Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1

Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1


  |  Слушать на Spotify  |  Слушать на Яндекс Музыке  |   Слушать на Anchor.fm  |   Слушать на Breaker  |   Слушать на Google Podcast  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision

В предыдущей паре статей мы рассмотрели ряд вопросов, которые должна решить компания в самом начале процесса приведения обработки персональных данных в соответствие положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

1)     Что такое персональные данные?

2)     Где компания обрабатывает персональные данные?

Вкратце пробежим по основным аспектам:

1)     Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливают, что такое персональные данные, на какие группы/категории они подразделяются и какие признаки обработки персональных данных необходимо учитывать.

2)     Под обработкой понимается любое действие/операция с персональными данными (ч. 3 ст. 3 152-ФЗ)

3)     Персональные данные разделяют по условиям их обработки (вовлеченности в процесс информационных систем):

a.     С использованием средств автоматизации (регламентировано постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»)

b.     Без использования средств автоматизации (регламентировано постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).

4)     В процесс обработки персональных данных (даже работников компании) зачастую вовлечено более одного юридического лица (работодателя). В рамках работ необходимо выявить все лица, участвующие в процессах обработки персональных данных, места их нахождения/размещения (на территории Российской Федерации или вне ее), соблюдение на территории нахождения/размещения участвующих компаний адекватных условий защиты персональных данных, условий привлечения указанных компаний в процессы/системы, связанные с обработкой персональных данных, закрепленной по договорам/контрактам с указанными лицами ответственности.

Таким образом, определив категории персональных данных, обрабатываемых в компании, процессы, в этом задействованные, информационные системы и лица/подразделения, в них участвующие, мы можем приступать к задачам приведения обработки и защиты персональных данных в соответствие требованиям нормативно-правовых актов Российской Федерации.

Формально выделяются два аспекта – обработка и защита. Однако, далее мы увидим, что эти аспекты тесно переплетены друг с другом. Показатели/условия обработки ссылаются на применяемые меры/средства защиты, а в качестве применяемых мер защиты указываются принятые/утвержденные в компании или у привлекаемых юридических лиц условия обработки персональных данных.

Руководствуясь положениями 152-ФЗ, можно разделить процесс обработки персональных данных на следующие условные подэтапы:

1)     Сбор персональных данных

2)     Использование персональных данных

3)     Достижение цели обработки персональных данных, утрата необходимости в достижении цели обработки или отзыв согласия субъектом.

Первый подэтап – Сбор персональных данных. В 152-ФЗ указаны следующие критерии сбора персональных данных:

1)     Обработка персональных данных осуществляется с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ) или ином законном основании (ч. 3 ст. 9 152-ФЗ)

2)     В отношении персональных данных, разрешенных субъектом персональных данных для распространения, компанией получается у субъекта отдельное согласие (ч. 1 ст. 10.1 152-ФЗ)

3)     Собираемые для обработки персональные данные должны быть точными, достаточными и, в ряде случаев, актуальными (ч. 6 ст. 5 152-ФЗ).

Примечание: Указанный критерий является одним из краеугольных камней обработки, т.к. компания, собирая персональные данные от физического лица, преследует цель заключить договор/оказать услуги, а потом с этим лицом связаться и/или продолжить сотрудничество. В этой связи, чтобы сделать сервис для клиента удобным и комфортным, компания зачастую персонифицирует его (личные кабинеты, персональные предложения, персональные рассылки и т.д.), т.е. наполняет/обогащает его предоставленными субъектом данными и данными, полученными в ходе выполнения ранее выполненных работ/оказанных услуг. Таким образом, расширяется область, в рамках которой происходит обработка персональных данных. Дальнейшая позиция компании, что она не знает/не отвечает за достоверность данных, которые нам предоставил субъект, на мой взгляд, является лукавой, т.к. при получении от субъекта указанных данных изначально компания преследовала в отношении него вполне понятные цели.

Кроме этого, в ч. 1 и ч. 2 ст. 21 152-ФЗ указано, что в случае обработки неточных персональных данных субъекта по указанию субъекта, его представителя или Роскомнадзора компания должна обеспечить блокирование персональных данных (т.е. прекратить их обработку – ч. 7 ст. 3 152-ФЗ). В ходе обработки выполнить такое действие зачастую сложно, особенно учитывая, как эти данные расползлись по различным бэкапам, архивам, системам, базам данных.

4)     При сборе персональных данных (исключая персональные данные, разрешенные для распространения) компания должна определить, а субъект согласиться (подписать), со следующими критериями (ст. 9 152-ФЗ):

a.     Цели сбора персональных данных

b.     Перечень персональных данных необходимых для достижения обозначенной цели

c.      Перечень действий с персональными данными и общее описание используемых компанией способов обработки персональных данных

d.     Сроки обработки персональных данных

e.     Перечень юридических лиц, которым компания передаст персональные данные субъекта для достижения обозначенной цели/целей.

