Персональные данные
- Подпадают ли системы видеонаблюдения под ФЗ-152?
-
Давайте разберем ситуацию. Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме. Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать письменное согласие субъекта на обработку биометрических персональных данных, если на объекте используется система видеонаблюдения?» А это уже нетривиальная задача, особенно когда на объекте имеется большое число посетителей, а камеры видеонаблюдения установлены в коридорах организации.
Вспомним также, что из определения, данного в законе, к биометрическим персональным данным относятся сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность». Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность». Между тем, сами по себе «физиологические особенности человека» – это объективная реальность, данная нам в ощущениях и присущая именно индивиду, а не его изображению или электронной форме записи этого изображения. Следовательно, любое изображение человека (в том числе и видеозапись, сделанная системой видеонаблюдения) содержит в себе биометрические персональные данные, так как оно объективно отражает физиологические особенности человека и их можно использовать для идентификации.
Обратим также внимание на то, что закон, не исключая вообще факта обработки биометрических персональных данных, накладывает особые условия их обработки (письменное согласие субъекта) только в одном конкретном случае: когда целью обработки биометрических данных является установление личности субъекта. В остальных случаях ограничений на обработку биометрических данных закон не накладывает. То есть, основным квалификационным признаком отнесения той или иной информационной системы под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», будет являться не сам факт обработки биометрических персональных данных, а факт их использования для идентификации субъекта.
Использование систем видеонаблюдения, как правило, относится к компетенции служб безопасности объектов. При этом, как правило, такие системы относятся к системам охраны объектов и предназначаются для общего наблюдения за обстановкой на объекте, обнаружения каких-либо фактов нарушения установленного на объекте режима безопасности и фиксации (в том числе автоматически, без участия оператора) таких фактов для последующего ретроспективного контроля видеообстановки на охраняемом объекте. То есть, сама по себе система видеонаблюдения не используется непосредственно для идентификации субъекта по его биометрическим данным.
Следовательно, системы видеонаблюдения, предназначенные для контроля обстановки на объекте, не подпадают под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», так как не используют биометрические данные для идентификации субъекта персональных данных.
Теперь предположим, что на объекте произошел факт нарушения установленного режима безопасности с участием одного или нескольких субъектов, который был зафиксирован системой видеонаблюдения. Для принятия мер к нарушителям по данному факту необходимо установить личности субъектов его совершивших, то есть необходимо идентифицировать субъектов по физиологическим особенностям, зафиксированным на видеозаписи системы видеонаблюдения. Все действия по установлению причастных к факту нарушения проводятся в рамках процедуры расследования инцидента. Примем во внимание, что факт нарушения режима безопасности является противоправным действием (иначе зачем принимать какие-то меры в отношении субъекта?), а субъект в этом случае является подозреваемым (его вину надо еще доказать!). Поэтому, такое расследование будет ни что иное, как дознание. А это уже категория Уголовно-процессуального или Административного процессуального Кодексов РФ. Именно в ходе дознания проводится сбор и проверка материалов по факту совершенного противоправного действия. Именно в ходе дознания уполномоченные лица с привлечением экспертов и, при необходимости, специального программного обеспечения и специальной техники, используя видеозапись системы видеонаблюдения, смогут идентифицировать личность субъекта-нарушителя. При этом, видеозапись факта нарушения режима безопасности переходит в категорию вещественных доказательств, точно таких же как, например, отпечаток пальца преступника.
Следовательно, идентификация субъекта проводится не в рамках процесса видеозаписи, а в рамках процедуры дознания по факту нарушения режима безопасности на основе изучения вещественных доказательств, каковыми могут выступать элементы системы видеонаблюдения, в том числе и носители видеозаписи совершенного факта. В данном случае обработка биометрических персональных данных осуществляется вне основных функций системы видеонаблюдения и регламентируется нормативными правовыми актами, определяющими порядок проведения дознания и работы с вещественными доказательствами, а также частью 2 статьи 11 Федерального закона «О персональных данных». Надо также учитывать, что носители видеозаписи могут быть изъяты из системы видеонаблюдения и изучены вне ее с использованием специальных технических средств. Уполномоченное лицо, осуществляющее дознание по факту нарушения режима безопасности, может также привлечь в качестве вспомогательных средств элементы системы видеонаблюдения для целей расследования.
ВЫВОДЫ:
1. Необходимо разделять два процесса: процесс контроля обстановки на объекте и процесс идентификации субъекта по биометрическим персональным данным.
2. Системы видеонаблюдения предназначены именно для контроля обстановки на объекте.
