152-ФЗ и персональные данные на собеседовании системного аналитика

Зачем спрашивают на собесе SA

В РФ любая система с пользователями обязана соблюдать 152-ФЗ. На собесе SA: «что такое ПДн», «нужно ли согласие на обработку», «куда хранить базу — в РФ или нет». Senior — нюансы локализации, обезличивания, ИСПДн классов.

Главная боль без понимания — SA заложил в архитектуру хранение в Stripe / AWS US, не учёл 152-ФЗ — компания получила штраф или предписание Роскомнадзора.

Что считается персональными данными

Определение (ст. 3 152-ФЗ). Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Очевидные ПДн:

• ФИО.
• Паспортные данные, СНИЛС, ИНН.
• Адрес проживания / регистрации.
• Дата рождения.
• Контакты (телефон, email).
• Фото.

Неочевидные ПДн (по практике Роскомнадзора и судов):

• Email (если по нему можно идентифицировать).
• Cookie / device id, если связаны с другими ПДн.
• IP-адрес (в связке с другими данными).
• Данные о местоположении.
• Биометрия (отпечаток, фото лица для распознавания).

Не ПДн:

• Полностью обезличенная агрегированная статистика.
• Информация о юрлице (в большинстве случаев).
• Анонимная аналитика без связи с конкретным пользователем.

Категории ПДн

152-ФЗ выделяет 4 категории:

1. Общедоступные — пользователь сам опубликовал (например, в открытом профиле).
2. Иные — стандартные ПДн (ФИО, контакты).
3. Биометрические — характеристики, по которым можно установить личность (отпечаток, фото лица для аутентификации, голос).
4. Специальные — расовая принадлежность, политические взгляды, состояние здоровья, интимная жизнь, судимость.

Применимость:

• Для специальных категорий — повышенные требования (пересмотр согласия, отдельные основания обработки).
• Биометрия с 2023 года требует размещения в ЕБС (Единая биометрическая система) для идентификации.
• Иные — стандартный путь с согласием или другим основанием.

Принципы обработки

Законность и справедливость. Обработка только на законных основаниях.

Достаточность и соразмерность. Собирать только то, что нужно для заявленной цели.

Точность и актуальность. ПДн должны быть точными, актуальными.

Ограничение хранения. Хранить не дольше, чем нужно для цели.

Безопасность. Шифрование, маскирование, разграничение доступа.

Уведомление Роскомнадзора. Большинство операторов обязаны уведомить Роскомнадзор о начале обработки (есть исключения для трудовых отношений).

Согласие на обработку

Когда нужно:

• Стандартный сценарий — пользователь регистрируется на сайте, оставляет данные.
• Маркетинг (рассылки, ретаргетинг) — отдельное согласие, опт-ин.

Когда не нужно:

• Обработка для исполнения договора (заказ → доставка).
• Исполнение обязанностей оператора (по закону, например, налоговая отчётность).
• Жизненно важные интересы субъекта.
• Защита прав оператора в суде.

Требования к согласию:

• Конкретное (для каких целей).
• Информированное (что собирается, кто оператор, кому передаётся).
• Свободное (без принуждения).
• Опт-ин, не опт-аут (пред-отмеченные галочки запрещены с 2022).
• Возможность отозвать в любой момент.

Форма:

• Бумажная (роспись).
• Электронная (галочка + хеш для подписи + лог).
• Согласие через сайт — URL должен вести на текст согласия / Политику обработки ПДн.

Срок согласия. Указывается. Часто «до момента отзыва» или «5 лет с последней активности».

Локализация и трансгранична передача

Локализация (ч. 5 ст. 18 152-ФЗ, в ред. 242-ФЗ от 2014). Сбор и хранение ПДн граждан РФ — в базах на территории РФ.

Что это значит на практике:

• Первичная база с ПДн — на серверах в РФ.
• Российские облака: Yandex Cloud, VK Cloud, Selectel, Astra Linux.
• Международные облака — только если есть сегмент в РФ (или специальная схема).

Трансгранична передача. Передача ПДн в другие страны:

• В страны с «адекватной защитой» (список Роскомнадзора, EU + некоторые) — возможна с согласия, но с уведомлением.
• В прочие — требует разрешения Роскомнадзора (с 2022).
• С 2022 — обязательное уведомление Роскомнадзора до начала трансграничной передачи (форма утверждена приказом РКН).

