|
|
Обзор подготовлен
По результатам проверок, проведенных в 2008-2009 гг., одной из основных претензий регулятора является неподача компаниями уведомления в Роскомнадзор об обработке ПДн. В свете 152-ФЗ "О персональных данных" сегодня каждой компании приходится решать, регистрироваться ли в качестве оператора персональных данных или провести ряд мер компенсационного характера, которые позволят избежать необходимости регистрации.
"Вниманию руководителей государственных и муниципальных органов, предприятий и организаций, индивидуальных предпринимателей, осуществляющих обработку персональных данных! В соответствии со статьями 22, 25 федерального закона от 27 июля 2006 года №152 "О персональных данных" организациям, осуществляющим обработку персональных данных, надлежит направить в управление Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Мурманской области уведомление об обработке персональных данных" - такое пугающее послание обнаружили читатели газеты "Мурманский Вестник" от 21.12.2007 г. Это отнюдь не единичный случай подобных требований. Похожее послание многие муниципальные образования и организации Республики Башкортостан получили со стороны Администрации президента Республики Башкортостан. После таких грозных сообщений, вероятно, мало у какой компании найдется повод подумать, действительно ли нужно это делать.
Согласно публичному докладу руководителя Роскомнадзора, "реестр создан 31 марта 2008 года. По состоянию на 31.12.2008 г. в него включены 33 697 операторов, осуществляющих обработку персональных данных, из них: государственных органов – 5059, муниципальных органов – 9094, юридических лиц – 19101, физических лиц – 443". Возникает вопрос: почему так мало зарегистрировано операторов персональных данных, в то время как число тех, на кого распространяется закон, исчисляется миллионами?
Фактически здесь можно выделить несколько основных причин. Во-первых, постоянное изменение формы уведомления и объема запрашиваемых данных. 27 июля 2006 года федеральный закон №152 "О персональных данных" определил, что операторы, которые осуществляют обработку персональных данных, руководствуясь ст. 22 закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных (на тот период - Россвязьохранкультура) соответствующее уведомление не позднее 1 января 2008 года.
Идем по хронологии: 11 января 2008 года Россвязьохранкультура (предшественница Россвязькомнадзора) утвердила форму уведомления; 22 апреля 2008 года определена методика формирования данных для заявки; 28 марта 2008 года Россвязьохранкультура вводит новую форму уведомления; 17 июля 2008 года Россвязькомнадзор (предшественник Роскомнадзора) вводит новую форму уведомления; 18 февраля 2009 года Россвязькомнадзор вносит изменения в приказ о форме уведомления – прошло практически 1 год и 2 месяца с даты определенной в законе.
С частыми изменениями формы уведомления у многих зарегистрированных операторов, возникли опасения: "не надо ли будет еще раз подавать уведомление в Роскомнадзор, и не придет ли он с проверкой для уточнения недостающих данных?"
Вторая причина: расхождение между данными уведомления, указанными в №152-ФЗ, и данными в форме уведомления, утвержденной Роскомнадзором. Третья - боязнь попадания в поле зрения контролирующих органов и высокой вероятности прихода проверки со стороны Роскомнадзора сразу после подачи уведомления. Четвертая причина - неоднозначность требований к организациям, когда необходимо пройти регистрацию в качестве оператора ПДн.
Осознавая эти причины, компании фактически нашли для себя три возможных решения данной задачи. Первое – подождать, посмотреть, что будут делать другие операторы. Если плюсы данной позиции понятны, то минусы упускаются из вида, а они, между прочим, не так малы. Например, в случае проверки к компании предъявит претензии регулятор. Что влечет за собой репутационные риски - ведь информация о проверке и выявленные нарушения будут обнародованы на общедоступном сайте соответствующего территориального управления Роскомнадзора, а ее могут использовать и не слишком добросовестные конкуренты. Комиссия может прийти еще много раз: проверить насколько устранены нарушения, отвлекая от выполнения своих обязанностей и без того занятых сотрудников. Второе – не подавать. Пытаясь найти выход или способы не подавать уведомление. О том, как это можно сделать, остановимся подробнее ниже. Третье – подать. Не важно как, должна организация это делать или нет - подать и будь, что будет. На что стоит обратить внимание компании при формировании уведомления также остановимся чуть ниже.
