Передача персональных данных через мессенджеры: как не нарушить закон и избежать штрафов

Безопасность персональных данных в мессенджерах – одна из самых острых проблем последних лет. С одной стороны, мессенджеры удобны для быстрого обмена информацией, но с другой – их использование в бизнес-процессах может привести к серьезным юридическим рискам. После ужесточения законодательства и многочисленных штрафов Роскомнадзора компании столкнулись с реальной угрозой санкций до 6 млн рублей за нарушение Федерального закона 152-ФЗ «О персональных данных».

Опасны утечки через иностранные сервисы, потому что данные могут попасть в руки недобросовестных иностранных компаний или злоумышленников, а государство в лице Роскомнадзора не сможет своевременно реагировать на возможные угрозы.

Чем рискует бизнес:

• Проверки РКН с требованием доказать легальность передачи ПДн.
• Иски от клиентов за разглашение их данных.
• Блокировка корпоративных аккаунтов в случае использования запрещённых сервисов.

В условиях ужесточения контроля со стороны регуляторов и роста киберугроз бизнесу критически важно пересмотреть подходы к передаче конфиденциальной информации и внедрить безопасные альтернативы, например КриптоАРМ ГОСТ 3.

Что считается персональными данными и их передачей

В рамках Федерального закона № 152-ФЗ 

Многие думают, что одних лишь фамилии, имени и отчества достаточно, чтобы считать их персональными данными. Однако это не совсем так – в России могут существовать сотни людей с одинаковыми ФИО. Ключевой момент заключается в том, что ФИО становится ПДн в сочетании с дополнительной идентифицирующей информацией: номер телефона, дата рождения, id в интернете или email.

Законодательство классифицирует персональные данные по четырём уровням конфиденциальности:

Такое разделение помогает определить степень конфиденциальности информации и регулировать её обработку в соответствии с законодательством.

Также Федеральный законом № 152-ФЗ содержит несколько определений, что понимается под передачей ПДн.

Персональные данные могут передаваться и в другие страны.

Какие законы регулируют передачу персональных данных через мессенджеры

Мессенджеры прочно вошли в жизнь людей и бизнеса. Но чем больше мы передаем через них данных, тем выше риск, что конфиденциальная информация попадет к третьим лицам. Поэтому важно понимать, какие законы защищают персональные данные в мессенджере и как им следовать. В России основные правила устанавливаются следующими ключевыми законами и нормативными актами:

1. Федеральный закон «О персональных данных» (152-ФЗ)

В Российской Федерации основным документом, регламентирующим работу с персональными сведениями, выступает Федеральный закон № 152-ФЗ. Этот законодательный документ определяет важнейшие принципы обращения с личной информацией граждан.

Основные положения закона включают:

1. Правовое определение персональных данных. Под таковыми понимаются любые сведения, позволяющие прямо или косвенно идентифицировать физическое лицо. Это может быть как стандартная анкетная информация, так и цифровые идентификаторы.

2. Требования к обработке информации. Законодатель устанавливает строгие правила работы с данными:

• Обязательность получения согласия от субъекта (за исключением случаев оговоренных законом);
• Ограничение обработки заранее определенными целями
• Соблюдение принципов конфиденциальности и безопасности

3. Обязанности операторов персональных данных. Компании и организации, работающие с личной информацией (включая мессенджеры), должны:

• Обеспечивать надежную защиту данных
• Хранить информацию на серверах, расположенных на территории РФ
• Следовать установленным процедурам передачи сведений

4. Особенности трансграничной передачи данных. При необходимости пересылки информации за пределы России оператор обязан:

2. Постановление Правительства № 1119 (требования к безопасности ПДн)

Этот документ определяет уровни защищенности ПДн и обязывает операторов применять меры в зависимости от категории информации:

3. Закон «О связи» (126-ФЗ)

Федеральный закон № 126-ФЗ регулирует деятельность телекоммуникационных сервисов, включая мессенджеры:

4. Закон «О национальной платежной системе» (161-ФЗ)

Если мессенджер поддерживает переводы денег (как Telegram или WhatsApp Pay), он должен проверять личность пользователей при финансовых операциях.

5. Регулирование иностранных мессенджеров (Закон о «суверенном интернете» и ограничения РКН)

Роскомнадзор может ограничивать работу мессенджеров, если они:

6. КоАП РФ 

Статьи 13.11 и 19.7 КоАП РФ устанавливают штрафные санкции за нарушение законов в области работы с ПДн.

Какие мессенджеры запрещено использовать для передачи персональных данных

Роскомнадзор определяет перечень иностранного ПО, использование которого ограничено на территории РФ. На данный момент к запрещенным мессенджерам относятся:

• Discord
• Snapchat
• Microsoft Teams
• Threema
• Viber
• WhatsApp
• WeChat
• Telegram

Какие документы нужны бизнесу для законной передачи ПДн

Работа с персональными данными (ПДн) и рассылкой рекламы через мессенджеры требует строгого соблюдения законодательства. Разберём ключевые требования и документы, которые необходимо подготовить компаниям.

