Как разрешено пересылать документы с персональными данными в рамках закона о персональных данных РФ?

В связи с недавними изменениями в 152-ФЗ как для внутрикорпоративной связи, так и для коммуникации с клиентами и контрагентами необходимо, чтобы используемый сервис соответствовал ряду критериев:

• работа в рамках российского правового поля;
• поддержка внутреннего шифрования;
• хранение данных осуществляется на территории России;
• есть возможность работать с документами, которые содержат ПД.

Выбирайте сервисы из этих критериев, но если смотреть для наглядности, то де-факто и де-юре под запретом находятся Telegram, Gmail, Goggle Drive и т.п. А вот в качестве легальной альтернативы сегодня представлены Mail.ru, Яндекс 360, VK и т.д.

Какие есть специализированные сервисы для защищённой пересылки документов с персональными данными?

Я слышал, что существуют специальные сервисы для безопасной передачи документов между организациями. Можете ли порекомендовать такие решения? Хотелось бы узнать, какие платформы действительно подходят для пересылки файлов с персональными данными и соответствуют современным требованиям безопасности.

Отвечает Пастухов Михаил

Для работы с юридическими значимыми сообщениями многие представители бизнеса выбирают не те сервисы, которые использует массовый пользователь (мессенджеры, соцсети, электронная почта и т.п.), а системы электронного документооборота. Преимущества таких систем заключаются, в частности, в наличии возможности использовать электронные цифровые подписи разного уровня, присутствия шифрования документов и т.д. Таким образом, такие системы обеспечивают высокий уровень защиты информации, включая шифрование и контроль доступа. Кроме того, используя проверенные отечественные ЭДО, вы можете быть уверены в том, что не нарушаете 152-ФЗ и другие нормативные требования в части локализации хранения ПД и конфиденциальных документов.

Примеры таких систем: СЭД «ДЕЛО», 1С-ЭДО, Контур.Диадок.

Можно ли использовать для пересылки персональных данных иностранные почтовые сервисы и облачные хранилища?

У нас часть сотрудников привыкла работать через Gmail, iCloud и Google Drive. Разрешено ли использовать эти сервисы, если мы пересылаем документы с персональными данными или желательно полностью отказаться от них, чтобы не нарушать Закон о хранении и обработке персональных данных?

Отвечает Пастухов Михаил

Подобный подход к использованию зарубежной ИТ-инфраструктуры в работе вашего бизнеса грозит существенными штрафами для компании, поскольку в связи с недавними изменениями в 152-ФЗ в части правил о локализации персональных данных такие сервисы, как Gmail, iCloud и Google Drive, нововведениям не соответствуют. Серверы эти ресурсов сегодня находятся за пределами Российской Федерации, кроме того, их операторы находятся вне отечественного правового поля.

Рассмотрите аналоги приведенных вами сервисов от крупных представителей российской ИТ-сферы, таких, как Яндекс, ВК и т.д.

Какие есть требования к хранению и обработке персональных данных при использовании электронных сервисов?

Собираюсь внедрять новый электронный документооборот и переживаю, что сотрудники будут хранить документы с персональными данными на рабочих компьютерах или в сторонних облачных сервисах. Какие меры необходимо принять, чтобы хранение и обработка персональных данных происходили строго по закону?

Отвечает Пастухов Михаил

У вашей задачи два аспекта: технический и организационный.

Технический: подберите сервис, который соответствует актуальным правовым нормам, в частности 152-ФЗ.

Организационный аспект следует не из требований непосредственно закона, а из необходимости предотвращения рисков его несоблюдения. Простыми словами, вам необходимо, чтобы сотрудники не нарушали закон при обработке ПД. Для этого вам необходимо разработать и утвердить локальные нормативные акты, регулирующие порядок обработки и защиты персональных данных, включая положение об обработке и защите данных, а также положение об ответственности за нарушение режима конфиденциальности.

Достаточно ли шифрования (TLS/SSL) для пересылки документов с персональными данными по электронной почте?

