С 22 февраля 2017 года вступили в силу положения Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) “О персональных данных”, регулирующие вопросы о передаче, обработке и хранении персональных данных. Этот закон обязывает вас, как собственника сайта, который занимается сбором и хранением информации, иметь на сайте раздел, определяющий политику конфиденциальности и защищать передаваемые на сайт персональные данные от третьих лиц.
Персональные данные — особая информация, требующая особого сбора, обработки и хранения. Под персональными данными подразумевается любая информация, к определенному физическому лицу. Примерами такой информации могут быть фамилия, имя, отчество, дата и место рождения, почтовый адрес и т. д.
Обязателен ли переезд на https с учетом поправок в 152-ФЗ?
В законе нет конкретного обозначения о том, как владелец сайта должен обезопасить личные данные пользователей. Среди практических рекомендаций встречается трактовка "защита информации при ее передаче по каналам связи (например, шифрование персональных данных при их отправке за “периметр” ИСПДн)". Также на вопрос подключения сертификата шифрования данных влияет категория персональных данных. Согласно совместному приказу ФСТЭК/ФСБ/Мининформсвязи предусмотрено 4 класса ИСПДн – от К4 до К1.
Класс определяется по соотношению критериев категория данных/количество субъектов. Приказом вводится четыре, определяемые составом персональных данных. Количество субъектов, как ни странно, определяется не только их количеством, но и принадлежностью.
Несоблюдение закона влечет за собой привлечение к административной ответственности и штрафные санкции в размере от 50 000 рублей, предусмотренные Федеральным законодательством РФ.
При классификации персональных данных применяется принцип “от наивысшего элемента в массиве”, и если, например, из 1 000 000 записей о физических лицах, хотя бы одна содержит сведения о состоянии здоровья, то данной ИСПДн придется назначить класс К1. Защищать ИСПДн с таким классом – это примерно как строить снежные крепости – энергии море, результат непредсказуем. Причем материалы, точнее средства защиты, придется использовать только сертифицированные.
Намного проще дела обстоят с К3 и К2 – требования к защищенности ниже, сертифицированная защита и переход на https не обязательны. Поэтому, если у нас и принято накапливать ПДн с критериями по К1, например, данные о медосмотрах сотрудников, лучше обратиться к нехитрым приемам и искусственно понизить класс обрабатываемых данных до К2 или К3.
Избежать штрафы можно за несколько простых шагов:
Обязательно всем:
1. Создать и настроить раздел "политика конфиденциальности"
Включает работы: создание раздела "Политика конфиденциальности", установка линка во всех разделах сайта. Пример можно посмотреть здесь.
Если ваш сайт собирает и хранит данные К3-К1 или вы просто хотите обезопасить данные:
2. Подготовить сайт к переходу на https
Включает работы: замена абсолютных внутренних ссылок на относительные.
3. Выбрать и установить SSL-сертификат
Включает работы: выбор и покупка SSL-сертификата у авторизованного дистрибьютора, установка сертификата на хостинг. Может потребоваться переезд на другой хостинг.
4. Переезд сайта на https и доп. работы
Включает работы: настройка редиректов на новый адрес, проверка SSL-сертификата, обновление robots.txt и карты сайта. Настройка 301 редиректов (постоянных перенаправлений) со старого адреса с HTTP на новый с HTTPS.
Когда это нужно сделать?
Поправки в законе действуют всего три месяца и проверки набирают обороты. С 1 июля 2017 г. существенно ужесточается ответственность за выявленные нарушения.