ИСПДн (информационные системы ПДн). Классы УЗ-1 — УЗ-4 (от УЗ-1 — самый высокий уровень защищенности). Класс зависит от типа ПДн, объёма, последствий компрометации. Защитные меры по приказам ФСТЭК / ФСБ.

Обезличивание

Обезличивание — действия, в результате которых становится невозможно без дополнительной информации определить субъект ПДн.

Методы:

• Генерализация. Замена точного значения на обобщённое (точная дата → год рождения, точный адрес → город).
• Маскирование. Замена части значений (+7-9XX-XXX-1234 → последние 4 цифры).
• Хеширование. Необратимое преобразование (с солью). Email → SHA-256.
• Псевдонимизация. Замена идентификатора на токен. Сохраняется reversibility (если есть ключ).
• Шум / дифференциальная приватность. Добавление случайного шума к статистике.

Важно. Обезличенные ПДн в строгом смысле перестают быть ПДн (если обезличивание необратимо). Псевдонимизированные — всё ещё ПДн (есть ключ обратного преобразования).

Что должен закладывать SA в систему

Учёт ПДн в каждой таблице. Какие колонки — ПДн? Какой тип / категория? Сколько хранить? Как удалять?

Шифрование. At rest (БД, диски), in transit (TLS), в логах (маскирование).

RBAC / ABAC. Разграничение доступа к ПДн. Не каждый разработчик видит prod-данные.

Аудит-логи. Кто, когда, к какой записи получил доступ.

Опции пользователя.

• Скачать копию своих данных (право на доступ).
• Удалить аккаунт (право на удаление, если нет противопоказаний).
• Отозвать согласие.

Детский возраст. Дети младше 14 — обработка только с согласия родителя. С 14 — возможно своё согласие, но с нюансами.

Соглашения с подрядчиками. Любой кто получает ПДн в обработку — поручение по форме или договор. Зафиксировать в архитектуре, какие данные куда уходят.

Уведомление Роскомнадзора. До начала обработки — отправить уведомление с целями, категориями ПДн, сроками хранения.

Частые ошибки

Считать, что email не ПДн. Если email связан с другими данными о пользователе — это ПДн.

Хранение в Stripe / AWS US без локализации. Нарушение ст. 18.5. Решение — копию ПДн держать в РФ-базе.

Pre-checked галочка согласия. С 2022 запрещена.

Согласие на «всё подряд». Согласие должно быть конкретным. Расплывчатое легко оспорить.

Не настроить удаление. «Удалить аккаунт» — обязательная опция (право субъекта).

Логи с plaintext пароля / номера карты. PCI DSS и 152-ФЗ — оба запрещают.

Передавать ПДн контрагенту без поручения. Нарушение порядка обработки.

Игнорировать уведомление Роскомнадзора. Штрафы за это есть; «сначала запустим, потом подумаем» — плохая стратегия.

Считать обезличивание = шифрование. Шифрование — защита, но данные всё ещё ПДн (есть ключ). Обезличивание — необратимое.

Связанные темы

• JWT на собесе SA
• OAuth на собесе SA
• RBAC vs ABAC на собесе SA
• OWASP top-10 на собесе SA
• Подготовка к собесу системного аналитика

FAQ

Карта банковская — ПДн?

Номер карты сам по себе — ПДн (по практике РКН в связке с ФИО точно). Плюс PCI DSS требует особой защиты. Хранение / обработка номеров карт — обычно через токенизацию у банка / платёжного провайдера.

Сотрудник кампании — ПДн?

Да. Трудовые отношения — отдельное основание для обработки (без отдельного согласия), но требования по защите те же.

Cookie аналитика — ПДн?

Если cookie не связан с другими данными — нет. Если по нему можно сопоставить пользователя (например, ID авторизованного юзера) — да. Юристы советуют относиться к этому осторожно.

Можно ли использовать Google Analytics?

Сложный вопрос. С 2022 GA заблокирован, его заменили на Я.Метрику. Использование GA в РФ — юридический риск.

Сколько хранить ПДн?

Зависит от цели. Например, 75 лет — кадровые документы. 5 лет — налоговая отчётность. 1 год — логи аутентификации (рекомендация ФСТЭК). Для маркетинга — до отзыва согласия. Прописывается в Политике обработки ПДн.

Это официальная информация?

Нет. Статья — обзор для системного аналитика, не юридическая консультация. Применимость к конкретной системе — у DPO / юриста с учётом ред. 152-ФЗ от 2024 года.

Тренируйте системный анализ — откройте тренажёр с 1500+ вопросами для собесов.