После вступления в силу п.4 ч.2 ст.19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" каждое предприятие обязано привести свои информационные системы и процессы, связанные с обработкой персональных данных, в соответствие с требованиями Законодательства РФ.

Что это означает для юридических лиц?

Организации обязаны обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Таким образом они становятся «организациями-операторами персональных данных». Контролировать выполнения требований Законодательства будет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), ФСТЭК и ФСБ России.

Федеральный закон касается компаний любой организационной формы – это и государственные органы, федеральные и муниципальные учреждения: банки, страховые компании, медицинские учреждения, операторы связи, интернет-магазины, торговые сети, производственные компании и прочие организации, обрабатывающие персональные данные, полученные от работников, клиентов и иных физических и юридических лиц.

В обязанности организации-оператора входит:

• обеспечение законности обработки персональных данных;
• построение системы защиты персональных данных в соответствии с требованиями ФСТЭК и ФСБ России;
• отправка уведомления в Роскомнадзор;
• разработка внутренней документации;
• проведение аттестационных испытаний или оценки соответствия;
• систематическая актуализация системы защиты персональных данных.

Зачастую, это оказывается сложной и затратной задачей, в том числе и из-за необходимости получения документа, подтверждающего эффективность принятых мер защиты персональных данных. Именно поэтому большинство компаний предпочитает оптимизировать этот процесс за счет поиска надежного партнера с готовым решением во внешней виртуальной инфраструктуре.

Для исполнения всеми юридическими лицами на территории России одноименного закона ФЗ-152 мы - хостинг сайт в сотрудничестве с компанией WELLSERVICE - предлагаем менее затратное и трудоёмкое решение: вынесение систем хранения и обработки персональных данных в защищенную облачную систему, которую мы называем – «ИСПДн в облаке».

Серверы для информационных систем персональных данных (ИСПДн) предоставляется любым компаниям, расположенным на территории и являющимися резидентами Российской Федерации.

Что такое «ИСПДн в облаке»?

Продукт «ИСПДн в облаке» – отдельный защищенный виртуальный сервер, по выбранному вами тарифу, полностью соответствующий требованиям ФЗ-152.

Каждый «ИСПДн в облаке» – полностью изолированный объект. Это означает, что доступ к вашему ИСПДн со стороны хостинг-провайдера заблокирован с помощью сертифицированных средств защиты и абсолютно конфиденциален!

Конфиденциальность обрабатываемой информации достигается за счет:

• Доступ к данным находящимся на «ИСПДн в облаке» ограничен с помощью сертифицированных ФСТЭК России средств защиты от несанкционированного доступа (НСД) и с помощью функций гипервизора виртуальных машин (являющего частью сертифицированного средства защиты).
• Данные, передаваемые по каналам связи от терминала организации-оператора персональных данных до сетевого интерфейса виртуальной машины, шифруются с помощью сертифицированного ФСБ России средства криптографической защиты информации (СКЗИ). Дисковые образы виртуальных машин также шифруются с помощью СКЗИ.
• Ни один из дата-центров не обладает никакими ключами доступа к средствам СКЗИ, размещённым в виртуальной машине клиента. Так, например, для загрузки операционной системы на VPS клиент самостоятельно вводит пароль от криптоконтейнера, содержащего системный раздел. Эта процедура реализована с применением специально разработанного нашей компанией загрузчика операционной системы на виртуальной машине. При этом, ключи доступа в любой момент могут быть перегенерированы пользователем виртуальной машины самостоятельно, а криптоконтейнер соответственно может быть перешифрован.
• Доступность и целостность обрабатываемой информации обеспечивается применением зарезервированных каналов связи, надёжных систем хранения данных, устройств охлаждения и бесперебойного питания. Наши партнеры – лучшие дата-центы России: Миран, IXCellerate, KIAEHOUSE.

Что «ИСПДн в облаке» дает компаниям в России?

Простая процедура: мы возьмем на себя весь комплекс организационно-правовых и технических работ - разработка модели угроз безопасности, концепцию системы защиты, методику аттестации, непосредственное проведение аттестационных испытаний и оформление аттестата соответствия. Выбрав наш продукт «ИСПДн в облаке», вам НЕ ПОТРЕБУЕТСЯ ПОЛУЧАТЬ СОГЛАСИЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ при их сборе.