3. Идентификация субъекта, при необходимости, осуществляется не в ходе процесса контроля обстановки, а в ходе процедуры дознания, проводимой при расследовании инцидента.
4. В ходе расследования инцидента, видеозапись, позволяющая ретроспективно оценить обстановку, имеет силу вещественных доказательств, оценка которых проводится с привлечением экспертов и специального оборудования.
5. Использование системы видеонаблюдения для целей контроля обстановки на объекте не подпадает под действие ст. 11 Федерального закона № 152-ФЗ «О персональных данных».
- Если информационную систему администрируют работники другого юридического лица, без допуска к самим данным, это юрлицо все равно является оператором?
-
Нет, в этом случае юридическое лицо, осуществляющее администрирование системы не является оператором персональных данных, так как, во-первых, не оно установило цели обработки информации, во-вторых, оно не обрабатывает сами персональные данные, а только обслуживает оборудование информационной сети, в-третьих, не имеет доступа к этим персональным данным. Правда, при этом необходимо четко доказать, что администратор сети не имеет доступа к самой информации (как правило, системный администратор в силу своих обязанностей имеет доступ ко всей информации в информационной системе и необходимо применение специальных технических и программных средств, исключающих такую возможность, так называемая «защита от инсайдера»).
- Всегда ли необходимо применять криптосредства при передаче персональных данных по каналам связи?
-
Вопрос применять или не применять криптосредства лежит в компетенции Оператора исходя из целей и технологии обработки персональных данных. При передаче обезличенных персональных данных такие требования, скорее всего, применяться не будут.
Если в описании процесса обработки ПДн будет указано, что по каналам связи передаются обезличенные персональные данные, то применять криптосредства, очевидно, не обязательно. Вопрос в том, устроит ли передача именно обезличенных данных самого Оператора, и каким образом они будут обрабатываться в дальнейшем.
- Способы передачи персональных данных, осуществляемые в рамках одной компании, но между различными филиалами?
-
Зависит от выбора Оператором варианта построения (сегментирования) ИСПДн.
1. Можно объявить всю филиальную сеть единой ИСПДн, с необходимостью защиты центра, каналов связи и филиалов с выполнением всех обязательных требований по защите персональных данных одновременно ко всем элементам.
2. Выполнить сегментирование, т.е. разделить на сегменты центр и отдельные филиалы, объединив их каналами связи. В этом случае защищаются по отдельности центр и филиалы (возможно с выполнением различных требований), отделяются с помощью межсетевых экранов, а требования относительно защиты каналов связи могут быть предъявлены провайдерам, либо может использоваться шифрование при передаче информации по открытым каналам.
- Возможно ли, теоретически и практически, снижение категории ИСПДн для систем, обрабатывающих медицинские данные?
-
Да, такие прецеденты имеют место. Не раскрывая профессиональных секретов, скажем, что это было достигнуто рядом мер по обезличиванию персональных данных и правильного сегментирования ИСПДн в рамках информационной системы (ИС) в целом.
- Соотношение требований в области персональных данных, установленных Трудовым кодексом Российской Федерации (ТК РФ) и Законом о персональных данных?
-
Если говорить кратко, то требования Закона и ТК РФ не противоречат друг другу. Закон выдвигает общие требования, направленные на обеспечение защиты прав и свобод человека и гражданина (Ст.2 Закона), а ТК РФ определяет некоторые особенности обработки персональных данных применительно к трудовым отношениям. В частности, он оперирует с понятием не просто «персональные данные», а именно «персональные данные работника» (ст. 85ТК РФ), конкретизирует обязанности работодателя при обработке и передаче таких данных, дает определенные гарантии работнику. В этом смысле требования главы 14 ТК РФ надо рассматривать, как дополнительные («отраслевые») требования по отношению к Закону. Надо так же отметить, что в ТК РФ есть отсыл к иным федеральным законам, устанавливающим требования по обработке персональных данных (например, ст.ст. 86, 87 ТК РФ).
- Нужен или нет для соблюдения требования ст. 88 ТК РФ о доступе к персональным данным работников только специально уполномоченных лиц утвержденный локальным нормативным актом список лиц, имеющих доступ к персональным данным работников?
-
Скорее да, чем нет. Если в организации имеется специально уполномоченное лицо (например, работник отдела кадров, руководитель подразделения и пр.), то свою трудовую деятельность он осуществляет на основании приказа (локального нормативного акта) и утвержденной должностной инструкции. Если в инструкции прописаны обязанности по ознакомлению и работе с определенными персональными данными работника, а приказе оговорено, что это лицо имеет право допуска к определенной категории персональных данных работника, то требования ст. 88 ТК РФ формально выполнены. Однако, этого в этих приказах может и не быть. В этом случае потребуется специальный локальный нормативный акт (приказ) со списком и правами допуска сотрудников. Практика же показывает, что при проведении государственного контроля и надзора, регуляторы спрашивают список лиц, допущенных к работе с персональными данными (этого так же требует и новое Положение). Поэтому такой отдельный список целесообразно иметь.
