Пока на высшем уровне вырабатывается решение, как жить с законом о персональных данных после 1 января, на грешной земле появляются вполне конкретные практические задачи, которые нужно решать уже сейчас. Область очень неоднозначная и рекомендация по решению конфликтных ситуаций может быть только одна - стараться прийти к "мировой".
Как раз о таком примере мне дали согласие рассказать:
Недавно ко мне обратились представители небольшой IT-компании (Компания), которая самостоятельно разработала и приступила к эксплуатации системы Электронный дневник www.e-sch.ru. Суть их бизнеса заключается в предоставлении на договорной основе родителям сведений о текущей успеваемости и посещаемости их детей.
Проблемы у Компании начались несколько месяцев назад, когда один из родителей предъявил претензии в незаконной обработке персональных данных. Последующая эскалация конфликта вышла на уровень администрации.
До этого момента примеров реальной угрозы закрытия IT-стартапа из-за невыполнения требований закона о персональных данных я не знал. Случай очень необычный и заинтересовал меня. Я согласился поучаствовать во встрече заинтересованных сторон.
Что же было?
В качестве «пилотной» зоны проекта внедрения системы Электронный дневник была выбрана одна из общеобразовательных школ Москвы. Благодаря существующему спросу в рамках различных программ (в том числе общественных и региональных) сегодня появляется масса аналогичных сервисов.
Итак, система работала следующим образом:
Родители заключают договор с Компанией на оказание услуг, а именно на доступ к сведениям об успеваемости и посещаемости своих детей на сайте Компании, и получении регулярных смс-сообщений с той же информацией.
В отличие от большинства аналогичных сервисов участие администрации школы не требовалось, всю работу осуществляли представители Компании. Они, по договоренности с администрацией школы, устанавливали необходимое оборудование на территории школы (электронная пропускная система). Информацию об успеваемости и посещаемости представитель Компании получал из классного журнала по окончанию занятий, после чего руками вносил эту информацию в свою информационную систему.
К информационной системе доступ родителей осуществлялся при введении ФИО ученика и пароля, на соответствующей странице сайта. Также ежедневно родители получали смс-уведомления о входе\выходе своего ребенка из школы с точным временем и именем ученика.
Компанией в автоматизированной форме обрабатывались следующие сведения:
1. ФИО родителей 2. Адрес проживания ученика 3. ФИО ученика 4. Данные школы (номер, адрес, данные ответственных лиц и т.д.) 5. Номер класса 6. Номер договора 7. Номер телефона родителя 8. Данные об успеваемости 9. Данные о посещаемости
На встрече заинтересованных сторон выяснилось, что родитель, высказавшийся с претензиями в адрес Компании, требует предъявить "аттестат соответствия информационной системы персональных данных (ИСПДн) требованиям законодательства". Компания провела анализ стоимости проведения подобных мероприятий. Без учета стоимости внедрения необходимых технических средств и консалтинговой работы сумма составила 640 тыс. рублей (полное выполнение мероприятий могло увеличить цену в несколько раз). Очевидно, что для стартапа подобное требование означает неминуемую гибель (а где-то строят информационное общество ;-) ). Не смотря на то, что при хорошей юридической поддержке Компания могла оспорить некоторые претензии, доводить дело до суда, также означало закрытие проекта, поскольку времени на тяжбу практически не оставалось.
Очевидно, что тривиального решения нет. Тем не менее, решение было найдено и достаточно быстро.
Решение
В результате беседы выяснилось, что для выполнения условий договора достаточно осуществлять обработку только части собираемых сведений. А именно тех сведений, которые позволяют оператору персональных данных производить смс-рассылку, предоставлять родителям доступ к оценкам и посещаемости детей.
ФИО родителей и учеников было предложено не обрабатывать в информационной системе вовсе, а вместо этого осуществлять привязку сведений к номеру договора на оказание услуг.
Также было предложено осуществлять доступ, к сайту используя номер договора на предоставление услуг без упоминания ФИО ученика.
Данные о школе и о классе, в котором обучается ученик, было также предложено исключить.
В результате, в информационной системе остались следующие сведения:
1. Номер договора 2. Номер телефона 3. Данные об успеваемости 4. Данные о посещаемости
На основании этих данных невозможно определить их принадлежность к конкретному субъекту персональных данных. Более того, здесь присутствуют данные 2-субъектов (родителя и ученика).