Примечание: В ряде случаев компания освобождается от обязанности получения согласия от субъекта персональных данных. В частности, к таким случаям относится обработка персональных данных по поручению оператора (ч. 4 ст. 6 152-ФЗ) или случай, когда обработка персональных данных субъекта необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, а получение согласия от субъекта невозможно (п. 5 ч. 1. ст. 6).

5)     При сборе персональных данных, разрешенных субъектом персональных данных для распространения, компания должна определить, а субъект явно согласиться (подписать), со следующими критериями (ст. 10.1 152-ФЗ):

a.     перечень персональных данных, по каждой категории согласно 152-ФЗ, разрешенных для распространения

b.     факты запрета на передачу (кроме предоставления доступа) этих персональных данных компанией неограниченному кругу лиц

c.      факты запрета на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

6)     Содержание и объем собираемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 152-ФЗ).

При сборе персональных данных, как указано выше, субъект должен согласиться с критериями обработки персональных данных компанией. В соответствии с положениями 152-ФЗ указанная форма называется «Получение Согласия субъекта персональных данных на обработку его персональных данных» (ст. 9 152-ФЗ). Установленной, фиксированной формы согласия зачастую нет, и она может быть определена компанией самостоятельно, но при соблюдении условий, указанных в 152-ФЗ. Однако иногда форма согласия устанавливается каким-то нормативно-правовым актом. Поэтому, прежде чем придумывать свою форму согласия, посмотрите, а не установил ли какой-либо орган государственной власти или орган местного самоуправления обязательную или рекомендованную для вашей компании форму согласия на обработку персональных данных.

Приведем несколько примеров установления форм согласий нормативно-правовыми актами:

●      Распоряжение Правительства Российской Федерации от 30.06.2018 № 1322-р «Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации»

●      Приказ Минздрава России от 20.12.2012 № 1177н «Об утверждении порядка дачи информированного добровольного согласия на медицинское вмешательство и отказа от медицинского вмешательства в отношении определенных видов медицинских вмешательств, форм информированного добровольного согласия на медицинское вмешательство и форм отказа от медицинского вмешательства».

Дополнительно необходимо уточнить, что в 2021 году вступили в силу новые положения 152-ФЗ, а именно относительно персональных данных, в отношении которых субъект дал разрешение на распространение.

Согласно ч. 5 ст. 3 152-ФЗ распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Новые положения (ст. 10.1 152-ФЗ) устанавливают отдельные требования по получению согласия от субъекта в отношении персональных данных, в отношении которых субъект дает разрешение на распространение, или доказательству компанией законности последующего распространения и/или обработки, если указанные персональные данные получены не от субъекта или субъект раскрыл свои персональные данные самостоятельно. Требования к данной форме согласия установлены приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (действует с 01.09.2021 до 01.09.2027).

Дополнительно хотелось бы добавить, что компании, которые работают с различными контрагентами или часто их меняют, зачастую не знают, как уведомить субъекта, от которого ранее получено согласие, об измененном составе третьих лиц, которым компания будет передавать его персональные данные в ранее заявленных целях обработки. Одним из способов решить данную задачу становится организация на официальном портале компании актуального списка лиц, которым передаются персональные данные субъектов с указанием даты, на которую этот список актуален. Указанный адрес с актуальным списком (ссылка на страницу портала) указывается в согласии, указываются условия ведения данного списка, фиксируется дата и список, актуальный на дату подписания.

Второй подэтап – Использование персональных данных. Основные меры, которые необходимо выполнить компании в рамках использования персональных данных приведены в ст. 18.1 152-ФЗ. К указанным мерам относятся:

1)     Назначение оператором лица, ответственного за организацию обработки персональных данных.

В ходе работы мне приходилось сталкиваться с различными вариантами назначения ответственного лица за организацию обработки персональных данных (далее – Ответственный) – от обычного ИТ-администратора до вице-президента компании федерального масштаба. По нашему опыту, Ответственный не может быть рядовым сотрудником компании, пусть и наделенным по бумагам некоторыми полномочиями. По факту, указания такого лица не будут исполнять вышестоящие руководители. Непосредственное руководство Ответственного будет требовать исполнения от него прямых обязанностей (не связанных с деятельностью Ответственного). Сложившаяся в компании субординация не позволит Ответственному реализовать прямое нормативное требование о прямом подчинении и подотчетности исполнительному органу компании (совету директоров/директору/руководителю компании), как того требует ч. 2 ст. 22.1 152-ФЗ.