Очень часто отправляю документы через корпоративную почту, в которой реализовано шифрование по протоколу TLS. Гарантирует ли это соответствие 152-ФЗ и можно ли ограничиться только этим видом защиты или требуется что-то ещё?

Отвечает Пастухов Михаил

Шифрование (TLS/SSL) при обработке и пересылке документов с конфиденциальными данными по электронной почте само по себе не является достаточной мерой защиты в соответствии с требованиями российского законодательства. TLS/SSL не является сертифицированным СКЗИ и не обеспечивает требуемый уровень защиты от раскрытия, модификации и навязывания информации

Выбор средств защиты во исполнение требований ст. 19 закона № 152-ФЗ необходимо осуществлять в соответствии с теми НПА, которые приняты ФСБ РФ и ФСТЭК РФ, сегодня — в частности, такими документами являются:

1. Приказ ФСБ России от 10.07.2014 № 378.
2. Приказ ФСТЭК России от 18.02.2013 № 21.
3. Методика оценки угроз безопасности информации, утв. ФСТЭК от 05.02.2021 и т.д.

Можно ли пересылать документы с персональными данными через мессенджеры, такие как WhatsApp, Telegram, Viber или Signal?

У нас часто бывают срочные ситуации, когда документы с персональной информацией проще всего переслать через популярные мессенджеры. Насколько это допустимо с точки зрения российского законодательства? Какие риски есть при таком подходе?

Отвечает Пастухов Михаил

Сегодня в силу изменений, привнесенных Федеральным законом от 01.04.2025 № 41-ФЗ, действует запрет на использование зарубежных мессенджеров для работы с клиентами и их информирования. Такие мессенджеры, как WhatsApp, Telegram, Viber, Signal, подпадают под подобного рода ограничения, поскольку они не обеспечивают хранение и обработку исключительно на российской территории и их операторы не работают в рамках отечественного правового поля.

Какие документы и соглашения необходимо заключать с сотрудниками и контрагентами для легальной передачи их персональных данных?

Если я пересылаю документы с персональными данными сотруднику или контрагенту, то какие согласия или договоры мне нужны для этого? Как оформить процесс передачи, чтобы избежать проблем при проверках со стороны Роскомнадзора?

Отвечает Пастухов Михаил

Если персональные данные сотрудника используются для обработки внутри организации, то согласие на такую обработку не требуется, при условии что это обусловлено рабочей необходимостью (86 ТК РФ).

Когда конфиденциальные данные используются для обработки за пределами организации (к примеру, отправка сведений контрагенту), то получение согласия на их обработку — обязательное условие.

Согласно ст. 88 ТК РФ, если вашей организации передаются для обработки конфиденциальные данные сотрудников контрагента, то согласие на обработку таких данных обязан получить работодатель этих сотрудников. Ваша организация при таких обстоятельствах обязана обеспечить соблюдение требований по конфиденциальности и безопасности обработки данных.

Каким образом контролировать доступ и вести аудит передачи документов с персональными данными внутри компании?

Меня волнует вопрос учёта того, кто, когда и какие документы отправлял внутри компании. Каким образом организовать журналирование и контроль доступа к пересылаемым данным, чтобы не было риска несанкционированного доступа или потери документов?

Отвечает Пастухов Михаил

Полагаю, что для решения ваших вопросов необходим комплексный подход, который заключается в наличии ряда документов по обработке и защите конфиденциальных данных:

1. Политика в отношении обработки ПД (целесообразно воспользоваться Рекомендациями Роскомнадзора от 31.07.2017).
2. Перечень сотрудников, которые допущены к обработке ПД (ст. 86 ТК РФ).
3. Положение по обработке и защите ПД ваших работников (ст. 86 ТК РФ).
4. Положение об обработке и защите ПД иных физических лиц, с которыми оператор взаимодействует (клиентов, посетителей, обучающихся, пациентов, абонентов и т.д. (п. 5 ч. 1 ст. 6 ФЗ № 152).