Согласно действующему законодательству данные сведения, в лучшем случае, можно определить как обезличенные персональные данные (хотя и это вызывает сомнение некоторых специалистов, введу того, что здесь присутствуют сведения двух субъектов, а, следовательно, персональными данными эти сведения назвать нельзя).
Требования к защите обезличенных персональных данных, согласно законодательству, не установлены и определяются оператором. Более того, по просьбе родителей, представители Компании согласились осуществлять шифрование номеров телефонов, используя технологию шифрования по полю.
Таким образом, было достигнуто мировое соглашение всех заинтересованных сторон. Сэкономлены деньги и, что немаловажно, нервные клетки всех участников.
Да-да, правильно. Не всегда надо сразу закупать технические средства, сначала необходимо провести обследование и правильно классифицировать ИСПДн. Я бы даже ввел понятие оптимизация класса ИСПДн. Правильным образом выбирая ИСПДн, оптимизируемая его путем устранения каких-либо избыточных данных, сегментируя ИСПДн на несколько систем, можно существенно снизить расходы на приобретение и обслуживание средств защиты информации.
Поэтому считаю, что именно информационно-аналитическая работа, предпроектное обследование и т.д. является основой для применения любых средств защиты
>Без учета стоимости внедрения необходимых технических средств и консалтинговой работы сумма составила 640 тыс. рублей(полное выполнение мероприятий могло увеличить цену в несколько раз)
И какие же технические средства были необходимы?
Dan: Технику я не оценивал, сейчас дешевого консалтинга нет.
Тогда в каком виде осталась связка «ФИО ученика и родителя — номер договора»? Чисто на бумаге, вне ИС?
Да, теперь должны будут сделать именно так
Вы писали: «Информацию об успеваемости и посещаемости представитель Компании получал из классного журнала по окончанию занятий, после чего руками вносил эту информацию в свою информационную систему.»
Каким образом будет обрабатываться информация после вашего решения проблемы? Если так же вручную, то не слишком ли усложниться задача?
Вот мне тоже кажется, что процесс несколько усложняется выводом некоторых функций ИС, которые фактически выполняла автоматика, в ручную обработку, причём в дополнение к той нагрузке, что уже была раньше — каждодневный перенос оценок из журналов в ИС. Причём, выполняя эту процедуру, человек тратит дополнительное время на поиск соответствия номера договора конкретному ученику (в журнале ведь только Фамилия Имя).
Меньше денег, но больше времени…
to kz:
А кто сказал что они так и работают?
Я думаю это грамтное оформление документации и только =)
@yar:
Думаю что грамотное оформление документации и реальная работа системы должны совпадать. Если они не совпадают и это откроется (а в компании тоже могут быть недовольные чем то люди), то тут будет тьма исков. ИМХО так делать не надо.
@yar: вариант «написал одно — сделал совсем другое», как мне кажется, даже бесполезно обсуждать — если исходить из такой логики, то никакие мероприятия даже пытаться проводить не нужно, а спокойно сидеть и ждать исков, или пока не придут злые дяди с проверкой :)
Хорошая метода… можно взять на вооружение в качестве реального примера.
«Согласно действующему законодательству данные сведения, в лучшем случае, можно определить как обезличенные персональные данные». Нет в нашем законодательстве такого термина. Есть термин обозначающий процесс обезличивание, при прохождении которого персональные данные перестают быть таковыми по определению, а следовательно их обработка не подчиняется ст19…
Кстати ребята связались с шифрованием.. А лицензии ФСБ они получили, или по методике АРБ планируют увильнуть?
2 Ivan Klimenko
http://www.wikisec.ru/index.php?title=Категория_персональных_данных
См. «категория 4 — обезличенные и (или) общедоступные персональные данные.»
@Ivan Klimenko:
Вот очередной пример «трактовки». Информация относится к определенному лицу. К конкретному ученику. Это персональные данные. К какому именно — определелить невозможно. Следовательно — обезличенные. Это в общем. А в частности — если родителям присылают сведения о каком-то среднем ученике — это никому не нужно. А если об их родимом чаде — значит все-таки определить можно. Это к процедуре обезличивания. И к термину. И к определению класса ИСПДн. Кстати, один из вариантов здесь — 687 ППРФ.
