Пересылка персональных данных по электронной почте

Главная — Бизнес-задачи — Защита персональных данных — Пересылка персональных данных по электронной почте

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Технологии позволяют мгновенно обмениваться огромным объемом информации по электронной почте, включая и персональные данные. Как обеспечить надежную защиту персональных данных, которые передаются через веб-интерфейсы почтовых онлайн-сервисов?

Безопасность при передаче ПД в электронной форме

В соответствии с нормами 152-ФЗ персональными данными считается информация, которая позволяет идентифицировать человека. Но закон не содержит конкретного списка данных, поэтому нужно максимально полно и точно определить, какие данные могут являться персональными.

Например, в случае передачи с использованием электронных средств логин не будет относиться к ПД, так как нельзя установить, кому конкретно он принадлежит. А вот ФИО и номер мобильного телефона в комплексе с электронной почтой уже позволяют определить физическое лицо. Это значит, что сбор информации в таком сочетании, вероятнее всего, будет расцениваться как процесс сбора и хранения ПД.

Очевидно, что оператором персональных данных является организация, которая любым способом получает данные, включая ФИО, домашний адрес и адрес электронной почты, телефонный номер, семейное положение, размер доходов и другие сведения. Статус оператора означает, что нужно соблюдать нормы закона «О персональных данных».

Собственники сайтов с личными кабинетами, механизмами обратной связи, регистрационными формами, анкетами и другими полями, в которых пользователи могут оставлять свои ПД, также подпадают под определение «оператор персональных данных».

Если на сайте есть кнопка, которой посетитель может воспользоваться, к примеру, для консультации, отправив свое имя и телефонный номер, данный ресурс также может быть квалифицирован как площадка для обработки ПД.

Данные, хранящиеся в собственных электронных архивах для личных целей или нужд семьи, не подпадают под закон о персональных данных. Но в случае, если владелец архива передаст информацию лицам или компаниям, которые в соответствии с законом считаются операторами ПД, или опубликует данные в открытом доступе, это будет расценено как нарушение.

Как не нарушить закон?

Чтобы при обработке персональных данных не нарушить требования закона, необходимо соблюдать ряд условий:

Разместить на своих ресурсах для всеобщего ознакомления сведения о принципах работы с ПД клиентов компании и/или посетителей сайта.
Просить предоставлять только такие персональные данные, которые необходимы для определенной цели. К примеру, не требовать данные паспорта или адрес проживания для рассылок с помощью электронной почты.
Прежде чем получить ПД, которые планируется публиковать в общедоступных источниках характера, нужно взять письменное согласие на обработку, распространение и хранение у каждого пользователя, клиента, подписчика. Если информация не будет публиковаться, а необходима только для работы непосредственно внутри предприятия, нужно создать явное ограничение для возможности передачи ПД без получения согласия на обработку.
Применять персональную информацию исключительно для целей, о которых уведомлены субъекты данных. Использовать допускается только те сведения, которые были указаны в публично представленных документах, имеющих отношение к обработке ПД.
Предоставлять субъекту персональных данных сведения, если он подал запрос, о том, какие данные о нем есть у предприятия в электронном и/или печатном виде, каким образом и для каких целей информация обрабатывается, кому передается.
Незамедлительно выполнить требование субъекта ПД об удалении сведений из базы данных.
Хранить электронные базы в надежном, защищенном от постороннего доступа месте, создавать эффективную систему защиты от взлома или утечки.

Определить приказом (распоряжением) лицо, ответственное за создание безопасных условий хранения, обработки и других действий с ПД, в соответствии с требованиями ФЗ-152.
Обучать работников компании правилам работы с ПД.
Зарегистрироваться в Роскомнадзоре в качестве оператора персональных данных.

Средства криптографической защиты информации

Передавать или готовить к передаче ПД сотрудников с использованием электронной почты необходимо по каналам связи с выходом за границы контролируемых зон по следующим ТСР-портам:

HTTPS-443;
HTTP-80;
IMAP-143;
IMAP-993;
SMTP-25, 587, 465;
POP3-110, 995.

Во время передачи ПД по электронной почте должны соблюдаться меры безопасности, которые обеспечат эффективной антивирусную защиту; предотвратят попытки раскрытия ПД, модификации, ввода заведомо ложных данных; позволят вовремя обнаружить и должным образом отреагировать на попадание в информационные системы ПД незапрашиваемых писем, спама и других сообщений, которые не относятся к персональной информации.

Передача или подготовка к выполнению действий с ПД с помощью электронной почты без применения средств криптографической защиты информации (СКЗИ) считается разглашением персональных данных. Это нарушает требования к защите, установленные законом. К операторам ПД, которые не используют СКЗИ, могут применить один из видов ответственности: дисциплинарной, гражданско-правовой, административной и даже уголовной.

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

ЗАКАЗАТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.