Существенная экономия: наш продукт освобождает компанию-заказчика от затрат на создание и владение защищенной IT-инфраструктурой для хранения, обработки и защиты персональных данных. Более того, размещение ИСПДн в облаке предоставляется как услуга, компания-заказчик не имеет капитальных затрат.

Наши преимущества:

• защищенная система «ИСПДн в облаке» прошла все необходимые аттестации, как полностью соответствующая всем требованиям законодательства РФ в области персональных данных;
• полное соответствие требованиям ФСТЭК и ФСБ России всех аппаратных, программных, а также сетевых элементов системы;
• вам не потребуется получать согласие субъектов персональных данных при их сборе;
• консультации и сопровождение на всех этапах внедрения и работы с продуктом.
• полный пакет организационно-распорядительных и регламентирующих документов;
• отсутствие капитальных затрат.

Каков процесс оказания услуг?

1

Регистрация представителя компании-заказчика на нашем сайте и последующее заполнение анкеты-заявки на услугу «ИСПДн в облаке»: необходимость аттестации, реквизиты организации, вид деятельности.

В зависимости от требований ИСПДн вы выбираете подходящий тарифный план с нужными параметрами сервера: объемом диска и оперативной памяти.

Заключение договора на оказание услуги «ИСПДн в облаке» и проведение оплаты.

На основании предоставленных данных мы подготовим для вас комплект организационно-распорядительных и регламентирующих документов, включая положение о персональных данных, акт классификации ИСПДн, модель угроз и другие необходимые документы. Специалист нашей компании проконтролирует правильность заполнения и утверждения этих документов.

Мы согласовываем с вами дату выездной аттестации рабочего места. После выезда специалиста и проверки всех требований к рабочему месту, вы получаете аттестат соответствия и весь пакет документов, удостоверяющий полное соответствие вашей ИСПДн требованиям и нормам №152-ФЗ "О персональных данных" и всех подзаконных актов.

Наши лицензии и аттестаты

* Стоимость защищенного сервера ИСПДн с пакетом документов и процедурой аттестации при оплате за 1 год.

Продажа защищенной инфраструктуры для хранения и обработки персональных данных по представленным тарифным планам осуществляется с минимальным сроком — 1 год.

При заказе первого сервера в ИСПДн взымается установочная плата в размере 11 300 рублей.

• Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ

Публикации

С сентября 2015 года в Российской Федерации начало действовать положение о локализации хранения персональных данных (242-ФЗ от 21.07.2014). Данное нововведение, безусловно, оказалось одним из основных драйверов на Российском рынке хостинга и облачных вычислений, заставив, как операторов персональных данных, так и хостинг-провайдеров, в очередной раз задуматься над тем, как обеспечить соответствие такой, казалось бы, простой сущности, как веб-сайт, требованиям законодательства о персональных данных.

Несмотря на то, что Федеральный закон от 27.07.2006 г. N 152-ФЗ "О персональных данных" принят уже достаточно давно, далеко не все к нему приспособились и научились его исполнять. Отчасти благодаря большому количеству нормативных документов и регулярно выходящим изменениям к ним. На сегодняшний день они исходят из четырех ведомств: Правительство, Роскомнадзор, ФСТЭК и ФСБ. А также благодаря достаточно взвешенной позиции регулятора, который, вместо политики забивания гвоздей, избрал стратегию плавного, но неотвратимого закручивания гаек.

Если крупный бизнес и органы государственной власти, как наиболее дисциплинированные участники рынка, по большей части уже привели свои информационные системы персональных данных (ИСПДн) в соответствие законодательству, то средний и мелкий бизнес только сейчас начинает осознавать, что для дальнейшего существования и развития, ему все-таки придется выйти из тени, в том числе и в части исполнения законодательства о персональных данных, тем более, что этой самой тени остается все меньше и на всех ее уже начинает не хватать.

Что же делать владельцу веб-сайта, на котором собираются и хранятся персональные данные пользователей (например, в личном кабинете интернет-магазина)? Давайте вместе попробуем в этом разобраться.

Если веб-сайт собирает персональные данные, то он является информационной системой персональных данных и подпадает под действие 152-ФЗ

Вот что по этому поводу говорит сам Роскомнадзор: «Согласно п. 9 ст. 3 Федерального закона «О персональных данных» информационная система персональных данных – это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. В случае соответствия веб-сайта указанным требованиям он является информационной системой».

