Разрешено ли хранение ПДн в мессенджерах?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Хранение персональных данных в мессенджерах (WhatsApp, Telegram, Viber и др.) — одна из наиболее рискованных практик. Закон прямо не запрещает такой способ, но в большинстве случаев он не соответствует требованиям ФЗ-152, так как оператор обязан обеспечивать сохранность ПДн, а мессенджеры не предоставляют достаточных гарантий защиты.

Почему возникают риски:

- мессенджеры работают через серверы третьих лиц, которые могут находиться за пределами РФ;
- отсутствует контроль оператора за безопасностью хранения данных;
- возможен несанкционированный доступ (утеря телефона сотрудника, взлом аккаунта, синхронизация с облаком);
- невозможно документально подтвердить уничтожение ПДн в мессенджере.

Когда хранение может считаться допустимым:

- если мессенджер используется только как дополнительный канал оперативной коммуникации, а основные данные фиксируются в защищённых системах (CRM, корпоративная почта, серверы в РФ);
- если оператор принимает дополнительные меры защиты: шифрование устройств, ограничение доступа, внутренние регламенты по использованию мессенджеров.

Обоснование по законодательству

• Ст. 19 ФЗ-152 — оператор обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн.
• Постановление Правительства РФ № 1119 от 01.11.2012 — устанавливает требования к мерам защиты ПДн.
• Ст. 18.1 ФЗ-152 — оператор обязан публиковать и реализовывать политику обработки ПДн, включая порядок хранения.
• Ст. 13.11 КоАП РФ — нарушение требований хранения и защиты ПДн влечёт штраф.

Позиция Роскомнадзора и примеры из практики

Роскомнадзор в своих методических рекомендациях указывает, что использование мессенджеров для хранения и передачи ПДн не обеспечивает достаточной защиты. В ряде проверок компании привлекались к ответственности за то, что клиентские данные фактически хранились и использовались в личных WhatsApp сотрудников.

Например, в одной организации переписки с паспортными данными клиентов велись только через мессенджер. Проверка признала это нарушением требований к защите ПДн и назначила штраф. В другой компании мессенджеры применялись для уведомлений, но копии документов сохранялись в защищённой CRM — такой подход был признан соответствующим требованиям.

Особенности, которые нужно учитывать

Если компания использует мессенджеры в работе, важно закрепить это в локальных актах и ограничить круг допустимой информации. Полные наборы ПДн (паспорт, СНИЛС, медицинские данные) хранить в мессенджерах нельзя. Допустимо только передавать минимально необходимые сведения и тут же фиксировать их в официальных системах.

Рекомендации и выводы

Формально хранение ПДн в мессенджерах не запрещено, но фактически не соответствует требованиям безопасности. Чтобы минимизировать риски, компании нужно:

1. Запретить сотрудникам хранить полные наборы ПДн в мессенджерах.
2. Оформить внутренний регламент использования мессенджеров.
3. Обеспечить фиксацию данных в защищённых системах (CRM, сервер в РФ).
4. Обучить сотрудников правилам безопасной переписки с клиентами.
5. Включить этот порядок в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламент использования мессенджеров, выстроить систему безопасного хранения ПДн и подготовить пакет документов по ФЗ-152. Это позволит законно работать с клиентами и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге