Персональные данные и коммерческая тайна: как хранить конфиденциальную информацию при работе с подрядчиками

Правовые основы и нормативные требования

Из определения 152-ФЗ персональными данными считается любая информация, которая позволяет прямо или косвенно идентифицировать человека. Чаще всего этим определением обозначают паспортные данные, реквизиты, контакты человека. Этот же закон регулирует сбор, хранение и обработку персональных данных. Его главная идея — в том, что компания или организация может использовать чужие данные только при наличии законных оснований: например, письменного согласия на их обработку. Основные тезисы закона звучат так:

• Компания обязана уведомить Роскомнадзор о начале обработки данных, назначить ответственного за их защиту, соблюдать организационные и технические меры безопасности.
• Нельзя передавать данные третьим лица без соответствующего правового основания (согласия, договора, нормы закона и другого). 
• После того, как цель обработки данных достигнута, их нужно уничтожить. 

Для денежных переводов дополнительно действует PCI DSS (Payment Card Industry Data Security Standard) — международный стандарт безопасности, обязательный для всех компаний, работающих с платежными картами. Его цель — защитить данные держателей карт от утечек и мошенничества. Ключевые пункты PCI DSS:

• Нельзя хранить «чувствительные» данные (например, CVV-коды) после авторизации.
• Информацию нужно передавать только по защищенным каналам (использовать шифрование, VPN, TLS).
• Доступ к системам должен быть четко разграничен: сисадмин, бухгалтер, оператор — у каждого свой уровень.
• Обязательны регулярные аудиты систем безопасности.
• Чтобы снизить риск утечки не только технически, но и организационно, в компании должна быть принята официальная политика безопасности.

За нарушение 152-Ф3 компаниям и их сотрудникам грозят три уровня ответственности: административная, гражданская и уголовная. Статья 13.11 КоАП РФ предполагает штраф до 6 млн. руб. за крупные утечки персональных данных или системные нарушения их обработки. А по статье 137 УК РФ владелец компании может лишиться свободы на срок до 2 лет за незаконный сбор и распространение сведений о частной жизни людей. Кроме того, подрядчик может подать на компанию в суд за утечку или незаконное использование своих персональных данных — и получить компенсацию морального вреда. В случае с PCI DSS все работает еще жестче: можно получить штраф от платежной системы на сумму до $100 000, а в худшем случае — полный запрет на работу с картами (фактически это блок на прием любых платежей).

Solar Staff полностью соответствует российскому и международному законодательству, а также всем требованиям PCI DSS. Благодаря принятым мерам за годы работы сервиса не было ни одного нарушения информационной безопасности или утечки данных.

Классификация информации

В чем отличие между персональными и конфиденциальными данными? Персональные данные — это ФИО, дата рождения, паспортные данные, адрес проживания, телефон, email, СНИЛС, ИНН, а также любые сведения о месте работы или доходах подрядчика. Даже IP-адрес или фото в базе компании по закону считается персональными данными. Работая с ними, бизнес обязан соблюдать требования 152-ФЗ и фиксировать, зачем именно собирает данные и как защищает их. К конфиденциальной информации относятся условия договоров с подрядчиками, коммерческие предложения, планы по закупкам, уникальные технологии или финансовая отчетность.

При сборе и обработке данных важно классифицировать их по уровню чувствительности: это нужно, чтобы выстроить правильные уровни доступа, использовать адекватные средства защиты и понимать, какие последствия могут наступить при утечке.

Классификация данных подрядчиков

Как защитить конфиденциальную информацию компании и персональные данные подрядчиков

Очень важно правильно и системно организовать внутри компании процессы, связанные с защитой данных. Стоит:

1. Прописать регламент: кто и в каких случаях имеет право работать с персональными и конфиденциальными данными.
2. Определить уровень доступа для каждого отдела. К примеру, зафиксировать, что бухгалтерия видит реквизиты для расчета, HR работает с паспортными данными, юристы — с договорам.
3. Уделить внимание техническим аспектам. Данные подрядчиков нужно хранить в защищенных системах, с обязательным шифрованием как на дисках, так и при передаче по сети. Как минимум, авторизация в системах должна быть только через многофакторную аутентификацию, чтобы исключить банальный подбор пароля.
4. Проводить регулярный аудит и мониторинг: регулярно проверять, как используются данные, нет ли нарушений в доступах к ним, не появились ли сторонние копии баз.

