Мессенджеры и почтовые сервисы в свете закона о перс.данных

Правовые вопросы
,
1

Какими мессенджерами и почтовыми сервисами можно пользоваться для пересылки счетов,договоров,доверенностей и т.п. контрагентам,сотрудникам в др.офисы в свете закона о персональных данных? Или есть иные специальные сервисы , работа с которыми одобрена?

2

В свете требований законодательства о персональных данных (в первую очередь — Федерального закона № 152-ФЗ «О персональных данных»), пересылка документов, содержащих персональные данные (например, счетов с реквизитами физлиц, договоров с паспортными данными, доверенностей и т.д.), требует соблюдения нескольких условий:

:white_check_mark: Что важно соблюдать при передаче документов:

  1. Зашифрованный канал передачи
    Передача должна осуществляться через защищённый канал связи (например, HTTPS, TLS). Это исключает обычные мессенджеры без шифрования.
  2. Легитимная обработка персональных данных
    Нужно иметь согласие субъекта ПДн на их передачу (например, сотрудника или контрагента-физлица), если это не предусмотрено законом или договором.
  3. Российская юрисдикция
    Если вы — оператор ПДн, обязаны хранить и обрабатывать ПДн на территории РФ (ст. 18.1 Закона № 152-ФЗ). Это касается и использования облачных сервисов.
  4. Контроль доступа и журналирование
    Должна быть возможность установить, кто, когда и что пересылал. Это важно при проверках Роскомнадзора.

:stop_sign: Что не рекомендуется использовать:

  • Gmail, Outlook, iCloud и др. иностранные почтовые сервисы
    Их сервера расположены за пределами РФ, что нарушает требование локализации ПДн.
  • WhatsApp, Telegram, Viber, Signal и др. мессенджеры
    Они не обеспечивают контроль над маршрутом передачи данных и не находятся под юрисдикцией РФ.

:white_check_mark: Рекомендованные инструменты:

:open_mailbox_with_raised_flag: Почтовые сервисы:

  • Яндекс 360 для бизнеса
  • Mail.ru для бизнеса (VK WorkMail)
  • Рутокен.Почта
  • Код Безопасности (защищённая почта с криптозащитой)

Все они поддерживают локализацию ПДн, TLS-шифрование, аудит и позволяют заключить договор с оператором, выполняющим функции по обработке ПДн.

:paperclip: Для защищённой пересылки документов:

  • Диадок, СБИС, Контур.Диадок — для ЭДО
  • WorkFlow, Docsvision, Тензор (СБИС.Документы) — корпоративные документообороты
  • Яндекс Облако S3 с шифрованием и правами доступа
  • VK WorkCloud, МойОфис: Облако — с функциями ограничения доступа и хранения на территории РФ

:pushpin: Что можно сделать прямо сейчас:

  • Перевести документооборот на ЭДО (электронный документооборот) — это решает сразу несколько проблем с безопасностью, юрисдикцией и логированием.
  • Отказаться от пересылки чувствительных документов через персональные мессенджеры и почты сотрудников.
  • Включить в договор с сотрудником или контрагентом положения о передаче ПДн через определённые каналы связи.
3

Вот таблица с обзором рекомендуемых сервисов, которые соответствуют требованиям закона о персональных данных и подходят для пересылки счетов, договоров, доверенностей и других документов.

Сравнение сервисов для пересылки документов с ПДн

Сервис Юрисдикция РФ Поддержка ПДн (локализация) Шифрование (TLS/внутреннее)
Яндекс 360 для бизнеса Да Да Да
Mail.ru (VK WorkMail) Да Да Да
Рутокен.Почта Да Да Да
СБИС (Тензор) Да Да Да
Контур.Диадок Да Да Да