Итак, компания решила для себя, что она будет регистрироваться. С чем она столкнется? Она хочет узнать, как ей правильно подать уведомление и какие данные необходимо в нем указать. Это отнюдь не праздный вопрос, ведь в законе определено, что вопрос о регистрации может рассматриваться в течение 30 дней, а уведомление о проведении проверки может прийти за 24 часа до нее. И все это время компания чувствует себя крайне незащищенной, тем более что Роскомнадзор еще ведь и может запросить уточнение или дополнение ранее поданных данных.
По данным Управления Россвязькомнадзора по Воронежской области одними из главных нарушений, которые встречаются в уведомлении, являются следующие.
Частые нарушения, которые допускают организации при подаче уведомления в Роскомнадзор, 2009
Нарушение | Процент от общего числа нарушений |
Поле "Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных". Операторы не указывают конкретный перечень действий с персональными данными; конкретные способы обработки - неавтоматизированная обработка персональных данных; исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой; смешанная обработка персональных данных с передачей полученной информации по сети или без таковой. | 19% |
Поле "Дата начала обработки персональных данных". Операторы не указывают дату вообще. | 17,5% |
Поле "Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке". При заполнении данного поля уведомления либо вообще отсутствует описание мер, либо нет их четкого раскрытия. | 12,6% |
Поле "Цель обработки персональных данных". Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели фактически осуществляемой оператором деятельности. | 10,4% |
Поле "Категории персональных данных". Операторы зачастую пишут фразы типа "и др.", "и т.п." "другая информация". Необходимо указывать все конкретные категории. | 9,9% |
Поле "Категории субъектов, персональные данные которых обрабатываются". Операторы указывают не все категории субъектов, при этом из текста уведомления видно, что обрабатываются данные других категорий. | 9,2% |
Поле "Правовое основание обработки персональных данных". Операторы не указывают соответствующие статьи и номер закона или иного нормативно-правового акта, регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных. | 8,9% |
Поле "Срок или условие прекращения обработки персональных данных". Операторы не заполняют данное поле вообще. Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных, например: "ликвидация юридического лица", "аннулирование лицензии на осуществление соответствующего вида деятельности". | 5,8% |
Поле "Наименование (фамилия, имя, отчество), адрес оператора". Типичные ошибки в данном случае: не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются), ИНН. Также несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие. | 5,5% |
Источник: CNA, 2009
Кроме этих данных, компании в заполнении уведомления помогут изданные Россвязькомнадзором "Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" приложение №2 к приказу №08 от 17 июля 2008 г. Правда, необходимо сказать, что, к сожалению, они не учитывают требования, которые появились в 2009 г. Но даже в этом случае компании помогут запросы (звонки, письма) в территориальное подразделение регулятора с просьбой разъяснить те или иные непонятные моменты.
Теперь рассмотрим другую позицию - как можно избежать регистрации? Кратко сформулировать, что надо сделать, чтоб не подавать уведомление, можно так: все процессы в организации, в рамках которых обрабатываются ПДн, должны быть определены п.2 ст.22 №152-ФЗ.
Да, к сожалению, это действительно так: закон не оставляет другого выхода компании, если она не хочет подавать уведомление. И закон не делает различия между физическими лицами или государственными организациями, если какой-то из процессов выпадает из условий п.2 ст.22 или п.2 ст.1 то организация/компания/физическое лицо обязано подать уведомление.
