. Требования одинаковы для всех – от банков до крупных компаний и малых предприятий.
• Побочным эффектом реализации этого закона, по мнению экспертов, может быть значительное увеличение уровня коррупции.