152-ФЗ простым языком: как IT-специалисту работать с персональными данными

Опубликовано: Разбор законов
Содержание
  1. Что такое персональные данные по-русски
  2. Оператор и обработка: кто за что отвечает
  3. Основные обязанности оператора (и где здесь IT)
  4. Типичные косяки IT-специалистов с точки зрения 152-ФЗ
  5. Какие технические меры обычно ждут проверяющие
  6. Что делать айтишнику, чтобы спать спокойнее
  7. Про согласие, обезличивание и удаление
  8. Вывод: 152-ФЗ — не враг разработчика

152-ФЗ любят пугать. «Сейчас придёт Роскомнадзор, всё проверит и оштрафует» — знакомая фраза для любого айтишника, который хоть раз трогал базу с клиентами или пользователями. Но если разобрать закон без лишнего официоза, он превращается не в страшную угрозу, а в набор вполне логичных правил обращения с чужими данными.

Что такое персональные данные по-русски

Персональные данные (ПДн) — это любая информация, по которой можно прямо или косвенно идентифицировать человека. Это не только паспорт и СНИЛС.

Примеры персональных данных:

  • ФИО, дата рождения, место рождения;
  • телефон, email, адрес проживания;
  • паспортные данные, ИНН, СНИЛС;
  • IP-адрес в связке с аккаунтом пользователя;
  • записи в логах, если по ним можно понять, кто это был.

Если вы храните что-то, что привязано к конкретному человеку — скорее всего, это уже персональные данные, и на них распространяется 152-ФЗ.

Оператор и обработка: кто за что отвечает

Оператор персональных данных — это организация или ИП, которые определяют цель обработки ПДн и способы её достижения. В гос-IT это обычно само ведомство или подведомственное учреждение.

Обработка — практически любое действие с данными:

  • сбор (формы, заявления, анкеты);
  • хранение (базы, архивы, backup);
  • использование (поиск, фильтрация, отчёты);
  • передача (другим ведомствам, подрядчикам);
  • уничтожение и обезличивание.

Айтишник редко выступает оператором, но он реализует техническую сторону обработки — и несёт ответственность за то, чтобы всё работало в рамках закона и внутренних регламентов.

Основные обязанности оператора (и где здесь IT)

Закон требует от оператора:

  • обрабатывать ПДн на законных основаниях (согласие, закон, договор);
  • не собирать лишнего — только то, что нужно для целей обработки;
  • обеспечивать безопасность данных техническими и организационными мерами;
  • обрабатывать данные корректно, не дольше, чем это нужно;
  • предоставлять субъектам (людям) информацию о том, какие данные о них есть и зачем.

IT здесь участвует практически во всём:

  • строит архитектуру систем так, чтобы доступы были разделены;
  • обеспечивает резервное копирование и восстановление без утечек;
  • делает логирование, не превращая его в «слив всего подряд»;
  • реализует механизмы обезличивания и удаления данных.

Типичные косяки IT-специалистов с точки зрения 152-ФЗ

Вот то, что чаще всего встречается в реальных проверках:

  • Тесты на реальных данных. Продовую базу «временно» слили на тестовый стенд, доступ к которому шире и слабее контролируется.
  • «Временные» выгрузки на рабочий стол, флешку, личный ноутбук — которые потом месяцами живут своей жизнью.
  • Логи, в которые льётся всё подряд — от паспортных до медицинских сведений.
  • Общий аккаунт админа — невозможно понять, кто что делал.
  • Неудалённые старые бэкапы, в которых лежат данные, которые давно должны были уничтожить.

Какие технические меры обычно ждут проверяющие

Точный перечень зависит от класса информационной системы, но часто требуют:

  • разграничение доступа по ролям (RBAC) и по принципу минимально необходимых прав;
  • аутентификацию с достаточной сложностью паролей, иногда — двухфакторку;
  • антивирусную защиту и контроль целостности;
  • межсетевые экраны, прокси, сегментацию сети;
  • шифрование при хранении и/или передаче данных;
  • журналы безопасности с хранением и защитой от подмены.

Важно: «у нас стоит антивирус» — это не «мы соблюдаем 152-ФЗ». Технические средства должны вписываться в общую модель угроз и проект защиты, а не жить хаотично.

Что делать айтишнику, чтобы спать спокойнее

  • Попросить у юристов и ИБ перечень ПДн, которые обрабатывает ваша система, и режим их обработки.
  • Понять, где именно хранятся данные, кто к ним имеет доступ и как они перемещаются.
  • Навести порядок в логировании: не писать лишнего, маскировать чувствительные поля.
  • Завести регламент работы с тестовыми стендами — только обезличенные данные или генерация искусственных.
  • Регулярно пересматривать доступы и закрывать устаревшие аккаунты.

Про согласие, обезличивание и удаление

Три любимых слова проверяющих:

  • Согласие — если закон не даёт прямого основания для обработки, нужно согласие субъекта. IT обычно отвечает за формы, чекбоксы, хранение отметок о согласии.
  • Обезличивание — способ сохранить аналитику, но убрать привязку к конкретному человеку. Это не просто «удалить имя», а структура, при которой нельзя восстановить персону без дополнительных данных.
  • Удаление — данные не должны храниться «вечно». IT должно реализовать процедуры, при которых удаление происходит не только в основной базе, но и в бэкапах и кэше (в разумные сроки).

Вывод: 152-ФЗ — не враг разработчика

Да, этот закон добавляет работы и ограничений. Но по сути он решает простую задачу: чтобы данные людей не разъезжались по флешкам, чатам и скриншотам, а жили в контролируемой среде.

Если воспринимать 152-ФЗ как чек-лист здравого смысла, а не как карающий меч, работать становится проще. Главное — не делать вид, что «это всё не про нас», потому что как только случается утечка, закон внезапно становится очень актуальным.

Материал подготовлен для IT-специалистов и не является юридическим заключением. За точной трактовкой норм обращайтесь к тексту закона и официальным разъяснениям регуляторов.

0
Понравилась статья? Поделиться с друзьями:
Блог одного ITшника
Вам также может быть интересно
Разбор законов 0
44-ФЗ и 223-ФЗ: ключевые различия и особенности для IT-отделов
Если вы работаете в гос-IT или с государственными заказчиками, рано или поздно столкнётесь с
BIOS и UEFI 0
POST-коды и звуковые сигналы: как расшифровывать ошибки
Когда компьютер включается, он проходит короткий, но важный этап — POST (Power-On Self Test).
Отечественное ПО (Для РФ) 0
«Альт 9» vs «Ред ОС 8»: какой дистрибутив жить на старом офисном ПК
Задача классическая: есть старый офисный компьютер — примерно 2010 года рождения, с процессором Intel,
BIOS и UEFI 0
Как работают ключи Secure Boot и почему иногда всё падает
Secure Boot — это не «строгий охранник», а целая система цифровых подписей внутри UEFI,
BIOS и UEFI 0
Как правильно настроить старый BIOS (2010–2015) под современные флешки
Введение BIOS 2010–2015 годов — это переходное явление.Формально он ещё был «наследником» классического BIOS,
Для обычных пользователей 0
Регулярный уход за компьютером: что нужно делать
Регулярный уход за компьютером: что нужно делать Компьютер служит дольше и работает стабильнее, если
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Популярное:
Главная Блог О сайте Контакты
Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.