Что такое персональные данные, мы все интуитивно знаем, но важно понимать, что это такое с точки зрения законодательства. Согласно пункту 1 статьи 3 Федерального закона № 152-ФЗ, персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. То есть, это практически все, что угодно: от ИНН до цвета волос и размера обуви, не говоря уже о номере телефона и адресе, будь то электронный или почтовый.

Таким образом, интернет-магазин или просто веб-сайт, где есть личный кабинет или регистрация пользователей, онлайн заказ, бронирование, оплата, оформление доставки и т.д. и т.п, в терминах 152-ФЗ, все это является информационной системой персональных данных (ИСПДн), а его владелец - оператором персональных данных.

В законе о персональных данных учтены тренды на облачные вычисления и аутсорсинг

Про актуальность и перспективность ИТ-аутсорсинга, особенно для компаний сектора малого и среднего предпринимательства, сказано и написано уже немало, поэтому в этой статье я не буду агитировать читателя «за облака». Тем более, что нам всем и так хорошо известно, что большинство сайтов в интернете размещаются на публичных веб-серверах провайдеров хостинговых услуг.

Причин тому достаточно много, но самая главная - это безусловно здравое желание компаний сэкономить, дешево получить веб-сервис с высокой доступностью. Создание собственной вычислительной инфраструктуры, обладающей надежностью, хотя бы сравнимой с ЦОДом стандарта Tier-III - это миллионы рублей. Во-первых, нужно соответствующее помещение: не коридор, не подвал, не чердак, чтобы его не затопило, и чтобы туда не имели доступ посторонние. Нужны вентиляция и кондиционирование, причем с определенной избыточностью. Нужно организовать автономное и резервное электроснабжение. Для этого надо где-то поставить ДГУ. Наконец, нужна физическая охрана и обслуживающий персонал. Кроме того, для гарантированной доступности сервиса, придется купить полный комплект запчастей к серверному и сетевому оборудованию. То есть, вместо одного сервера, фактически придется купить два.

Естественно, что с развитием облачных вычислений, технологий виртуализации и явно выраженной тенденции к переходу на аутсорсинг, все больше компаний из сектора СМБ стремятся перенести свои информационные системы с «подстольных» системных блоков на облачные вычислительный ресурсы, расположенные в отвечающих современным индустриальным стандартам вычислительные центры.

В информационных системах любого предприятия хранится и обрабатывается определенное количество персональных данных. Это могут быть, как персональные данные сотрудников предприятия, так и данные клиентов или контрагентов. Корпоративные информационные системы довольно разнообразны, как функционально, так и технологически. Это может быть и система автоматизации бухгалтерского учета, например, 1С и сайт с личным кабинетом пользователя и интернет-магазин. При этом, эти информационные системы, как правило, взаимосвязаны – передают друг-другу информацию, в том числе персональные данные.

Согласно п.3 ст.3 152-ФЗ, обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Таким образом, размещение ИСПДн на сервере провайдера, - это ничто иное, как передача на аутсорсинг, как минимум, таких функций по обработке персональных данных как: запись, хранение, чтение (извлечение), передача и удаление.

Согласно п.2 ст.3 152-ФЗ, оператор (персональных данных) - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Соответственно, хостинг-провайдер, принявший на себя функции по хранению и передаче персональных данных, является их оператором, наряду с владельцем сайта (информационной системы, обрабатывающей эти персональные данные) и, согласно законодательству, обязан принять определенные меры для обеспечения их безопасности. На самом деле, все не так плохо и надо отдать должное авторам закона "О персональных данных" № 152-ФЗ и Постановления Правительства № 1119 от 01.11.2012, которые предусмотрели передачу оператором персональных данных части функций по их обработке на аутсорсинг сторонним организациям.

Законодательное регулирование размещения веб-сайтов, обрабатывающих персональные данные на хостинге, предоставляемом сторонней организацией

Оператор персональных данных вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора (поручения). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством. В поручении оператора должен быть определен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных (п. 3. ст. 6 152-ФЗ).

