Персональные данные по-русски

Не секрет, что проверки Роскомнадзора ориентируются, в основном, на проверку существующей документации касающейся обработки персональных данных.

Также проверяется организационная часть защиты персональных данных. Например, если на столе секретаря в страховой компании будут лежать на виду у всех посетителей заключение по факту обращения в медицинское учреждение застрахованного лица (сам такое встречал), то это явное нарушение статьи 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.

Если с явными нарушениями бороться достаточно просто, то с подготовкой необходимой документации иногда возникают сложности. Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает:

• Модели угроз безопасности персональных данных для каждой ИСПДн;
• Акты классификации ИСПДн; (можно взять здесь)
• Положение о защите персональных данных;
• Положение о назначении подразделения по защите персональных данных;
• Должностные регламенты лиц, ответственных за защиту персональных данных;
• Схема организации ИСПДн;
• Копия договора об оказании услуг (если есть);
• Копия трудового договора с сотрудниками;
• Письменное согласие субъектов персональных данных;
• Приказ с перечнем лиц, допущенных к обработке персональных данных;
• Документы учета обращений граждан (субъектов персональных данных) о выполнении их законных прав;
• Приказ о назначении лиц, ответственных за ведение и периодическую проверку содержания журнала обращений;
• Приказ о ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска на территорию;
• Копия уведомления об обработке персональных данных (если уведомление до проверки не будет подано, то это 100%-е нарушение статьи 19.7 КоАП РФ Непредставление сведений…).

Вопрос минимальной достаточности остается открытым, т.к. иногда запрашиваемый пакет документов составляет 5-7 документов, а иногда несколько десятков. В открытом доступе также можно найти еще 2 списка документов:

• Документы, регламентирующие обработку персональных данных
• Документы, регламентирующие обработку ПДн с использованием криптосредств (СКЗИ)

Рекомендую их просмотреть, на предмет актуальности конкретно для вас.

22638 . 9644

Другие записи

• Конференция IDC в Екатеринбурге
• Статья в журнале «Банковские Технологии»
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”
• День 6. Получение запросов от субъектов персональных данных

Автор: Царев Евгений | Метки: безопасность персональных данных, закон о персональных данных, Законодательство, защита персональных данных, ИСПДн, Классификация ИСПДн, Консультация, Марафон, Новость, обработка персональных данных, Опыт работ, персональные данные в медицине, персональные данные работника, положение о персональных данных, Права граждан, Проверки, Роскомнадзор, Система защиты персональных данных не по ГОСТу, система персональных данных, СМИ, Требования, Уведомление

Осталось всего 2 темы, которые стоит обсудить в рамках марафона. Сегодняшний вопрос касается одного из основных рисков для операторов – это обращения субъектов персональных данных. Уже неоднократно говорилось, что право субъектов на доступ к информации в области защиты персональных данных нужно ограничивать. Дело в том, что не соблюдается баланс интересов, которых обязан присутствовать в отношениях оператор ПДн – субъект ПДн. Если субъект делает запрос на доступ к своим персональным данным, то у него должны быть для этого  причины. Сейчас же никто не мешает субъектам через большое число запросов парализовать деятельность оператора, организуя «запросы на отказ» (некое подобие DDoS атаки), и вынудить оператора бросить все ресурсы на подготовку ответов субъектам.

Как это происходит?

Предположим, что организация получает письмо от субъекта персональных данных с просьбой предоставить ему информацию о том, какие его персональные данные обрабатываются, в каких целях, какими способами обрабатываются и какой срок хранятся. Оператор обязан дать ответ в течение 10 дней по существу и в полном объеме, либо дать ответ в течение 7 дней с обоснованием отказа в предоставлении сведении.

Если этого не произойдет, или ответ обоснованно не устроит субъекта, то субъект имеет право обратиться в Роскомнадзор.

Учитывая, что уполномоченный орган «встроен в существующую систему», ему необходимо отреагировать на запрос и защитить субъекта.

Возможны следующие «реакции»:

• Проверка Роскомнадзора
• Рассмотрение запроса без проверки

После чего материалы направляются в органы прокуратуры, правоохранительные органы или суд. И каждый, в свою очередь проводит свои процедуры.

Примерно каждое третье обращение в Уполномоченный орган по защите прав субъектов персональных данных заканчивается (а иногда и начинается) внеплановой проверкой оператора персональных данных с возможной ответственностью по статьям КоАП и УК (к сожалению, прецедент уголовной ответственность уже был).

Что делать?

Очевидно, что все эти неприятные последствия нельзя исключить полностью (проблема в самом законе), но постараться снизить риски вполне реально.

Для начала необходимо разработать процедуру ответа на обращения субъектов внутри оператора, в том числе:

• Назначить ответственное лицо
• Подготовить типовые бланки ответов
• Предоставить права на доступ к необходимым сведениям ответственному лицу
• Написать формальный регламент обработки запросов на доступ к персональным данным субъекта

и т.д.

Проведя такого рода мероприятия, получение запроса от субъекта не станет «громом среди ясного неба» и может гарантировать обработку запросов более-менее штатном режиме.

