С каждым днем всё больше персональной информации хранится в облачных сервисах. Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» работа с персональными данными субъекта должна отвечать определенным требованиям. В материале ниже рассмотрим, какую ответственность несет облачный провайдер, а также какие требования при работе с данными пользователей он должен соблюдать.
Ответственность оператора персональных данных
Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры. Согласно законодательству Российской Федерации ограничений по использованию облачных технологий для сбора, хранения и последующей обработки персональных данных нет. Причем относится это ко всем облачным моделям: IaaS, SaaS, PaaS.
Кроме того, Закон не запрещает сотрудничать с иностранными компаниями, имеющими собственные или арендуемые серверы, при условии, что все они расположены на территории Российской Федерации, где и хранятся базы с персональными данными пользователей. В момент сбора личная информация пользователей также должна фиксироваться только на территории РФ. Всё это в обязательном порядке подтверждается соответствующими документами.
Обратите внимание, что наличие у оператора персональных данных аттестации ФСТЭК и ФСБ свидетельствует о том, что решение, которое он предлагает, соответствует требованиям 21 приказа ФСТЭК, в котором описаны организационные и технические меры по защите персональных данных, а также что оно прошло проверку аккредитованными органами по аттестации ФСТЭК.
Оператор персональных данных должен всегда работать в рамках Федерального закона №152, иметь все необходимые ресурсы для обработки и хранения персональных данных, а также оказывать консультационную поддержку заказчику и помощь при подготовке необходимых документов и внутренних регламентов.
Согласно Закону информационные системы, в которых обрабатываются персональные данные, можно передавать на аутсорсинг. Cервис-провайдер берет на себя всю техническую часть обработки персональных данных и разделяет юридическую ответственность оператора персональных данных.
Согласно ФЗ-152 оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных. При такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (поставщика информационной системы), как первого оператора, никто ответственности также не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.
Приложения для эффективного управления командировками и авансовой отчетностью от Hamilton Apps являются облачными – это значит, что готовое решение предоставляется компании-клиенту в аренду.
Персональные данные всех пользователей приложений Hamilton Apps в лице сотрудников этих компаний хранятся и обрабатываются исключительно на территории Российской Федерации в соответствии с ФЗ № 152 «О персональных данных».
Помните, что с 1 июля 2017 года хранить и обрабатывать личные данные граждан РФ на территории страны обязаны все операторы персональных данных.
Защита персональных данных
В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информационных технологиях и защите информации», обработка данных передается в сторонние компании при выполнении обязательного условия по защите подобной информации. Ответственность за безопасность этого процесса ложится на поставщика информационной системы, который обязан обеспечить:
- полную безопасность доступа, предотвращающую несанкционированные действия;
- контроль за доступом в систему и своевременное обнаружение злоумышленников;
- отработанный механизм действий при нарушении безопасности доступа к данным;
- надежность работы технических инструментов, служащих для обработки информации;
- резервное копирование данных с возможностью быстрого восстановления в случае какого-либо факта потери целостности данных;
- регулярный мониторинг степени безопасности информации.
В 6 Статье ФЗ-152 говорится о том, что возможна передача данных на обработку сторонним компаниям, но только в том случае, если с этим согласен субъект данных. Соглашение подкрепляется заключением договора. При этом организация, которая выполняет обработку персональных данных по поручению оператора, также должна действовать исключительно в соответствии с законодательством РФ. Для этого оператор данных обязан:
- четко сформулировать список шагов, которые будут проводиться при обработке;
- иметь конкретную цель, для которой необходима данная обработка информации;
- обеспечить полную конфиденциальность передаваемых данных;
- обеспечить защиту и безопасность информации при обработке;
- выполнять все пункты, предписанные 19 Статьей ФЗ-152, содержащей меры по защите личной информации в процессе обработки.
До переноса персональных данных в облачное хранилище провайдер обязан:
- определить, с какими угрозами безопасности данных можно столкнуться в процессе их переноса, а также уровень опасности каждой из угроз;
- предусмотреть меры по обеспечению максимальной безопасности данных в случае возникновения каждой из угроз;
- отработать систему защиты передаваемой информации.
Преимущества хранения персональных данных в облаке
Современные облачные технологии позволяют безопасно хранить большой массив персональных данных, имея ряд важных преимуществ:
- простая и доступная инфраструктура для хранения данных;
- удобная эксплуатация инфраструктуры без дополнительного обеспечения электропитания, мер безопасности и т.п.;
- быстрый и удобный доступ к информации, в том числе с мобильных устройств;
- фиксированная стоимость объема или определенного места в облачном хранилище;
- комплексный функционал без найма дорогих специалистов;
- доступное подключение дополнительных способов обработки информации;
- гибкое управление затратами на вычислительные инструменты;
- доступное восстановление данных в случае, если была нарушена их целостность.