Кроме этого, указанное лицо не сможет организовать процессы внутри компании или взаимодействовать с контролирующими органами (в частности, Роскомнадзором или Прокуратурой Российской Федерации). Лучшей практикой назначения Ответственного является наделение указанными функциями одного из заместителей руководителя компании, например, ответственного за безопасность. Это лицо сможет организовать разделение функций по направлениям, например, делегировав направление организации обработки персональных данных работников компании руководителю службы управления персоналом или начальнику HR-отдела, а обработку персональных данных клиентов - руководителю коммерческого блока. Вариантов много, главное определить, самый удобный и работоспособный для вашей компании. Кроме этого, данные об Ответственном в последствии надо будет подать в Роскомнадзор, но об этом попозже.

Обязанности и положения об Ответственном определены ст. 22.1 152-ФЗ. Обязанности Ответственного:

●      осуществлять внутренний контроль за соблюдением в компании требований и норм нормативно-правовых актов в области персональных данных

●      повышать осведомленность работников компании в области персональных данных

●      организовать работу с обращениями запросов от субъектов персональных данных и/или их представителей.

Впоследствии мы столкнемся еще с одним ответственным – ответственным за обеспечение безопасности персональных данных в информационной системе (далее – Ответственный за безопасность). Указанный Ответственный за безопасность определен в п. 14 ПП 1119 Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» – УКФ.3. Забегая вперёд, скажем, что Ответственным и Ответственным за безопасность может быть одно лицо. Нормы, устанавливающие, что это должны быть разные лица, в 152-ФЗ, ПП 1119 и Приказе 21 отсутствуют.

2)     Издание компанией, документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Закрепленной, фиксированной номенклатуры документов, которые должна разработать компания, нет. Сколько надо разработать документов, сделать разделение на каждую операцию или свести все в один общий том, каждая компания выбирает сама из сложившейся в компании практики разработки и жизни документов и существующих требований документооборота. Однако можно выделить следующие ключевые параметры:

2.1)               Компания должна разработать Политику оператора в отношении обработки персональных данных и опубликовать или иным образом обеспечить неограниченный доступ к документу.

В отношении указанного документа Роскомнадзор издал соответствующие рекомендации «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Перечислять в настоящей статье, что должен содержать указанный документ, не имеет смысла, т.к. в рекомендации дано подробное описание того, что необходимо указать в документе. Ключевое требование, которое должна выполнить компания, – публикация документа и обеспечение неограниченного доступа к документу для ознакомления. Размещение данного документа на внутреннем портале организации будет являться нарушением, т.к. даже если компания обрабатывает персональные данные работников, то необходимо учитывать ротацию сотрудников (увольнение/прием), а также общение с соискателями работы на вакантные должности и приход в организацию посетителей, т.е. оформление на них различных пропусков.

2.2)              Компания должна уведомить Роскомнадзор о планируемой обработке персональных данных.

Сам процесс формирования и направления Уведомления об обработке персональных данных указан в ст. 22 152-ФЗ. Необходимо лишь отметить пару моментов: не все компании обязаны подавать уведомления. Есть исключения (ч. 2 ст. 22 152-ФЗ), но их надо анализировать со всех сторон. Позиция регулятора остается неизменной – уведомлять должны все компании. Любая компания передает персональные данные своих работников как минимум в Пенсионный фонд Российской Федерации и ФНС России. Передача эта осуществляется в рамках исполнения требований Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ и нормативно-правовых актов, например, в рамках Федерального закона 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», что выводит процесс обработки персональных данных из-под действия нормы п. 1 ч. 2 ст. 22 152-ФЗ.

Кроме этого, необходимо учесть следующее:

●      Уведомление разрабатывается с учетом положений следующих документов:

o   приказа Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»

o   приказа Роскомнадзора от 30.10.2018 № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утверждённые приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94»

●      Уведомление может быть подано как в бумажном виде, так и в электронном (ч. 3 ст. 22 152-ФЗ). Формы и требования к передаче указаны на официальном портале Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/form/)

●      Уведомление подлежит корректировке в случае изменения условий обработки персональных данных (ч. 7 152-ФЗ)

●      В уведомлении указываются сведения об обеспечении безопасности персональных данных. В частности (пример переплетения вопроса обработки и защиты), по используемым в компании средствам криптографической защиты информации и их классам. Таким образом, рекомендуется направить уведомление на момент, когда у компании будут все необходимые для уведомления данные, а не досылать их потом несколькими письмами.