Если рассмотреть те варианты, под которые необходимо подстроить основные технологические процессы, то их окажется немного: обработка ПДн субъектов, которых связывают с оператором трудовые отношения; обработка ПДн, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; обработка общедоступных ПДн; обработка ПДн без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн.
Алгоритм же приведения к данным вариантам следующий. Определить технологические процессы, обрабатывающие персональные данные. Определить, тип ПДн, от кого они получены и на основании чего обрабатываются (федеральные законы, договора с субъектом, договор со сторонней организацией и т.д.). Сопоставить выявленные процессы использования ПДн с теми видами обработки, которые позволяют не подавать уведомление (п.2 ст.22 №152-ФЗ и п.2 ст.1). Определить перечень "отличных процессов". Определить меры компенсационного характера, которые позволят привести "отличные процессы" в соответствие (создать общедоступные базы данных, получить соответствующее закону согласие субъекта на распространение/предоставление его ПДн третьим лицам, внести необходимые коррективы в договора с субъектами, проводить обработку ПДн без использования средств автоматизации) и оценить реализуемость этих мер. Наконец, провести необходимые компенсационные меры.
Время идет, и ранее принятые решения могут поменяться тем более, если они принимались в период информационного вакуума, а также неопределенной позиции регуляторов, призванных контролировать данный вопрос. Некоторые компании, прочитав закон, могли решить, что им регистрироваться не надо, а значит не надо производить никаких действий - ведь в этом нет нужды.
На неоднозначности вопроса регистрации в качестве оператора ПДн необходимо остановиться более подробно. В чем здесь загвоздка? Закон определил несколько основных аспектов, которые сильно влияют на необходимость регистрации компании. Это договор с субъектом ПДн; идентичность цели обработки ПДн, цели определенной в договоре с субъектом/компанией организатором обработки; распространение/предоставление ПДн третьим лицам; обработка персональных данных на основании федерального законодательства.
Например: в некую компанию Х устраивается на работу гражданин Иванов. При приеме на работу работодатель запрашивает у Иванова следующую информацию: паспортные данные (ФИО, дата и место рождения, место прописки, семейное положение, серия и номер паспорта, дата выдачи и кем выдан), трудовую книжку, ИНН, карточку пенсионного страхования, военный билет, документ об образовании, сертификаты. Работодателю эти данные необходимы, чтобы начислять Иванову заработную плату, проводить соответствующие отчисления в пенсионный фонд, оформить обязательное медицинское страхование, и т.д. Компания уверена, что так как Иванов - сотрудник компании, а обработка его персональных данных осуществляется во исполнение федеральных законов, то ей подавать уведомление в Роскомнадзор не надо.
С другой стороны, компания Х передает эти данные частному охранному предприятию, которое охраняет здание, офис в котором снимает компания. А также вносит данные Иванова в материалы на исполнителей работ, которые передаются сторонним организациям-заказчикам.
Подводный камень кроется здесь в том, что компания Х не озаботилась взять согласие Иванова, на передачу его персональных данных охранному предприятию, а в материалах, переданных организации-заказчику, указала сведения, выходящие за объем информации, разрешенной Ивановым для распространения (это информация о его бывшей работе, его домашний и мобильный телефон).
Все шло хорошо, но вдруг Иванова позвали в компанию конкурента, и он уволился из компании Х. А через некоторое время приходит внеплановая проверка Роскомнадзора, инициированная письмом от разгневанного Иванова, которому надоели постоянные звонки от представителей организации-заказчика компании Х. Комиссия Роскомнадзора, проанализировав ситуацию, нашла все обозначенные выше нарушения, включая и то, что компания Х не зарегистрировалась в качестве оператора персональных данных.
Руководитель компании получает соответствующее предписание на устранение нарушений в течение трех рабочих дней, однако выполнить его не может, так как регистрация в соответствии с законом проводится в течение тридцати дней. Вслед за этим на компанию возлагаются новые штрафные санкции. Возможна ответственность по ст.19.7 и 19.5 КоАП. Но это не единственные потери компании Х, ведь при проверке от выполнения своих должностных обязанностей отвлекаются как рядовые сотрудники, так и руководство компании, а данные затраты на несколько порядков выше.