Таким образом, хостинг-провайдер, как и владелец сайта, является оператором персональных данных, обрабатывающихся на сайте и отвечает за их доступность, сохранность и безопасность. С одной лишь разницей - владелец сайта несет ответственность перед субъектами ПДн, и, в предусмотренных законодательством случаях, обязан получать от субъектов разрешения на обработку персональных данных, а хостинг-провайдер, как уполномоченное лицо, несет ответственность перед владельцем сайта, получает от него персональные данные и хранит их, но за получение разрешения от субъектов не отвечает.

Вообще, тема получения согласия субъектов на обработку их персональных данных очень большая и интересная и, безусловно, заслуживает отдельной статьи.

Разграничение зон ответственности хостинг-провайдера и владельца сайта за соблюдение требований к защите персональных данных

Согласитесь, несправедливо будет перекладывать всю ответственность за безопасность персональных данных на хостинг-провайдера. Ведь зачастую, он и понятия не имеет, кем, как и на чем написан размещаемый на его сервере сайт. Какие там используются пароли для авторизации доступа к ПДн, в каком виде они хранятся, да и используются ли они вообще.

Согласно Постановлению Правительства №1119 (пункты 13 - 16), для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

№	Требование ПП 1119	Требуемый уровень защищенности	Зона ответственности
	Организация режима обеспечения безопасности помещений, в которых размещена информационная система	УЗ-4; УЗ-3; УЗ-2; УЗ-1;	Хостинг-провайдер;
	Обеспечение сохранности носителей персональных данных		Хостинг-провайдер;
	Утверждение руководителем оператора перечня лиц, имеющих права доступа к персональным данным
	Использование сертифицированных средств защиты информации (прошедших процедуру оценки соответствия требованиям законодательства)		Хостинг-провайдер;
	Назначение должностного лица, ответственного за обеспечение безопасности персональных данных	УЗ-3; УЗ-2; УЗ-1;	Владелец сайта; Хостинг-провайдер;
	Доступ к содержанию электронного журнала сообщений возможен исключительно для лиц, имеющих соответствующие права доступа	УЗ-2; УЗ-1;	Владелец сайта; Хостинг-провайдер;
	Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудников оператора по доступу к персональным данным	УЗ-1;	Владелец сайта, хостинг-провайдер
	Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных		Владелец сайта, Хостинг-провайдер

Хостинг-провайдер должен иметь лицензию Роскомнадзора на оказание услуг связи

Как известно, для оказания услуг связи, требуется лицензия Роскомнадзора. Это следует, например, из пункта 36 статьи 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».

Согласно перечня наименований услуг связи, вносимых в лицензии на осуществление деятельности в области оказания услуг связи, утвержденного постановлением Правительства РФ от 18.02.2005 № 87), к лицензируемым услугам связи, в том числе, относятся:

• Телематические услуги связи (именно к ним относится хостинг);
• Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации.

Для размещения сайтов, обрабатывающих персональные данные, хостинг-провайдер должен иметь лицензию ФСТЭК

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - регулирует деятельность, связанную с технической защитой информации, занимается вопросами государственной политики в данной области законодательства, стандартизации, лицензирования, а также проводит соответствующие проверки.

Поскольку хостинг-провайдер, как уполномоченное по договору-поручению лицо, является оператором персональных данных, он обязан предпринимать технические меры по их защите, то есть оказывать услуги по технической защите информации, которые, в соответствии с положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением правительства Российской федерации от 3 февраля 2012 г. N 79 относятся к лицензируемым видам деятельности.

В состав организационных и технических мер по обеспечению безопасности персональных данных, утвержденных приказом ФСТЭК №21 от 18.02.2013, входят:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации;
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств связи и систем передачи данных;
• выявление инцидентов, и реагирование на них;
• управление конфигурацией ИСПДн и СЗПДн.

Для выполнения работ по обеспечению безопасности персональных данных допускается привлекать на договорной основе сторонние организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации (пункт 2 абзац 2 Приказа ФСТЭК №21).

Ряд мер по обеспечению безопасности персональных данных требует наличия у хостинг-провайдера лицензии ФСБ

В состав мер по обеспечению соответствующего уровня защищенности персональных данных, согласно Приказа ФСТЭК №21 включены следующие мероприятия:

• Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети (УПД.13);
• Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи (ЗИС.3);
• Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов (ЗИС.11);

Исходя из сути этих мер, понятно, что для их реализации необходимо использование средств криптографической защиты информации (СКЗИ). Как известно, вопросы, связанные с использованием СКЗИ в Российской Федерации регулирует Федеральная служба безопасности (ФСБ России).