Причем на мой взгляд рисков меньше будет. Ибо обезличенность — весьма скользкая тема на сегодня, а вот по 687 юристам проще.
Спасибо всем поправившим… я 781 ПП знаю… однако для того чтобы использовать некий термин в подзаконном акте, необходимо его определить хотя бы в самом подзаконном акте, и уж впоследствии использовать.. вот к 4й категории относятся общедоступные ПДн, тут нет вопросов, т.к. термин определён в ФЗ152. А вот откуда взялись обезличенные ПДн непонятно. Если законодатель нам самим предоставляет право определять что есть обезличенные ПДн, то что нам мешает подвести под них все необходимые нам категории. При таком подходе ничего. С другой стороны если определить их как прошедших процедуру обезличивания, то какое отношение они имеют тогда к персональным данным, определяемых в законе ФЗ152.
С другой стороны, если у нас задача уйти под 687ПП, то какая разница, какой категории ПДн, если в 697ПП есть п.15
«если в 697ПП есть п.15» = «если в 687ПП есть п.15″
Идеальных решений сейчас не существует и учитывая нормативную базу не может существовать в принципе. Например, в данном случае, для бизнеса действительно было проще перевести часть процессов на бумагу и получать максимум мелкие предписания от основного регулятора. В других компаниях такой переход может оказаться и вовсе невозможным. Хотя самая основная цель — это договориться
2 Иван
«С другой стороны если определить их как прошедших процедуру обезличивания, то какое отношение они имеют тогда к персональным данным, определяемых в законе ФЗ152.»
— Именно такой точки зрения я и придерживаюсь :-)
— вопрос неоднократно обсуждался…
Еще их называют «бывшие ПДн» ;-)
Меня немного осенило при наполнении Энциклопедии ИБ (wikisec.ru) ;-)
Смотрим внимательно определение «обезличивание персональных данных»
Оказывается, для того чтоб обезличить ПДн не обязательно что то делать непосредственно с ПДн !!!
«Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.»
Получается: Действия — которые не позволяют выполнить Действие !!!
Выключить свет в читальном зале — обезличивание ПДн !!!
Оказывается, для того чтоб обезличить ПДн не обязательно что то делать непосредственно с ПДн !!! Более того не обязательно нужно что то делать с ИСПДн !!!
Другими словами: Обезличенные ПДн это не какой то набор ПДн это состояние ПДн !!!
В результате обезличивания ПДн получаются не «обезличенные ПДн» — получается состояние ПДн при котором их нельзя отнести к субъекту !!!
вот представьте…. есть конвеер где рабочий собирает из 3х деталей изделие…
собранное изделие — определение субъекта
есть способ не дать собрать изделие — убрать одну деталь из 3х (обезличить)
но есть и другие способы !!! — остановить конвеер, выгнать рабочего и т.п.
Использование алгоритма обезличивания как алгоритма, который ломает алгоритм определения субъекта — это обезличивание… вот я о чем…
А что мешало с самого начала не собирать адреса и прочие лишние ПД? Жадность мешала.
@swan:
Скажите, а в чем Вы видите разницу между «относятся к определенному» и «относятся к определяемому на основании»?
т.е. ФИО и адрес — это данные, которые «относятся к определенному»? или к «определяемому на основании»? Я понимаю так, что и первое и второе. Это ФИО и адрес конкретного субъекта и этого самого субъекта вполне можно опеределить по этим данным.
А вот если у нас есть «был в этот день в школе с-до» («да/нет») — это про конкретного субъекта, но опеределить на основании таких данных невозможно. Т.е. данные являются персональными, если они относятся к субъекту, вне зависимости от того можете вы субъекта определить или нет. Почему часто пытаются поставить равенство между персональными и идентифицирующими данными?