Тяжелая артиллерия

И еще один момент. Времена «повального рейдерства» (недружественный захват предприятий) закончились не так давно и не без помощи государства. Напомню, что одним из пунктов классического захвата было, например, направление пустых писем с уведомлением (таким образом, выполняется формальное требование на уведомление акционеров о грядущем собрании). Но суть  не в этом, а в том, что события начала 2000-х в памяти чиновников еще свежи, и все ответственные структуры внимательно следят за активностями, которые даже отдаленно напоминают попытки недружественного захвата. Поэтому, при получении большого количества запросов от субъектов персональных данных, можно обращаться в органы прокуратуры, органы безопасности или правоохранительные органы с указанием на возможность попытки рейдерского захвата. И, зная примеры государственного противодействия в этой области, могу сказать, что к вашему запросу отнесутся с должным вниманием.

12990 . 4447

Другие записи

• День 7. Написание основных документов.
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Что изменилось области персональных данных для: Операторов персональных данных?
• День 3. Сокращение перечня сведений, составляющих персональные данные
• Конференция IDC в Екатеринбурге
• Статья в журнале «Банковские Технологии»

Автор: Царев Евгений | Метки: Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, Злоупотребления, Консультация, Марафон, обработка персональных данных, Опыт работ, положение о персональных данных, Права граждан, Проверки, Роскомнадзор, СЗПД, Система защиты персональных данных не по ГОСТу, система персональных данных, Требования, Уведомление

В целом задача доработки шаблонов договоров решается нашими уважаемыми коллегами-юристами достаточно успешно. Иногда эти задачи решаются “с перегибом”, , но все таки решаются, поэтому просто дам небольшой список того, что должно присутствовать в договорах подавляющей части операторов (речь в основном идет о договорах с физическими лицами, хотя применимо и для других документов):

1. Согласие на обработку персональных данных в ЯВНОМ виде, например:
   даю согласие на обработку своих персональных данных, указанных в договоре с использованием или без использования средств автоматизации в целях заключения и исполнения настоящего договора. Этот пункт желательно выделить под отдельную подпись;
2. Подтверждение субъекта, что он передает достоверные сведения;
3. Право на передачу персональных данных субъекта третьим лицам (с разъяснением);
4. Согласие субъекта в ЯВНОМ виде на использование его данных с целью продвижения товаров и услуг (если планируется это делать). Этот пункт желательно выделить под отдельную подпись;
5. Согласие субъекта на обработку его данных до достижения целей обработки (пункт можно оспорить, но, все-таки лучше прописать).

Что касается требования получать согласие субъекта персональных данных в ПИСЬМЕННОЙ форме. С сотрудников, которые устраиваются на работу в компанию, лучше брать такое согласие на этапе подписания трудового договора. С работающих сотрудников фирмы получить такое согласие также нужно, пусть хранится в личном деле.

Получение же согласия с клиентов не всегда тривиальная задача.  Самое тонкое место – это получение согласия в области Интернет-коммерции. Если компания принимает заказы через интернет-магазин, то рекомендация простая – сделайте, опять же в ЯВНОМ виде указание на то, что субъект разрешает обработку своих персональных данных. Например, создайте в форме заказа дополнительное поле, где для отправки заказа нужно поставить галочку напротив теста согласия: даю согласие на обработку своих персональных данных, указанных… и т.д. В случае, не дай бог, разбирательства, при грамотной аргументации суд признает, что согласие было получено.

12550 . 4868

Другие записи

• День 7. Написание основных документов.
• День 6. Получение запросов от субъектов персональных данных
• День 2. Создание карты персональных данных
• День 1. Организация работы с целью защиты персональных данных
• Конференция IDC в Екатеринбурге
• Статья в журнале «Банковские Технологии»

Автор: Царев Евгений | Метки: безопасность персональных данных, закон о персональных данных, Законодательство, защита персональных данных, Консультация, Марафон, обработка персональных данных, Опыт работ, персональные данные работника, положение о персональных данных, Права граждан, сис, Система защиты персональных данных не по ГОСТу, система персональных данных, Суды, Требования

Вчера мы говорили о сокращении перечня сведений, составляющих персональные данные. Эта задача носит больше организационный характер. Сегодня в 4-й день марафона предлагаю обсудить возможности обезличивания персональных данных.

Федеральный закон о персональных данных дал определение обезличиванию (как процессу):

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных

«Приказ трех» относит обезличенные персональные данные к 4-й категории персональных данных, конфиденциальность для которых обеспечивать не нужно. Счастье? – Конечно! Только как этого счастья добиться?

Для начала несколько аксиом:

1) Право на обезличивание персональных данных у оператора есть по федеральному закону.
2) Требований к «правильному» обезличиванию не существует.
3) Способы и алгоритмы обезличивания персональных данных оператор, осуществляющий обработку персональных данных, определяет самостоятельно (см. VAZONE) .