1. Подготовка к обработке персональных данных

Прежде чем начинать сбор и обработку ПДн, организация должна:

Когда можно не уведомлять Роскомнадзор?

С 1 сентября 2022 года уведомление не требуется, если:

Как подать уведомление?

Если уведомление необходимо, его можно направить:

После подачи заявления в течение 30 дней компанию вносят в реестр операторов персональных данных. Если информация указана не полностью, ведомство может запросить уточнения.

2. Обязательные документы для работы с клиентами

Для законного взаимодействия с пользователями через мессенджеры бизнесу понадобятся:

1. Политика обработки персональных данных

Документ должен содержать:

2. Согласие на обработку персональных данных

Согласие берётся у пользователя перед сбором данных и должно включать:

Что делать после подготовки документов

После оформления всех документов и внесения в реестр Роскомнадзора бизнес может:

Для легальной трансграничной передачи персональных данных компании необходимо подать уведомление через портал Госуслуг, используя подтвержденную учетную запись. В заявке указываются сведения об организации, перечень передаваемых данных, страны-получатели и обоснование необходимости передачи. Документ заполняется в электронной форме согласно установленным требованиям Федерального закона № 152-ФЗ.

После подачи заявления статус рассмотрения можно отслеживать в личном кабинете на сайте Роскомнадзора. Разрешение выдается только для стран с адекватным уровнем защиты данных. В иных случаях потребуется дополнительное согласие субъектов данных. Компания обязана обеспечить безопасность информации на всех этапах трансграничного обмена.

Соблюдение этих правил поможет бизнесу избежать штрафов и работать с клиентами легально.

Политика обработки персональных данных

Закон обязывает все компании, обрабатывающие персональные данные, разработать и опубликовать Политику обработки таких данных (Политику конфиденциальности). Этот документ должен быть общедоступен на всех цифровых платформах компании:

В Политике необходимо детально указать:

Документ должен быть составлен понятным языком без двусмысленных формулировок и содержать исчерпывающую информацию о всех аспектах работы с персональными данными в организации.

Согласие на обработку персональных данных

Согласно статье 9 Федерального закона №152-ФЗ согласие субъекта на обработку персональных данных является обязательным документом при любых операциях с личной информацией. Рассмотрим ключевые требования к его оформлению.

Обязательные элементы согласия

1. Сведения об операторе: 

• Полное наименование компании-оператора
• Контактные данные ответственного лица

2. Информация о субъекте данных:

• ФИО полностью
• Паспортные данные (серия, номер, кем и когда выдан)
• Адрес регистрации

3. Содержательная часть:

• Четко сформулированная цель обработки (одна конкретная цель)
• Исчерпывающий перечень запрашиваемых данных
• Срок действия согласия
• Процедура отзыва согласия с указанием контактов для обращения

Практические рекомендации

1. Принцип минимальной достаточности – запрашивать необходимо только те данные, которые действительно нужны для заявленной цели.

2. Форма предоставления согласия:

• Письменная подпись на бумажном носителе

• Электронная форма с подтверждением через:

  • Галочку в чекбоксе

  • СМС-подтверждение

  • Электронную подпись

3. Особые требования:

• Запрещено объединять несколько целей обработки в одном согласии.
• Не допускается получение согласия «на все случаи жизни».
• Механизм отзыва согласия должен быть простым и реализуем для обычного пользователя.

Пользовательское соглашение

Пользовательское соглашение (оферта) – это юридический документ, который регулирует отношения между компанией и пользователем её сервиса, сайта или приложения. Оно определяет права, обязанности и условия взаимодействия сторон.

Что должно включать в себя пользовательское соглашение

1. Предмет соглашения

• Какие услуги или функционал предоставляет компания.
• На каких условиях пользователь может ими воспользоваться.

2. Порядок регистрации и использования

• Требования к аккаунту (например, подтверждение email или телефона).
• Правила поведения пользователей (запрет на спам, мошенничество и т. д.).

3. Интеллектуальная собственность

• Какие материалы (тексты, изображения, код) принадлежат компании.
• Разрешение на копирование и распространение контента.

4. Ограничение ответственности

• В каких случаях компания не отвечает за сбои в работе сервиса.
• Предупреждение о том, что пользователь несет ответственность за свои действия.

5. Условия изменения и расторжения

• Может ли компания в одностороннем порядке менять условия.
• Как пользователь может отказаться от услуг.

6. Персональные данные

• Ссылка на Политику конфиденциальности.
• Перечень собираемых данных и способы обработки.

7. Разрешение споров

• В каком порядке рассматриваются конфликты (претензионный порядок, суд).
• Какое законодательство применяется.

Для чего необходимо пользовательское соглашение

Как оформить соглашение

Как передавать персональные данные через мессенджеры законно

Рассмотрим три законных способа передачи ПДн через мессенджеры, уделив особое внимание шифрованию с помощью КриптоАРМ.