Согласно положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, утвержденному Постановленим Правительства РФ от 16.04.2012 г. № 313, в перечень работ, составляющих лицензируемую деятельность, в том числе входят:

• Разработка защищенных, с использованием криптографических средств, информационных и телекоммуникационных систем;
• Монтаж, установка, наладка криптографических средств и, защищенных с их использованием, информационных и телекоммуникационных систем;
• Работы по обслуживанию криптографических средств;
• Передача криптографических средств и, защищенных с их использованием, информационных и телекоммуникационных систем;
• Предоставление услуг по шифрованию информации.

Вычислительный центр хостинг-провайдера должен находиться на территории РФ

C 1 сентября 2015 года в Российской Федерации вступило в действие положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», согласно п.1 ст.2 которого, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

При этом, важно отметить, что трансграничная передача персональных данных, как таковая, не запрещена, но законодательно регулируется. Подробнее об этом можно прочитать в ст. 12 152-ФЗ.

Коротко о главном

Итак, обобщим вышеизложенное.

Веб-сайт является информационной системой персональных данных, если его функционал позволяет вводить, хранить или просматривать персональные данные. Хорошим примером может служить практически любой сайт с личным кабинетом, возможностью онлайн-бронирования, заказа или покупки с доставкой и т.д.

Обработка персональных данных клиентов в режиме онлайн - это не только необходимость современной электронной коммерции, но и широкие возможности для маркетинга, описание которых вполне заслуживает отдельной статьи.

Владелец сайта, являющегося ИСПДн, обязан подать уведомление в Роскомнадзор, в котором указать: какие персональные данные он хранит и обрабатывает, где физически размещены сервера, на которых функционирует ИСПДн. Об этом можно прочитать в моей статье «Как подать уведомление в РКН и не попасть в просак».

Договор с хостинг-провайдером, помимо количественных и качественных характеристик вычислительных ресурсов, в обязательном порядке должен содержать поручение на обработку персональных данных, с указанием конкретного перечня действий, которые будут с ними совершаться, в нем должны быть указаны цели и порядок обработки персональных данных, требования к их защите, а также должна быть установлена ответственность провайдера за безопасность персональных данных.

Помимо стандартных для хостинговых компаний лицензий Роскомнадзора на оказание телематических услуг связи, для защиты персональных данных, обрабатывающихся на сайтах клиентов, хостинг-провайдер должен иметь лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации и лицензию ФСБ на оказание услуг, связанных с использованием шифровальных (криптографических) средств.

И, наконец, сервер провайдера, на котором физически хранятся персональные данные, должен находиться на территории Российской Федерации.

Итак, в данной статье рассмотрены многие, но далеко не все аспекты размещения ИСПДн на вычислительных ресурсах провайдеров облачных услуг. Более подробную информацию можно получить из нижеперечисленных документов и информационных ресурсов:

Законодательство

• Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
• Приказ ФСТЭК России от 18.02.2013 № 21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

  Telegram Passport позволит идентифицировать личность пользователя. Все необходимые документы и данные нужно будет единожды загрузить в Telegram, а потом можно будет мгновенно передавать их партнерам Telegram. Планируется, что уже к моменту запуска нового сервиса с его помощью можно будет воспользоваться услугами нескольких таких партнеров, в том числе Qiwi.

  Подробнее...

С 01.09.2015 года вступили поправки к федеральному закону “О персональных данных" (Закон 152 ФЗ) .
Согласно закону, данные, которые клиент вводит на вашем сайте должны хранится на территории РФ.
И это еще не все. О том, кого коснется этот закон и что делать, в нашей в статье.

С 1 сентября 2015 года вступили поправки к закону “О персональных данных”.
Согласно этому закону, все данные, которые клиент вводит на вашем сайте и которые являются именно персональными данными (паспортные, адреса, в т.ч. e-mail, платежные данные и т.д.) должны храниться на территории Российской федерации.

ВОТ ВЫДЕРЖКА ИЗ ЗАКОНА 152 о защите персональных данных

“При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ “О персональных данных”).”

Под термином “Оператор” стоит понимать все компании, в частности e-commerce, на сайтах которых клиенты указывают личную информацию.

