Передача персональных данных по электронной почте

В последнее время достаточно часто задается вопрос о необходимости передачи (отправки) персональных данных по электронной почте (E-mail), в том числе и к осуществлению подготовки к передаче персональных данных через веб-интерфейс почтового Интернет-сервиса. Особенно этот вопрос актуален, когда речь заходит о выполнении комплекса мероприятий по защите персональных данных.

В соответствии с ч.1 ст.19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" оператор персональных данных при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 

Передача (подготовка к передаче) персональных данных по электронной почте осуществляется по каналам связи, имеющим выход за пределы контролируемой зоны по TCP-портам: IMAP – 143 и 993; POP3 – 110 и 995; SMTP – 25, 587 и 465; HTTP – 80; HTTPS – 443.

В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 №21, оператор персональных данных при передаче (подготовке передачи) персональных данных по электронной почте выполняет следующие меры безопасности персональных данных:

Реализация базовой меры ЗИС.3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения с использованием сертифицированных ФСБ России СКЗИ в соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.

С учетом вышеизложенного, передача (подготовка передачи) персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ не обеспечивает защиту персональных данных от раскрытия, модификации и навязывания (ввода ложной информации). Таким образом, ЗАПРЕЩЕНО операторам персональных данных осуществлять передачу (подготовку к передаче) персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ

Передача (подготовка к передаче) персональных данных по электронной почте без использования сертифицированного ФСБ России СКЗИ является фактом разглашения персональных данных и нарушением требований к защите персональных данных, установленных Законом о персональных данных. Лица, осуществляющие передачу (подготовку к передаче) персональных данных по электронной почте, а также с использованием информационно-телекоммуникационной сети "Интернет", без использования сертифицированных ФСБ России СКЗИ, несут предусмотренную законодательством Российской Федерации ответственность:
  • дисциплинарную (п.«в» ст.81 ТК РФ);
  • гражданско-правовую (ст.151 ГК РФ);
  • административную (ч.1 ст.13.6,  ч.6 ст.13.12, ст.13.14, ч.7 ст.13.15 КоАП РФ);
  • уголовную (ст.272 УК РФ).

ВЫВОДЫ
Операторам персональных данных ЗАПРЕЩЕНА передача (подготовка к передаче) персональных данных по электронной почте без использования СКЗИ.

В целях обеспечения безопасности персональных данных операторы персональных данных обязаны осуществлять передачу (подготовку к передаче) персональных данных по электронной почте с использованием сертифицированных ФСБ Росси СКЗИ и выполнять базовые меры АВЗ.1, ЗИС.3, ОЦЛ.4.

Операторы персональных данных осуществляющие передачу (подготовку к передаче) персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ несут предусмотренную законодательством Российской Федерации ответственность.