2.3)              Остальные локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Как мы указали выше, перечень документов, необходимых в рамках организации обработки персональных данных определяет сама компания. Отдельным отступлением от данного правила будет являться регламентирование процесса в дочернем зависимом обществе, т.к. здесь необходимо будет руководствоваться указаниями головной компании, или в различных территориальных органах государственной власти, унитарных предприятиях, казенных бюджетных учреждениях, где необходимо будет руководствоваться указаниями вышестоящих органов власти. В некоторых случаях в отношении такой обработки могут издаваться отдельные требования. Некоторые из них мы упоминали ранее:

●      Указ Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

●      постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

3)     Применение в компании правовых, организационных и технических мер по обеспечению безопасности персональных данных.

Данный аспект мы рассмотрим в следующей статье.

4)     Осуществление внутреннего контроля в компании по соблюдению установленных нормативными правовыми актами и локальными правовыми актами требований и условий обработки персональных данных.

Как мы указывали выше в п. 1), данный аспект является одной из основных функций Ответственного. Из своего опыта хотелось бы добавить только, что зачастую в процесс внутреннего контроля в организации могут быть вовлечены различные подразделения компании (служба внутреннего аудита или контроля, служба контроля процессов и т.д.). Поэтому в целях комплексного подхода выполнения внутренних и внешних требований необходимо будет учесть и согласовать зоны ответственности вовлеченных в процесс внутреннего контроля процедур/процессов компании сторон.

5)     Оценка вреда субъекту в случае нарушения 152-ФЗ.

Сколько существует указанная норма (внес Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»), столько вокруг нее идут споры, как это проводить и кто должен делать. С одной стороны, компании говорят, что нет стандарта, как она должна выглядеть, а значит, ее должны разработать правительство или федеральные органы, и только после этого они будут ее выполнять.

С другой стороны, федеральные органы заявляют, что у них нет таких полномочий. А их функции и полномочия установлены законами, указами Президента Российской Федерации или постановлениями Правительства Российской Федерации. А раз такая норма (проводить оценку вреда) есть, то ее в любом случае должна делать сама компания.

Сложившейся практикой является то, что компании по-разному подходят к решению данной задачи:

●      Первые – разрабатывают свою отдельную методику оценки. Как правило, это крупные компании, и им важно по максимуму снизить вероятность возможных претензий проверяющих органов и регламентировать процесс

●      Вторые – используют экспертный метод оценки

●      Третьи – не проводят указанную оценку.

На наш взгляд, третий вариант не самый лучший, т.к. это норма закона, и она должна быть выполнена компанией, чтобы потом не стакиваться с претензиями Роскомнадзора.

6)     Повышение осведомленности работников компании в области персональных данных.

Как мы указывали выше в п. 1), данный аспект также является одной из основных функций Ответственного. Его также предлагается увязать с иными внутренними процедурами, существующими в компании, например, при оформлении на работу и переводе работников на новую должность/в новое подразделение или при периодической переаттестации.

Третий подэтап – Достижение цели обработки персональных данных, утрата необходимости в достижении цели обработки или отзыв согласия субъектом. Данный этап является заключительным.

Закон устанавливает требование, что обработка персональных данных должна быть прекращена, когда достигнуты цели обработки, в случае утраты необходимости в достижении этих целей (ч. 2, ч. 7 ст. 5 152-ФЗ и ст. 21 152-ФЗ) или в случае отзыва субъектом согласия на обработку его персональных данных (ч. 5 ст. 21 152-ФЗ). В рамках данного этапа необходимо соблюсти следующие условия:

1)     соблюсти сроки хранения данных/документов, которые установлены приказом Росархива от 20.12.2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»

2)     должны быть соблюдены иные условия федеральных законов, устанавливающие сроки хранения документов/данных

3)     должны быть реализованы меры, установленные постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В частности, должны быть предварительно скопированы сведения, не подлежащие уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию

4)     должны быть соблюдены сроки уничтожения и блокирования, указанные в ст. 21 152-ФЗ.

Обращаем внимание, что ч. 7 ст. 5 152-ФЗ устанавливает возможность провести обезличивание персональных данных в случае достижения цели обработки или в случае утраты необходимости в достижении этих целей. Однако ст. 21 152-ФЗ не дает нам такой возможности, особенно если учесть, что процедуры обезличивания могут быть обратимыми (см. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»). Т.е. выбор решения обезличить персональные данные, когда достигнуты цели обработки или в случае утраты необходимости в достижении этих целей, на мой взгляд является рискованным.

Дополнительно в рамках данного подэтапа необходимо отметить еще один момент: Правительством Российской Федерации 20.06.2020 внесен законопроект №992331-7 по изменению № 152-ФЗ, который в настоящий момент прошел рассмотрение в Государственной Думе Российской Федерации и принят в первом чтении. Согласно данному законопроекту, устанавливается обязанность компании использовать для удаления персональных данных средства защиты информации, в составе которых реализована функция уничтожения информации, и прошедшие в установленном порядке процедуру соответствия, проведенную ФСБ России или ФСТЭК России.

Интересные публикации