С каждым днем всё больше персональной информации хранится в облачных сервисах. Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» работа с персональными данными субъекта должна отвечать определенным требованиям. В материале ниже рассмотрим, какую ответственность несет облачный провайдер, а также какие требования при работе с данными пользователей он должен соблюдать.

Ответственность оператора персональных данных

Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры. Согласно законодательству Российской Федерации ограничений по использованию облачных технологий для сбора, хранения и последующей обработки персональных данных нет. Причем относится это ко всем облачным моделям: IaaS, SaaS, PaaS.

Кроме того, Закон не запрещает сотрудничать с иностранными компаниями, имеющими собственные или арендуемые серверы, при условии, что все они расположены на территории Российской Федерации, где и хранятся базы с персональными данными пользователей. В момент сбора личная информация пользователей также должна фиксироваться только на территории РФ. Всё это в обязательном порядке подтверждается соответствующими документами.

Обратите внимание, что наличие у оператора персональных данных аттестации ФСТЭК и ФСБ свидетельствует о том, что решение, которое он предлагает, соответствует требованиям 21 приказа ФСТЭК, в котором описаны организационные и технические меры по защите персональных данных, а также что оно прошло проверку аккредитованными органами по аттестации ФСТЭК.

Оператор персональных данных должен всегда работать в рамках Федерального закона №152, иметь все необходимые ресурсы для обработки и хранения персональных данных, а также оказывать консультационную поддержку заказчику и помощь при подготовке необходимых документов и внутренних регламентов.

Согласно Закону информационные системы, в которых обрабатываются персональные данные, можно передавать на аутсорсинг. Cервис-провайдер берет на себя всю техническую часть обработки персональных данных и разделяет юридическую ответственность оператора персональных данных.

Согласно ФЗ-152 оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных. При такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (поставщика информационной системы), как первого оператора, никто ответственности также не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.

Приложения для эффективного управления командировками и авансовой отчетностью от Hamilton Apps являются облачными – это значит, что готовое решение предоставляется компании-клиенту в аренду.

Персональные данные всех пользователей приложений Hamilton Apps в лице сотрудников этих компаний хранятся и обрабатываются исключительно на территории Российской Федерации в соответствии с ФЗ № 152 «О персональных данных». 

Помните, что с 1 июля 2017 года хранить и обрабатывать личные данные граждан РФ на территории страны обязаны все операторы персональных данных.

Защита персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информационных технологиях и защите информации», обработка данных передается в сторонние компании при выполнении обязательного условия по защите подобной информации. Ответственность за безопасность этого процесса ложится на поставщика информационной системы, который обязан обеспечить:

• полную безопасность доступа, предотвращающую несанкционированные действия;
• контроль за доступом в систему и своевременное обнаружение злоумышленников;
• отработанный механизм действий при нарушении безопасности доступа к данным;
• надежность работы технических инструментов, служащих для обработки информации;
• резервное копирование данных с возможностью быстрого восстановления в случае какого-либо факта потери целостности данных;
• регулярный мониторинг степени безопасности информации.

В 6 Статье ФЗ-152 говорится о том, что возможна передача данных на обработку сторонним компаниям, но только в том случае, если с этим согласен субъект данных. Соглашение подкрепляется заключением договора. При этом организация, которая выполняет обработку персональных данных по поручению оператора, также должна действовать исключительно в соответствии с законодательством РФ. Для этого оператор данных обязан:

• четко сформулировать список шагов, которые будут проводиться при обработке;
• иметь конкретную цель, для которой необходима данная обработка информации;
• обеспечить полную конфиденциальность передаваемых данных;
• обеспечить защиту и безопасность информации при обработке;
• выполнять все пункты, предписанные 19 Статьей ФЗ-152, содержащей меры по защите личной информации в процессе обработки.

До переноса персональных данных в облачное хранилище провайдер обязан:

• определить, с какими угрозами безопасности данных можно столкнуться в процессе их переноса, а также уровень опасности каждой из угроз;
• предусмотреть меры по обеспечению максимальной безопасности данных в случае возникновения каждой из угроз;
• отработать систему защиты передаваемой информации.

Преимущества хранения персональных данных в облаке

Современные облачные технологии позволяют безопасно хранить большой массив персональных данных, имея ряд важных преимуществ:

• простая и доступная инфраструктура для хранения данных;
• удобная эксплуатация инфраструктуры без дополнительного обеспечения электропитания, мер безопасности и т.п.;
• быстрый и удобный доступ к информации, в том числе с мобильных устройств;
• фиксированная стоимость объема или определенного места в облачном хранилище;
• комплексный функционал без найма дорогих специалистов;
• доступное подключение дополнительных способов обработки информации;
• гибкое управление затратами на вычислительные инструменты;
• доступное восстановление данных в случае, если была нарушена их целостность.