Использование российских мессенджеров

Российское законодательство предписывает хранить и обрабатывать ПДн на серверах, расположенных в РФ. Поэтому для передачи персональных данных можно использовать отечественные мессенджеры, такие как:

• VK Мессенджер;
• Р7-Офис Мессенджер.

Эти сервисы обеспечивают соответствие требованиям Федерального закона 152-ФЗ, но их защищенность зависит от внутренних механизмов шифрования.

Передача данных внутри корпоративных защищенных платформ

Крупные компании часто используют корпоративные мессенджеры с дополнительными уровнями защиты:

• СБИС (российская платформа с поддержкой ЭП);
• Matrix (Element) с развертыванием на своих серверах.

Такие решения минимизируют риски утечек, но требуют настройки и контроля со стороны ИБ-специалистов.

Использование КриптоАРМ для шифрования документов с ПДн

Наиболее надежный способ – передача ПДн в зашифрованном виде. Для обработки шифрования ПДн нужно средство ЭП сертифицированное. Для этого отлично подойдет приложение КриптоАРМ ГОСТ 3. Это российское ПО для криптографической защиты информации, соответствующее требованиям ФСБ России.

Чтобы передавать персональные данные через мессенджеры с КриптоАРМ необходимо:

1. Установить КриптоАРМ ГОСТ 3 (с GooglePlay или RuStore).
2. Подготовить файл с ПДн.
3. Зашифровать файл в КриптоАРМ.
4. Отправить зашифрованный файл через любой мессенджер (даже зарубежный, т.к. данные защищены).
5. Расшифровать файл своим сертификатом.

Преимущества КриптоАРМ

• Соответствует 152-ФЗ и 63-ФЗ об электронной подписи.
• Защищает информацию от перехвата, даже если мессенджер не использует E2E-шифрование.
• Поддерживает ГОСТ-алгоритмы, что актуально для российских компаний и госструктур.
• Подписывает файлы электронной подписью для доказательства целостности.

Советы по работе с КриптоАРМ

• Использовать актуальные сертификаты.
• Не передавать пароли для расшифрования от отчуждаемых ключевых носителей с сертификатами через тот же мессенджер.

Как безопасно передать документы с персональными данными через Telegram с помощью КриптоАРМ 

1. Перед операцией шифрования необходимо убедиться, что в приложении есть личные сертификаты или контакты с привязанными сертификатами.

2. В разделе Документы перейти в мастер Подпись и шифрование.
   

3. Добавить в приложение КриптоАРМ файл с ПДн. Для этого необходимо нажать на кнопку в виде красного плюса. В появившемся окне выбрать способ добавления файла: Из архива или С устройства.
   

4. После того, как файл с ПДн добавлен в мастер Подпись и шифрование, необходимо настроить профиль. Для этого заходим в Настройки профиля. По умолчанию уже выбрана операция Подпись, вместо нее выбираем Шифрование. После чего возвращаемся в мастер Подпись и шифрование. 
   

5. Если в приложении уже есть личные сертификаты или контакты с привязанными сертификатами, то поле Подпись автоматически заполнится (при необходимости можно изменить), если нет, то останется пустым и необходимо импортировать сертификат в приложение.

6. После того, как все поля (Настройки профиля, Получатели, Документы) мастера Подпись и шифрование заполнены, нажать кнопку Выполнить. Появится окно с результатами выполненной операции (зашифрованный файл с ПДн).
   

7. В окне результатов операций в меню у зашифрованного файла необходимо выбрать пункт Поделиться и далее выбрать мессенджер, в который хотим отправить файл (например, Telegram). Откроется окно мессенджера Telegram со списком диалогов, где выбираем необходимый для отправки зашифрованного файла с ПДн.
   

8. Файл с персональными данными зашифрован в КриптоАРМ и отправлен через мессенджер. Получатель скачает файл и расшифрует его своим сертификатом электронной подписи. При этом конфиденциальная информация защищена.

9. Чтобы получателю расшифровать полученный файл необходимо открыть приложение КриптоАРМ, в котором уже должен быть сертификат электронной подписи, и в разделе Документы перейти в мастер Проверка и расшифрование.
   

10. В открывшийся мастер Обратные операции необходимо добавить зашифрованный файл. Для этого необходимо нажать красную кнопку с плюсом в правом нижнем углу. В появившемся модальном окне выбираем способ добавления файла и далее сам файл.
    

11. После загрузки зашифрованного файла в мастер Обратные операции расшифрование происходит автоматически (при наличии сертификата электронной подписи). Для дальнейшей работы с расшифрованным файлом необходимо нажать на три точки справа от него и выбрать необходимое действие.
    

Заключение

Если нужно быстро и безопасно передать персональные данные через мессенджер, шифрование с КриптоАРМ – оптимальный вариант. Это гарантирует законность передачи и защиту от утечек, даже если мессенджер не соответствует требованиям 152-ФЗ. Для корпоративного обмена лучше использовать российские мессенджеры или защищённые платформы, но в критичных случаях всегда выбирайте криптографическую защиту.