Как безопасно хранить ПДн клиентов?

Персональные данные — это любая информация, по которой можно прямо или косвенно идентифицировать человека. К таким данным относятся: фамилия, имя, отчество, дата рождения, номер телефона, место жительства, адрес электронной почты, место работы и должность, образование, паспортные данные, никнеймы в социальных сетях, файлы cookie, цвет глаз, рост и другие сведения. Важно понимать, что нет строгого перечня, какие именно данные считаются персональными — всё зависит от возможности идентификации личности.


Что включает обработка персональных данных

Обработка персональных данных включает широкий круг действий, таких как:


  • сбор;

  • систематизация;

  • накопление;

  • хранение;

  • уточнение (обновление, изменение);

  • использование;

  • передача третьим лицам;

  • обезличивание;

  • блокировка;

  • уничтожение.

Эти действия регулируются законодательством о защите персональных данных, и каждая организация, работающая с такими данными, обязана соблюдать установленные правила.

Организации используют персональные данные клиентов для решения различных бизнес-задач, включая:

  • сегментацию клиентской базы;

  • доставку товаров и услуг на дом;

  • отправку уведомлений, акций и рекламных предложений;

  • предоставление персонализированных скидок;

  • регистрацию и участие в программах лояльности.

Компетентное и ответственное обращение с персональными данными — это не только юридическое требование, но и важный элемент доверия между бизнесом и клиентом.



Безопасное хранение персональных данных

Требования к безопасному хранению персональных данных по Федеральному закону №152-ФЗ представляют собой полное соответствие законодательству. 

Персональные данные (ПДН) должны храниться и обрабатываться в соответствии с требованиями законодательства РФ. Компания обязана обеспечить конфиденциальность и защиту хранимой информации от несанкционированного доступа.


Как безопасно и где допустимо хранить пдн клиентов:


  • Локальные серверы компании с соблюдением технических мер защиты

  • Облачные хранилища российских провайдеров с подтвержденной безопасностью

  • Специализированные центры обработки данных с сертификатами соответствия


Место хранения персональных данных должно соответствовать законодательству и обеспечивать конфиденциальность. Для хранения ПДн используются собственные серверы, облачные серверы, сертифицированные по требованиям ИСПДн, и базы данных. Облачные серверы обеспечивают доступ к данным из любой точки мира и не требуют покупки и обслуживания собственного оборудования. Базы данных используются для хранения структурированной информации и обеспечивают быструю обработку больших объемов данных. Блокчейн подходит для хранения критически важных данных, таких как паспортные данные, медицинские записи и финансовые транзакции. CRM и HRM-системы используются для управления взаимодействием с клиентами и персоналом и предоставляют инструменты для управления доступом и анализа данных. Менеджеры паролей помогают безопасно хранить и управлять конфиденциальной информацией, включая пароли, логины и номера банковских карт.


утечка персональных данных


Технические требования представляют собой защиту информации.

Защита персональных данных клиентов должна включать:


  • Шифрование данных при передаче и хранении

  • Регулярное резервное копирование

  • Контроль доступа на основе ролей

  • Журналирование действий с данными

  • Антивирусная защита

  • Физическая охрана помещений


Правовые аспекты 152-ФЗ

Согласие субъекта персональных данных должно содержать:

  • Цели обработки данных

  • Перечень обрабатываемых данных

  • Сроки хранения

  • Права субъекта данных

  • Способы отзыва согласия


Хранение персональных данных по 152 ФЗ.

Период хранения определяется, законодательством РФ для определенных категорий данных, целями обработки данных, соглашением между компанией и субъектом данных


Компания обязана, назначить ответственного за обработку ПДН. Проводить обучение сотрудников. Регулярно проводить аудит безопасности. Информировать субъектов о случаях утечки данных. Обработка персональных данных должна обеспечивать правовую защиту данных


При работе с биометрическими данными: Требуется дополнительное согласие субъекта. Необходимо усиленное шифрование личной информации субъекта. Запрещена передача третьим лицам. Требуется особый порядок уничтожения данных


Для мер по обеспечению безопасности компания должна:


  • Разработать политику обработки ПДН

  • Назначить ответственное лицо за реализацию по ПДН

  • Провести оценку рисков

  • Внедрить организационные меры защиты

  • Обеспечить конфиденциальность при передаче данных

  • Регулярно обновлять защитные меры


При обнаружении утечки: Незамедлительно уведомить Роскомнадзор. Информировать субъектов данных. Принять меры по устранению последствий . Провести внутреннее расследование. Усилить меры защиты


Компания обязана вести документацию и контроль: журнал регистрации операций с данными, документировать меры защиты, сохранять протоколы аудита безопасности, вести акты проверок соответствия, вести договоры с подрядчиками по обработке данных

Соблюдение данных требований позволит компании обеспечить надлежащую защиту персональных данных и избежать нарушений законодательства РФ.