Способов обезличивания (или вернее действий) можно назвать несколько, вот некоторые из них:

• Уменьшение перечня обрабатываемых сведений;
• Замена части сведений идентификатором/ами;
• Замена численных значений минимальным, средним, или максимальным значением (например, иногда нет необходимости обрабатывать сведения о возрасте каждого субъекта, достаточно обрабатывать данные о среднем возрасте по всей выборке или отдельным ее частям);
• Понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город)
• Деление сведений на части и обработка в разных информационных системах;

и т.д. (очень классная ветка обсуждения была здесь)

С моей точки зрения, не должно существовать автоматизированных алгоритмов, как из обезличенных данных снова получить Персональные данные, какой-нибудь, например, 1-й категории, хотя мысли о том, как это сделать возникают и вопрос остается обсуждаемым.

Критерием обезличенности, учитывая закон и здравый смысл, выступает возможность определить на основании этих сведений конкретного человека, при учете контекста обработки. Другими словами, вопрос: «Будут ли считаться обезличенными персональными данными сведения о субъекте, в которых нет Ф.И.О.?» – некорректен, нужно видеть контекст.

Очевидно, что использование обезличивания может сильно снизить класс информационных систем персональных данных со всеми вытекающими положительными последствиями.

Это все здОрово, самому очень нравится эта тема, НО…

Теперь важно сказать о рисках. Они, безусловно, есть, и самый большой из них – отсутствие гарантий в том, что регулятор, а за ним и суд, признает такие действия с персональными данными обезличиванием. Тем же американцам или британцам в этом плане лучше, они всю жизнь судятся и смотрят на прецедентную практику. У нас с этим иначе , именно поэтому расплывчатость формулировок обезличивание персональных данных или персональные данные создает неопределенность и увеличивает риски.

12016 . 5110

Другие записи

• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• День сурка или новые документы ФСТЭК
• Анонс. Система защиты персональных данных не по ГОСТу
• Как учитывают закон о персональных данных в on-line сервисах или будут ли жить Электронное правительство и Электронная Россия?
• Внимание! Не нравятся документы регуляторов – предложи свои!
• Конференция АРБ по реализации требований закона № 152-ФЗ “О персональных данных”

Автор: Царев Евгений | Метки: За рубежом, Заблуждения, Законодательство, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, Новость, СЗПД, Система защиты персональных данных не по ГОСТу, система персональных данных

Прежде чем защищать какие-то сведения, составляющие персональные данные, нужно выяснить, а нужно ли их вообще обрабатывать?

Несмотря на всю прозрачность, такой вопрос очень редко поднимается операторами персональных данных. Поэтому сегодняшний день марафона мы посвящаем минимизации обработки сведений, составляющих персональные данные.

Ограничения в сборе данных – это общемировая тенденция. Не является исключением и Россия, например, Роскомнадзор заявлял о намерениях создать некий «перечень данных, который, будет соответствовать оптимальному объему информации, необходимому для сбора сведений о том или ином потребителе» еще в мае. Разработка перечня/ей сведений – вполне вероятный вариант решения задачи. Например, пару месяцев назад я писал о совместной работе Роскомнадзора и Департамента здравоохранения Воронежской области на предмет доработки типовых документов. Дело сводилось не к наказанию каждого оператора персональных данных в отдельности, а к доработке типовых форм документов.

Объем обрабатываемых сведений должен соответствовать целям обработки

Направление оператора в сторону сбора только тех сведений, которые ему реально необходимы вполне согласуется с духом закона о персональных данных, при этом сбор избыточных сведений встречается сплошь и рядом (например, мне непонятно, зачем в некоторых коммерческих организациях пытаются обрабатывать данные о близких родственниках). Иногда обработка дополнительных сведений оправдана, например, при оформлении некоторых страховок или получении кредита в банке, хотя и тут бывают явные перегибы. Учитывая, что стандартных перечней, пока, не существует в природе, каждый оператор должен самостоятельно определить содержание персональных данных, которые ему необходимо обрабатывать.

Также нужно проверить (через юристов) правовые основания на обработку некоторых сведений. Например, недавно от Alex Toparenko узнал, что сбор сведений о судимости для большинства операторов запрещен в принципе, обрабатывать такие данные они не могут. Кстати говоря, существуют прецеденты соответствующих предписаний от Роскомнадзора, поэтому если правовой основы для обработки каких-то сведений не окажется, то их, по возможности, нужно исключить.

Уменьшить количество обрабатываемых сведений, а, следовательно, и требования по защите ОЧЕНЬ реально.

Интересно, что в России самим операторам выгодно сокращать перечень собираемых данных. Связано это с пресловутыми требованиями по технической защите. При прочих равных условиях, чем меньше сведений оператор обрабатывает, тем ниже класс системы и соответственно ниже требования по защите.

16018 . 7222

Другие записи

• День 7. Написание основных документов.
• Конференция IDC в Екатеринбурге
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• День 6. Получение запросов от субъектов персональных данных
• День 1. Организация работы с целью защиты персональных данных

Автор: Царев Евгений | Метки: Банки, безопасность персональных данных, закон о персональных данных, Законодательство, Коллеги, Консультация, обработка персональных данных, Опыт работ, персональные данные в медицине, персональные данные работника, Права граждан, Проверки, Роскомнадзор, Система защиты персональных данных не по ГОСТу, система персональных данных, СМИ, Требования, ФСТЭК