@swan: остановить конвеер и выгнать рабочего — это применимо к ИСПДн означает не обрабатывать вообще персональные данные. Это конечно проще всего — ничего не обрабатывать, тогда и не надо будет ничего защищать! :D
2 voldemar
Вы все верно пишете…
Но не совсем понятно как классифицировать ИСПДн по 4 классу если нет четких определений обезличенных ПДн и определяемости…
@swan:
Вот ведь какая ситуация складывается, и меня именно это и «огорчает». Дело в том, что подобные решения, с «обезличиванием», «декомпозицией ИСПДн» и т.п. консультанты внедряют как некую панацею, а о возможных рисках, связанных с неоднозначностью трактовок и т.п. как-то умалчивают. При этом практически всегда эта «скользкая» тема обходится сторой и когда ее поднимаешь — часто оказывается, что эти риски неприемлимы для заказчика, а ресурсы уже потрачены и надо предпринимать существенно больше усилий для минимизации вновь привнесенных рисков :(
Окей…
Задача — обезличить ПДн в рамках ИСПДн
Решение 1 (трогаем ПДн и не трогаем функционал):
а. Удалить ПДн так чтобы нельзя было определить физ. лицо (представить доказательство)
б. Не трогать функционал ИСПДн
в. Зафиксировать функционал и ввод новых ПДн которые с этим функционалом позволяют определять физ лицо
Решение 2 (трогаем ПДн и трогаем функционал):
а. Рассмотреть вопрос об удалении ПДн в связке с ограничением функционала (представить доказательство)
б. Зафиксировать функционал и ввод новых ПДн которые с этим функционалом позволяют определять физ лицо
Решение 3 (не трогаем ПДн и трогаем функционал):
а. Рассмотреть вопрос об удалении функционала не трогая ПДн (представить доказательство)
б. Зафиксировать функционал и ввод новых ПДн которые с этим функционалом позволяют определять физ лицо
Примечание:
При передаче ПДн за границы ИСПДн — убедиться, что в целевой ИСПДн полученные ими ПДн так же не позволят определять физ. лицо…
Наиболее практичные варианты 1 и 2
3-й судя по всему пока Экзотика…
гуд. но остается открытым вот какой вопрос:
предположение 1: задача выполнена и в рамках нашей ИСПДн определить субъекта «невозможно».
предположение 2: наша ИСПДн1 содержит данные категории 1 (допустим здоровье).
(замечание «А»: в рамках первого предположения второе роли не играет если для признания «обезличенности» достаточно ограничиваться рамками конкретной ИС)
предположение 3: существует некая ИСПДн2, которая содержит общедоступные данные, позволяющие идентифицировать субъектов ИСПДн1.
если «эксперт не знал» о существовании ИСПДн2 и классифицировал ИСПДн1 как 4 какие последствия могут наступить для оператора ИСПДн1?
где проходит та самая граница?
Дык в том философский пес и порылся…
2 swan: Как то заморочено… Попробуйте определить через указание примера реальной жизни. А так мысль интересная..
2 voldemar: Разница между «определенному» и «определяемому» существенная. Если на пальцах, то в первом случае, у нас есть субъект и мы идентифицируем из поля объектов информации те которые «принадлежат» ему, во втором мы по определенному набору таких объектов должны указать их «владельца». В определении категории информации для классификации регулятор нам предложил рассматривать только вторую половину определения, потому как ошибочно полагает, незаконные манипуляции только с такой информацией могут нанести вред субъекту. Вот мы и мучаемся с такими случаями..
А что касается «часто оказывается, что эти риски неприемлимы для заказчика», это просто означает, что аналитику не доплатили и он провёл шаблонный анализ риска, не углубляясь в детали конкретной ситуации…
Ну а что касается обезличивания. Будем проще — поскольку в определении категории есть слово индентифицируют, то предлагаю отвечать на несколько важных вопросов: кто будет это делать? в рамках чего это будет делаться (в пределах орг-и, района. области, отрасли, гос-ва)? Какие ресурсы могут быть (априори полагая наличия только законных методов). Так вот я думаю? ответив на эти вопросы в каждом конкретном случае, мы и поймём, обезличивание имеет место быть или нет.
2 Аноним…
У меня пока мысль — опасно конечно публиковать только мысль но я попробовал ;-)
Из конкретных примеров вспоминается только сказка «про лису и журавля»…
Практический живой пример попробую придумать.. ох уж эти домашние задания :-))
Ну например: для того чтоб было свойство определяемости необходимо
1 — сами ПДН
2 — алгоритм определения
Рассмотрим два варианта:
Исходные данные:
Есть ИСПДн в ней данные:
1. Иванов
2. ген. Директор
3. двое детей
4. зарплата 1млн.
Общепринятый подход обезличивания путем удаления части ПДн:
1. удалено
2. удалено
3. двое детей
4. зарплата 1млн.