Это всего лишь один из возможных вариантов развития событий. Но подумаем, стоит ли компании так рисковать и обеспечивать себе бесконечный сеанс шоковой терапии?
На самом деле, если рассмотреть те действия, которые указанная в примере компания могла выполнить, чтобы к ней не были предъявлены претензии Роскомнадзором о необходимости регистрации, то получилось бы следующее.
Компания вносит необходимые коррективы в договора с сотрудниками/клиентами компании, затрагивающие вопросы согласия на обработку их персональных данных. Компания заключает соглашения с сотрудниками/клиентами компании, в которых определен перечень общедоступных персональных данных и получено письменное согласие сотрудника/клиента на включение его персональных данных в общедоступные источники. Компания заключает соглашения с сотрудниками компании/клиентами, в которых определяется перечень персональных данных разрешенных для распространения с указанием компаний получателей и цели передачи персональных данных. Компания регулярно проводит контроль информационных систем и документов, хранящих/обрабатывающих персональные данные сотрудников/клиентов, на предмет выявления персональных данных субъектов, с которыми закончились договорные отношения, и определения необходимости их обработки в соответствии с законодательством (Трудовой кодекс, Налоговый кодекс и т.д.) и при необходимости уничтожения.
Данный перечень можно детализировать и расширять, но это основные аспекты, на которые стоило бы обратить свое внимание компании Х, если она не хочет подавать заявление на регистрацию.
К сожалению, дать однозначного ответа - универсального для каждой организации - нельзя. Ведь в некоторых случаях выполнить указанные выше работы сложно, и тогда компании, для того чтобы снизить риски санкций со стороны Роскомнадзора, ничего не остается, кроме как подать соответствующее уведомление. Помимо этого, данные работы могут расцениваться представителями Роскомнадзора как подтверждение того, что компания начала приводить существующие процессы обработки персональных данных в соответствие с №152-ФЗ, а значит и проверяющая комиссия может смягчить санкции за некоторые нарушения.
В любом случае какой бы путь не выбрала организация, необходимо понимать, что все эти работы тяжело решить сотрудникам подразделения ИТ или ИБ, так как сама задача далеко выходит за рамки типовых. А сбор, например, данных о средствах защиты и указание характеристик системы никак нельзя назвать обычными вопросами юридической службы. Так и выходит, что для выполнения данных работ компания вынуждена отвлекать лучшие кадры и находиться в неуверенности относительно правильности принятых решений. О корректности и полноте сбора и предоставления регулятору данных под гнетом проверки, наверное, лучше и не говорить. Более разумной видится ситуация, когда компания привлекает стороннего консультанта, который обладает необходимыми знаниями и опытом, с тем чтобы объяснить, как верно выполнить те или иные работы. Он поможет максимально избавить сотрудников компании от выполнения не свойственных им задач, а также оценить и при необходимости реализовать меры, которые дадут возможность избежать подачи уведомления. Все это необходимо будет учесть.
Илья Новиков
На вопросы CNews ответили Константин Соколов, директор департамента информационной безопасности компании "АМТ-Груп", и Владимир Измайлов, начальник отдела сертификационного производства и аттестования "АМТ-Груп".
CNews: Насколько определяющим для развития рынка ИБ в России в 2009 г., по вашему мнению, оказался ФЗ-152 о персональных данных?
Константин Соколов: Кредитные организации ждут от рынка прецедента с точки зрения влияния на основной бизнес рисков несоблюдения этих требований. После того как прецеденты появятся, станет понятно, что выгоднее: вкладываться в проекты по приведению своих бизнес-процессов в соответствие с требованиями нового закона или платить штрафы.