Алексей Ветров
Эксперт по защите данных IC-TECH
Да, электронная подпись (ЭП) относится к персональным данным, поскольку она однозначно связана с конкретным физическим лицом и позволяет его идентифицировать. Более того, в зависимости от типа ЭП (простая, усиленная неквалифицированная или квалифицированная) в её составе содержатся сведения, которые прямо относятся к субъекту персональных данных — например, ФИО владельца, сертификат ключа, информация об организации, выдавшей подпись.
Почему ЭП — это ПДн:
- электронная подпись индивидуализирует человека;
- сертификат ключа проверки подписи содержит персонализированные данные;
- использование подписи даёт возможность идентифицировать субъекта и его действия в электронных системах.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Электронная подпись относится именно к такой информации.
- ФЗ-63 «Об электронной подписи» — сертификат ключа проверки электронной подписи содержит сведения о владельце (например, ФИО), что подтверждает её связь с персональными данными.
- Письмо Роскомнадзора от 2013 г. № 08-73509 — указано, что электронная подпись квалифицируется как персональные данные.
Практика и позиция Роскомнадзора
Роскомнадзор в проверках и разъяснениях указывает: хранение и использование ЭП требует выполнения требований ФЗ-152. Например:
- в организации сертификаты ЭП сотрудников хранились в общей папке без защиты. РКН признал это нарушением, так как отсутствовали меры по ограничению доступа к ПДн;
- в другой компании применялось разграничение прав доступа к ЭП, велся журнал их использования. Такая практика была признана соответствующей закону.
Что важно учитывать организациям
- Электронная подпись требует защиты наравне с другими персональными данными.
- Хранение ключей ЭП должно быть организовано безопасно (например, на токенах или защищённых носителях).
- Доступ к ЭП должен быть только у владельца или уполномоченных лиц при наличии оснований.
Рекомендации и выводы
Да, электронная подпись — это персональные данные. Организация обязана:
- Относиться к ЭП как к ПДн, закрепив это в локальных документах.
- Обеспечить их хранение и использование с мерами защиты по ФЗ-152.
- Ограничить доступ к ЭП только уполномоченными лицами.
- Включить порядок обращения с электронными подписями в комплект документов по ФЗ-152.
Компания ICTech поможет вашей организации разработать регламенты хранения и использования ЭП, а также подготовить полный пакет документов по ФЗ-152 для прохождения проверок без нарушений.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