Подход связанный с урезанием алгоритма определения:
1. ПДн все на месте
2. В ИСПДн запрещен доступ к полям ПДн 1 и 2 либо на уровне БД либо на уровне урезания ПО которое обращается либо на интерфейсном уровне ПО и т.п.
Второй пример — метод влияния на алгоритм определения.
@swan:
А суть изменений? В ИС все данные остались, категория не изменилась. Применили защитный механизм, который необходимо «сертифицировать». Или я чего-то упустил?
@Anonim:
кто должен ответить на эти вопросы?
Регулятор методики не дал. Все что есть — это определение «обезличивания». Исходя из этого определения практически любой юрист вам пояснит, что «обезличенными» ПДн должны быть не «в рамках конкретной ИС», а «вообще навсегда». Какова практическая ценность такого подхода? Отсюда и выводы, что можно обезличить в рамках одной ИСПДн.
Кто будет оценивать корректность выводов? Кто в случа чего понесет отвественность.
А насчет «недоплатил». Платят за результат. Если вы работу провели, то заинтересованы в том, чтобы разъяснить заказчику результат именно так, как его устроит. И тогда заплатят столько, сколько скажете. И когда потом окажется что вы рассказали не все — то «это зависит от трактовки. мы трактуем так, вы — иначе.» это к вопросу о коррупциогенности нормативной базы по ПДн.
@voldemar:
Я о том и толкую, что можно применить СрЗИ для разграничения доступа в качестве ограничений алгоритмов которые есть.
А можно построить ИСПДн так, чтобы этих алгоритмов изначально небыло. Другими словами архитектура такая.
@swan:
Вот именно в этом месте я что-то упускаю. Данные есть? Есть информация — нужна защита. Если навесное СЗИ не используем, а при построении заложили механизм в «архитектуру» — получили встроенное СЗИ. На каком этапе отпадает необходимость доказывания легитимности применяемых мехонизмов методом «сертифицированности»?
@voldemar:
В том и пародокс !
Представьте Вы сидите в яме а над Вами висит груша…
Она есть но достать Вы ее не можете !!!
А задача стоит какая ? Вы должны сказать горькая она или сладкая на вкус !
Вы сидите за АРМ. Вы знаете что в АРМ есть ПДн но у вас такой АРМ, что на нем две кнопки и все и сколько не жми ПДн не увидеть…
А они там есть…
Короче нужно заканчивать…
ноги растут из за того, что в определении сказано «Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.»
а надо бы:
1. «Обезличивание персональных данных — действия, в результате которых получаются Обезличенные персональные данные.
2. Обезличенные персональные данные — ПДн по которым невозможно определить принадлежность персональных данных конкретному субъекту персональных данных»
Но утверждение 2 — почти противоречит (в части определяемого) определению ПДн:
«Персона?льные да?нные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Таким образом можно было бы написать так:
«Обезличенные персональные данные — любая информация, относящаяся к определенному но не определяемому на основании такой информации физическому лицу (субъекту персональных данных).»
2 voldemar:
А регулятор что существо божественное — если он чего не определил, разве значит, что этого нет? Переформулирую — раз не дал методику значит некому отвечать на вопросы? Он много для чего из методик не дал — ни методики оценки ущерба, ни разницы между 2 и 3 категорией ПДн и тд.. А 160ФЗ на что… обычно по нему приводят только начало определения, забывая про часть «идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно…» и далее. Я к тому что принципы идентификации у нас есть, ну а сам порядок можно и самим определить..
Наш консультант придерживается мнения, что ФИО не является ПДн. Много полных тезок есть на свете и даже в одной школе и классе они могут встретиться — т.е. эта информация не позволяет однозначно определить субъекта.
Аналогично — номер телефона (и с шифрованием не нужно связываться — все консультанты говорят: это как защитная мера «не катит», если нет аттестации системы и сертификатов на криптосредства + лицензия еще нужна).
С другой стороны, изначально, разработчики системы, которые в качестве идентификатора пользователя предлагали использовать ФИО ученика — не подумали о такой возможности совпадения ФИО учеников. Это вообще неграмотно.
Странно только одно — НЕ зная ФИО школьника — как находить его данные в журнале с оценками и вносить их в систему ?!?
ФИО все равно где-то фигурирует, как минимум на бумаге, а реально — конечно же — не только на ней, просто родитель не догадался как именно его развели :)