Практическая защита персональных данных. Где компания обрабатывает ПДн?
| Слушать на Spotify | Слушать на Яндекс Музыке | Слушать на Anchor.fm | Слушать на Breaker | Слушать на Google Podcast | Слушать на Pocket cast |
Руслан Рахметов, Security Vision
В прошлой статье мы рассмотрели самый первый вопрос, который возникает у компании: что такое персональные данные?
Вкратце пробежим по основным ключевым аспектам:
1) если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация - его персональными данными (Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных» автор Савельев А. Г.)
2) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливают следующие группы/категории персональных данных:
a. Специальная категория персональных данных (ч. 1, п.3 ст. 10 152-ФЗ)
b. Биометрические персональные данные (ч. 1 ст. 11 152-ФЗ)
c. Общедоступные персональные данные (ч.1 ст. 8 152-ФЗ)
d. Иные (п. 5 ПП 1119).
3) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает дополнительные признаки обработки персональных данных:
a. чьи персональные данные (субъект, являющийся сотрудником/работником компании или субъект, не являющийся сотрудником/работником компании)
b. объем обрабатываемых персональных данных (до 100 000, свыше 100 000, без указания количества объема).
На всякий случай повторю сказанное в прошлой статье: показатель без указания количества объема относится к нескольким случаям, и рассматривать его в самом начале работ не целесообразно.
Приступим ко второму вопросу: где компания обрабатывает персональные данные? Но сначала необходимо понять, что вообще понимается под термином «Обработка персональных данных».
Согласно определению, данному в 2008 году, обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Однако Федеральный закон от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» внес в данное определение корректировки, которыми мы руководствуемся и в 2021 году. Сейчас под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ч. 3 ст. 3 152-ФЗ).
Как мы видим, определение уточняет определенные условия обработки, но ключевое понятие осталось неизменным: обработка - это любое действие/операция с персональными данными.
Этот аспект (ПЕРВЫЙ АСПЕКТ) необходимо понимать и помнить. Зачастую в ходе работ заказчик (эксплуатанты, владельцы и т.д.) говорит, что система не обрабатывает персональные данные. Обоснованием такой позиции является то, что система просто не сохраняет их у себя, а сразу передает в другую систему или на сервер. Такая позиция является неверной, т.к., если ей руководствоваться, часть процессов и систем компании выпадает из рассмотрения, что, как следствие, приводит к их нарушениям.
Следующим аспектом (ВТОРОЙ АСПЕКТ), на который обращает внимание определение 152-ФЗ и которое необходимо учитывать в ходе работ, это то, как производится обработка. Она может производиться:
1) с использованием средств автоматизации
2) без использования средств автоматизации.
В зависимости от использованного способа обработки впоследствии будут формироваться требования к применяемым средствам и мерам обеспечения безопасности персональных данных. Документами, конкретизирующими требования по обработке и защите, в частности, являются:
1) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Кроме вышеуказанных постановлений Правительства Российской Федерации есть еще ряд ключевых нормативно-правовых актов, которые регулируют отдельные аспекты обработки персональных данных:
-
Указ Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»
Однако, в рамках статьи мы не будем рассматривать указанные акты, т.к. они затрагивают отдельные узкие аспекты обработки. Итак, вернемся к ПП 687 и ПП 1119.Пусть Вас не вводят в заблуждение положения п. 1 и п. 2 ПП 687:
1) п. 1 - Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека
2) п. 2 - Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
На настоящий момент принята следующая позиция: все, что обрабатывается в информационных системах, и момент вывода персональных данных из информационных систем будут относиться к регулированию по ПП 1119, в остальных случаях - к ПП 687.
Однако, так было не всегда. Ранее существовало постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», которое предъявляло более жесткие требования к организации обработки и защиты персональных данных. Вследствие чего многие компании старались по возможности уйти из-под требований ПП 781.
Противостояние ПП 687 и ПП 781 в трактовке вопроса, что относить к обработке персональных данных с использованием средств автоматизации, а что нет, доходила порой до случаев, когда передача факсимильного сообщения с использованием факса приравнивалась к автоматизированной обработке, а сам факс считался информационной системой персональных данных. Но нередки были и случаи, когда заказчик доказывал, что обрабатывает персональные данные на отдельном автоматизированном рабочем месте и обработка регулируется и осуществляется исключительно ПП 687.
Однако за 11 лет Роскомнадзор выработал свою позицию, и она укладывается в то, что я указал выше (информационные системы и вывод из нее персональных данных – ПП 1119, бумага – ПП 687).
Обычно к обработке персональных данных, которую регламентирует ПП 687, относится ведение различных карточек, реестров, журналов (проходов, инструктажа, учета и т.д.) и т.п.