Ну и это еще не все. В феврале 2017 года были внесены очередные поправки в закон о защите персональных данных. Эти поправки обязывают всех владельцев сайтов и интернет-магазинов (Операторов), оповещать пользователей о том, что при вводе личных данных на сайте, они дают свое согласие на их сбор, обработку и хранение.

Если проигнорировать эти поправки в закон, то вы рискуете получить штраф в размере до 75000 рублей за одно нарушение. А если их больше, то сумма штрафа возрастет (о нарушении законодательства РФ в области персональных данных - статья 13.11 КоАП РФ)

ЧЕМ ЕЩЕ ГРОЗИТ НЕСОБЛЮДЕНИЕ ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ?

Мы уже рассказали про немалые штрафы. Это может коснуться каждого. И не думайте, что это не про вас:) Посмотрите судебную практику и вы поймете, что это не шутки. Вот, например, нашумевшее дело Тамбовской юридической компании (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016), которую оштрафовали за нарушения в области хранения ПД. Сумма штрафа незначительная, но нужно иметь в виду, что с 1 июля 2017 года штрафы существенно выросли.

Помимо административной ответственности может быть и уголовная. Так если вы причините моральный вред пользователю, чьи персональные данные, например, попали в чужие руки.
Ну и за подобные нарушения Роскомнадзор может заблокировать сайт и внести вас в так называемый “черный список”.
И тогда будьте готовы к дополнительным проверкам со стороны Роскомнадзора.

ЧТО ДЕЛАТЬ?

1. Первое, что нужно сделать - уведомить пользователей об обработке персональных данных . Если вы этого еще не сделали, то сейчас самое время. Разработайте и разместите на сайте документ об обработке ПД, а также заручитесь согласием пользователей на такую обработку (например, поставив чекбокс с информацией под каждой формой регистрации).
   Вообще, это можно сделать по-разному, в зависимости от ваших целей и особенностей бизнеса. Например, Озон размещает на сайте политику конфиденциальности и при регистрации пользователя берет согласие на обработку ПД. Или можно разместить информацию о сборе ПД в рамках публичной оферты, как это делает Ламода и также собирать согласие на обработку при регистрации. Или как у СберБанка, который размещает такую информацию в договоре.
2. Подготовьте внутренние документы , регулирующие правила для исполнения данного закона. К таким можно отнести приказы, инструкции и назначения ответственных лиц за хранение персональной информации.
3. Очень важно убедится, что данные хранятся в России (на российских серверах).
   Этого требует закон о защите информации пользователей (ч. 5 ст. 18 ФЗ “О персональных данных”).
   Поэтому уточните у своего хостинг-провайдера адрес места расположения серверов, на которых размещается ваш сайт и заключите с ним договор, где будет указан данный адрес. Этот адрес вам потребуется для заполнения уведомления в Роскомнадзор. Если у вас свой сервер, то обязательно сохраните документы на него. Их может потребовать Роскомнадзор в ходе возможной проверки. То же самое справедливо и для договора с хостинг-провайдером.

   Если ваш хостинг-провайдер размещает свои серверы в российском Дата-центре, то все хорошо.
   Это самый простой способ удовлетворить требования закона, купив хостинг у отечественного провайдера.

   Есть и другой способ, который называется трансграничная передача данных. Законом это не запрещено. Позволяется хранение ПД за рубежом, но с некоторыми оговорками. Так, компания в любом случае, помимо хранения ПД заграницей, должна иметь такую базу данных и на территории РФ. Но при этом база должна быть наиболее полной и актуальной. Схема тут такая - вся база с персональными данными собирается, систематизируется и хранится на территории РФ, а потом уже данные можно передавать за рубеж. Тут важно понимать, что первоисточник - это база на территории РФ.

4. После этого, подготовьте и отправьте уведомление в Роскомнадзор.
   Сделать это можно через электронную форму на сайте :

   Уведомление подавать не нужно, если:

   
   → вы обрабатываете только данные сотрудников;

   → заключаете договор с конкретным лицом и указанные в договоре данные используются только для исполнения этого договора, т.е. информация не публикуется и не передается третьим лицам без согласия на то субъекта персональных данных (данный пункт является неоднозначным, так как могут возникнуть вопросы из-за специфики бизнеса. Важно грамотно составить договор, учитывая все нюансы, удовлетворяющие требованиям закона. Поэтому, рекомендуем проконсультироваться с юристом. И если однозначного ответа нет, то лучше подайте уведомление.);

   → если собираемые данные включают в себя только ФИО пользователей;

   → если пользователь сам сделал свои персональные данные общедоступными.