Solar Staff обеспечивает многоуровневую защиту данных в соответствии с международными стандартами ФЗ-152, GDPR. Сервис ежегодно проходит аудит бухгалтерской (финансовой) отчетности, а также проводит KYC- и KYB-процедуры.

Работа с подрядчиками: договоры и проверки

Обязательства по защите данных должны быть закреплены юридически. Как это работает на практике: в договор с подрядчиком мы включаем положения конфиденциальности и обработке персональных данных, а также отдельные соглашения о неразглашении (NDA). В нем прописываем, какую информацию исполнителю нельзя разглашать, фиксируем порядок ее передачи и ответственность за нарушение: например, штрафы или возмещение убытков. Обратите внимание: согласно закону 98-ФЗ обладатель данных сам определяет, какие именно сведения считаются коммерческой тайной. Исключение составляют общедоступные сведения: уставные документы организации, численность штата, вакансии и долги по зарплате.

Перед началом сотрудничества стоит убедиться, что подрядчик соблюдает базовые требования информационной безопасности: использует двухфакторную аутентификацию, хранит пароли в менеджере. Проверки должны быть не разовыми, а регулярными — аудит отношений помогает убедиться, что исполнитель по-прежнему соблюдает стандарты, а риски для компании остаются под контролем.

Например, Solar Staff проводит процедуру KYC — проверку всех исполнителей. Она позволяет снизить комплаенс-риски для всех сторон, поскольку сервис берет на себя вопросы по верификации и проверке пользователей. Налоговый статус исполнителя проверяется перед выплатой: если он больше не актуален, заказчик получит уведомление.

Утечка данных: как управлять инцидентами

Управление инцидентами — отдельный элемент защиты данных, без которого система безопасности будет неполной. Критически важно заранее разработать план реагирования: решить, какие отделы компании отвечают за локализацию проблемы, как быстро изолировать систему и что пошагово сделать для минимизации ущерба.

Если произошла утечка персональных данных, компания обязана уведомить пострадавших (в нашем случае — внешних исполнителей) и Роскомнадзор в течение 24 часов с момента, как был обнаружен инцидент. В случаях, где затронута финансовая информация (банковские реквизиты и счета физлиц или ИП, платежные документы), необходимо также написать заявление в правоохранительные органы. Постфактум критически важно провести анализ причин, оценить ущерб, обновить или усилить политику безопасности.

Реакция на инциденты

Хранение и уничтожение конфиденциальных данных

Один из ключевых принципов работы с информацией — данные нельзя хранить вечно. В законе 152-Ф3 сказано, что персональные данные следует уничтожать или обезличивать, как только достигнута цель их обработки — например, по завершении договора с исполнителем и после того, как переведена оплата. Закон 402-Ф3 «О бухгалтерском учете» устанавливает минимальные сроки хранения документов — не меньше 5 лет для первичных учетных документов, а для некоторых видов отчетности — до 10 лет. Поэтому важно заранее зафиксировать, какие данные относятся к персональным, какие — к финансовым, и сколько именно их можно держать в архиве. Для конфиденциальной информации — коммерческих тайн, внутренних договоров, регламентов — действует закон 98-Ф3 «О коммерческой тайне». Общий принцип здесь такой же: данные нужно уничтожать сразу, как только они перестали быть нужны.

Как правильно удалять чужие персональные данные и конфиденциальную информацию

• Электронные данные уничтожаем через специальные системы безопасного удаления — такие, как BCWipe или Eraser,
• Бумажные носители пропускаем через шредер,
• Резервные копии удаляем по тому же принципу, что и основной массив данных.

Эти процедуры стоит зафиксировать в регламенте и назначить для этого ответственных сотрудников.

Что нужно запомнить 

1. Главный документ, который регулирует работу с персональными данными — 152-ФЗ.
2. Важно различать персональные и конфиденциальные данные, классифицировать их по уровню чувствительности — чтобы понимать, как действовать в случае утечки.
3. За безопасностью данных подрядчиков нужно следить постоянно: проводить аудит, совершенствовать меры защиты.