Важным аспектом, который необходимо учитывать, является сложившаяся позиция Роскомнадзора, которую он неоднократно озвучивал в ходе различных мероприятий – если форма, в которую заносятся персональные данные, установлена каким-то нормативно-правовым актом и/или органом государственной власти, то она применяется в той форме/виде, как установлена. В иных случаях должны быть учтены дополнительные положения/требования ПП 687. Ранее из-за отсутствия такой позиции у Роскомнадзора компании иногда перерабатывали установленные формы, что приводило к их отклонению проверяющими профильных ведомств или нареканию.
Таким образом, выявлением мест/процессов обработки персональных данных без использования средств автоматизации будет являться выявление фактов использования различных материальных носителей персональных данных. Одним из возможных вариантов решения данной задачи будет организация в компании рабочей группы, в которую войдут представители всех подразделений. Указанная группа сумеет в кратчайшие сроки (т.к. понимает процессы, в которые вовлечены их коллеги) определить процессы, задействованные подразделения/лиц, используемые виды материальных носителей, места хранения и нормативно-правовые акты, а также локальные нормативные акты компании, которые определяют/регламентируют такую обработку.
Перейдем к обработке персональных данных с использованием средств автоматизации.Но, прежде чем рассмотреть положения ПП 1119, необходимо остановиться на ранее существовавших требованиях ПП 781. Это связано с тем, что в ходе работ вам, возможно, придется столкнуться с работами/материалами, выполненными по старым требованиям.
Первым признаком того, что работы были выполнены по старым требованиям, будет являться год разработки документов или выполненных работ – до 2012.
Вторым признаком будет являться наличие в указании класса информационной системы персональных данных терминов «специальная» или «типовая».
Третьим возможным признаком работ, выполненных по старым требованиям, будет являться указание на использования исключительно сертифицированных средств защиты информации/персональных данных.
Почему важно обратить на это внимание? Согласно ПП 781 устанавливалась иная классификация информационных систем персональных данных (типовые, специальные). Классификация проводилась по ряду отличных от указанных в ПП 1119 признаков и в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Использование старых подходов и документов с высокой вероятностью приведет к ошибочному формированию требований для последующих работ.
Кроме этого, в ходе определения информационных систем персональных данных надо учитывать следующие нюансы:
-
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ч. 3 ст. 5 152-ФЗ)
-
при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).
Зачастую в обработке персональных данных с использованием средств автоматизации участвуют те же подразделения, что и без их использования. Таким образом, в целях выявления информационных систем персональных данных в компании будет правильным привлечение специалистов из ранее организованной в компании рабочей группы по определению мест обработки/процессов, в рамках которых происходит обработка персональных данных без использования средств автоматизации.
Последний аспект (ТРЕТИЙ АСПЕКТ), который ряд компаний упускает из виду, - это привлечение к обработке персональных данных других компаний. Сейчас не является чем-то необычным, когда какие-то процессы или операции отдаются на подряд или выполняются совместными силами нескольких компаний. В этой связи вопрос обработки персональных данных зачастую выходит за область деятельности одной компании. Также не является чем-то необычным отсутствие в договорах/контактах с привлекаемыми компаниями отдельных положений, регулирующих условия обработки персональных данных.
Так, например, при выводе на рынок новых услуг, связанных с информационными системами, нередки случаи, когда одна компания предоставляет услугу (владеет сервисом), вторая владеет ЦОД/вычислительной инфраструктурой, третья пишет и обслуживает прикладное программное обеспечение информационной системы, а четвертая предоставляет услуги операторов или операционистов колл-центра (обслуживающих клиентов сервиса). В такой связке сложно понять, что фактически в обработке персональных данных клиентов участвуют все перечисленные компании. А значит, с точки зрения закона ко всем им должны быть применены соответствующие положения 152-ФЗ.
Еще одним сложным вопросом является момент передачи персональных данных за территорию Российской Федерации. Согласно 152-ФЗ такая передача называется трансграничной и регламентируется отдельными положениями 152-ФЗ (ст. 12), а также необходимостью оценки адекватной защиты прав субъектов персональных данных в стране, куда передаются персональные данные. В настоящий момент оценка производится согласно приказу Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Таким образом, в ходе обработки персональных данных необходимо выяснить правовое основание обработки, лиц, участвующих в этой обработке, и корректно ли сформулированы договорные условия с участвующими/задействованными компаниями.
Важным нюансом, на который обращает внимание Роскомнадзор, является соблюдение компанией (в соответствии со ст. 3 152-ФЗ - оператором) условий ч. 3 ст. 6 152-ФЗ. Указанный пункт гласит: «Оператор вправе поручить обработку персональных данных третьему лицу на основании поручения. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки. Должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 152-ФЗ». Однако, считаем необходимым также привести и мнение ряда юристов, которые считают, что ч. 3 ст. 6 152-ФЗ дает право, а не устанавливает обязанность оператора. Юристы обосновывают указанную позицию тем, что за неисполнение указанных требований не предусмотрены какие-то штрафные санкции.