Обратите внимание , что речь идет только о случаях, когда уведомление подавать не надо. Вышеперечисленные данные все равно являются персональными и уведомлять об этом пользователя нужно обязательно.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Боятся этого закона не стоит. Он же регулирует наши с вами права, как физических лиц. Каждый из нас хотя бы раз приобретал товары через интернет и оставлял свои личные данные. Теперь у нас с вами есть основания для отстаивания своих прав в законном порядке, если права наши будут нарушены.

Для владельцев сайтов самое главное все грамотно оформить. Этим вы обезопасите себя от штрафов, иной ответственности и заручитесь доверием клиентов.
Маленькая ремарка: советуем не делать под копирку, например, как у конкурентов - у каждого своя специфика. Лучше потратить время на разработку документации конкретно под ваш бизнес, чем потом платить штрафы. И если у вас все еще остались вопросы, обратитесь к помощи вашего юриста, так как данная статья не заменит специалиста , который поможет вам сделать все так как нужно и конкретно под ваши цели и задачи.

• Поделиться:

Поскольку сервер стоит не у вас дома, вы не имеете к нему доступа и уж тем более никоим образом не можете влиять на политику дата-центра, то вы просто не имеете возможности выполнить ряд требований закона. Остается только одно, найти хостинг который отвечает требованиям закона.

Я сейчас не Бегете, написал им письмо, о наличии у них лицензии ФСТЭК на защиту конфиденциальной информации. Ответили туманно, типа я не я и хата не моя, мы всего-лишь эти и в общем это мы не должны... Если резюмировать, лицензии у них нет, а значит по большому счету сайт который собирает персональные данные держать там нельзя. Полазил по инету (не особо плотно пока) и нашел пока только RU-CENTER с лицензией.

Лицензия на деятельность по разработке и (или) производству средств защиты конфиденциальной информации
ЛИЦЕНЗИЯ No 0917 от 20 сентября 2011 г.

Лицензия на деятельность по технической защите конфиденциальной информации
ЛИЦЕНЗИЯ No 1594 от 20 сентября 2011 г.
Правообладатель: Акционерное общество «Региональный Сетевой Информационный Центр»
Срок действия лицензии: бессрочно

Хостинг конфиденциальной информации в RU-CENTER

С 6 марта 2012 года RU-CENTER начинает предоставлять новую услугу - хостинг конфиденциальной информации.
Хостинг конфиденциальной информации - это размещение сайта в Интернете с применением дополнительных мер по защите информации.
Данная услуга позволит выполнить ряд обязательных требований действующего законодательства (закон N 152-ФЗ), которые предъявляются при обработке персональных данных.
Кроме основных методов защиты данных и хранения информации, используемых в других услугах RU-CENTER, хостинг конфиденциальной информации предлагает:

• специализированное сертифицированное оборудование, позволяющее проводить ряд действий по защите информации при сетевом доступе;
• дополнительное ограничение физического доступа к оборудованию, на котором предоставляется услуга;
• ежедневное резервное копирование (2 копии);
• учет используемых физических носителей информации;
• MySQL, выделенная для каждой услуги.

Основные потребители новой услуги - компании малого и среднего бизнеса, интернет-магазины, форумы, системы маркетинговых исследований и многие другие интернет-ресурсы, которым при обработке и хранении персональных данных пользователей необходимо выполнять требования законодательства РФ (закон N 152-ФЗ).

Собственно вопрос, как они по качеству?
И если кто найдет других хостеров с лицензией ФСТЭК на защиту конфиденциальной информации, выкладывайте в этой теме.

Решение «Облако ФЗ 152 » освобождает Оператора персональных данных от затрат на создание и владение защищенной IT-инфраструктурой для выполнения требований 152-ФЗ и 242-ФЗ. Иными словами, если российское законодательство обязывает вашу компанию принимать все необходимые организационно-технические меры для защиты личных данных от несанкционированного и неправомерного доступа, выбирайте готовое решение от Cloud4Y.

Нажмите кнопку «Попробуйте бесплатно», заполните небольшую форму и узнайте, как избежать проблем с большими затратами на организацию ИТ-инфраструктуры, которая будет удовлетворять требованиям Федерального закона № 152

Для чего необходимо «Облако ФЗ 152»:

• Отдельное защищенное, сертифицированное и аттестованное «облако» для размещения ИСПДн.
• Сертификация механизмов виртуализации: гипервизора вычислительных ресурсов, системы управления виртуализованной сетью передачи данных, платформы виртуализации и системы хранения данных.
• Предоставление сервисов безопасности (на основе сертифицированных средств защиты), которые могут быть использованы клиентами, размещающими свои ИСПДн в облаке.

Организация размещения ИСПДн в облаке:

• Освобождает оператора ПДн от капитальных затрат на создание и владение защищенной IT-инфраструктурой;
• Освобождает оператора от части юридической ответственности за выполнение требований 152-ФЗ, 242-ФЗ;
• Позволяет использовать общесистемное и специальное ПО провайдера;
• Позволяет получить сопровождение IT-инфраструктуры высококвалифицированным персоналом в режиме 24×7

Особенности «Облако ФЗ 152»:

• Размещение ИСПДн предоставляется как услуга, то есть, заказчик не имеет капитальных затрат.
• Cloud4Y выступает в качестве лица, отвечающего за обработку ПДн по поручению оператора.
• Система прошла аттестацию лицензиатами ФСТЭК, что подтверждает её соответствие требованиям безопасности. Применяемые средства защиты прошли в установленном порядке оценку соответствия и имеют сертификаты, выданные соответствующими органами ФСТЭК и ФСБ России.
• Наличие сертификатов на различные элементы облака, реализующие функции защиты (гипервизор, средства защиты, интегрированные в облако, средства защиты, предлагаемые клиентам как сервисы безопасности.
• Комплекс организационно-технических мер защиты, позволяющий обеспечить клиентам закрытие актуальных угроз со стороны обслуживающего персонала, со стороны других клиентов и иных нарушителей.

Нормативные документы и классификация

Ознакомиться с текстом Федерального закона № 152 о персональных данных вы можете по ссылке .

White Paper о ФЗ 152 - книга, на которую можно ссылаться в вопросах обработки персональных данных

Эксперты Cloud4Y изучили вопрос защиты ПДн и создали руководство, как действовать организации, чтобы соответствовать ФЗ-152. Мы постарались простым языком объяснить пункты законодательства, устранить путаницу и прописать те шаги, которые нужно предпринять.

Лицензии и сертификаты

Цены

АКЦИЯ: только до 30 апреля 2020 г. "Облако ФЗ 152" по цене обычного НАВСЕГДА! Подробности

Для того, чтобы получить расчет стоимости услуги "Облако ФЗ-152" обратитесь к любому менджеру по телефону +7 495 268 04 12 или любым другим удобным способом доступном в разделе

Ознакомьтесь с Перечнем нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных по ссылке .

Часто задаваемые вопросы (FAQ)

1. В чем суть вашей услуги ФЗ-152?
Мы построили в нашем дата-центре защищенный контур, прошедший аттестацию по требованиям безопасности в соответствии с ФЗ-152 и получивший аттестат соответствия по защите персональных данных до 1-го уровня защищенности включительно. И мы помогаем нашим клиентам закрыть вопрос соответствия с технической точки зрения. Государственным учреждениям также могут быть интересны Аттестат соответствия 1-го класса для государственных информационных систем (согласно 17-му приказу ФСТЭК) и аттестат на защиту конфиденциальной информации по классу 1Г (согласно СТР-К).

2. Зачем нам это надо?
Поскольку вы являетесь обработчиком персональных данных, действие закона ФЗ-152 распространяется на вас автоматически. А государственные учреждения, владеющие государственными информационными системами, подпадают еще и под действие 17-го приказа ФСТЭК.

3. Сколько это стоит?
Стоимость рассчитывается индивидуально под заказчика, с учетом объемов, уровня защищенности, сроков размещения.

4. Можете ли вы помочь в подготовке документации?
Да можем, (предоставляем готовые шаблоны или берем на себя весь процесс подготовки под ключ).

5. Как организован канал передачи данных?
Используется шифрованный по Российскому ГОСТ канал через VipNet-координатор.

Если Вы не нашли ответ на свой вопрос, перейдите в нашу , задайте его нашим консультантам на сайте, используя онлайн-чат, или напишите запрос в поддержку, используя .