- В нормативных документах РФ, имеющих отношение к обработке ПД, а также близких к ним документах всплывают термины: Информационная система, Подсистема, Автоматизированная система, Информационный ресурс. Причем в некоторых документах есть определения этих т
-
1. Вообще-то в целом, все термины коррелируют. Действительно, некоторые термины могут иметь разный смысл. С этой целью каждый федеральный закон содержит статью «ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ», в которой и дается толкование того или иного термина применительно к положениям данного закона. В этом случае надо исходить из духа, а не буквы закона.
2. Есть целый ряд стандартов работающих в этой предметной области, например, ГОСТ Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации», ГОСТ Р 50922-96 «Защита информации. Термины и определения», ГОСТ Р 516240-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и другие.
3. Наконец, есть «Сборник терминов и определений. Информационная безопасность и защита информации»
Дать конкретный ответ по этому вопросу невозможно. Провести детальный анализ всех представленных документов и имеющихся в них терминах потребует много времени. Надо говорить о конкретных терминах. Если будет список терминов, требующих разъяснения – можно сделать анализ отдельно. В принципе всегда действует правило: термин в старшем документе – более правильный. Таким образом за основу надо брать цепочку: Конституция – кодекс – федеральный закон – национальный стандарт – отраслевой стандарт, руководящий документ, ведомственный приказ – словарь – прочие источники.
- Распространяется ли закон №152-ФЗ на персональные данные иностранных граждан?
-
Да, распространяется.
- Существуют ли какие-либо дополнительные аспекты в отношении персональных данных граждан иностранных государств, отличных от требований, предъявляемых в отношении российских граждан?
-
Если они находятся на территории Российской федерации – нет не существуют. Они в силу ГК РФ пользуются равными правами с гражданами России.
- Как закон №152-ФЗ соотносится с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных Евросоюза ETS N 108?
-
Полностью соотносится. Более того, его принятие как раз и было вызвано тем, что Россия присоединилась к Конвенции и должна была привести свое внутреннее законодательство в соответствии с этой Конвенцией. Положения Закона коррелируют, а во многом повторяют положения Конвенции и Директивы Европарламента 95/46/ЕС.
- Урегулирование вопросов с обработкой персональных данных в правовой плоскости?
-
Для внесения ясности в этом вопросе, в первую очередь, мы рекомендуем разработать Внутреннее положение об обработке персональных данных, отражающее, в частности:
1. правовые вопросы обработки ПДн, цели и задачи такой обработки;
2. категории и перечни обрабатываемых ПДн;
3. категории субъектов ПДн;
4. порядок обработки ПДн;
5. порядок предоставления ПДн (кому, на каком основании и пр.);
6. условия начала и прекращения обработки ПДн;
7. основания и порядок уничтожения ПДн (в т.ч. разработка процедуры уничтожения, актов подтверждения уничтожения и пр.);
8. форму согласия субъекта на обработку ПДн (при необходимости);
9. обязанности персонала при обработке ПДн. - Что такое модель угроз?
-
Модель угроз — это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности персональных данных и уязвимостей при их обработке в ИСПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн.
Цель разработки модели угроз — определение актуальных для конкретной ИСПДн угроз безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться для классификации ИСПДн, а также в качестве исходных данных для построения (проектирования) обоснованной и эффективной системы защиты персональных данных.
- Как правильно передавать персональные данные 3-ей стороне из компании, какие документы должны регламентировать этот порядок?
-
Согласно ч. 4 ст. 6 ФЗ «О персональных данных» оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
В договоре должны быть определены цели обработки персональных данных третьим лицом, требование обеспечения им конфиденциальности и безопасности персональных данных при их обработке, а также ответственность третьего лица в случае нарушения им требований законодательства.
- Какие документы по защите персональных данных и каким надзорным органом согласуются, в каких случаях, порядок согласования (акт классификации, модель и т.д.)?
-
Согласование никаких документов по обеспечению безопасности персональных данных никакими надзорными органами не предусматривается.
- Сертификация и аттестация ИСПДн 1-ой категории.
-
Сертифицировать можно только конкретные средства (компьютер, ПО, элемент ИС, информационную технологию) – это процесс, не зависящий от конкретного местоположения объекта сертификации.
Аттестация же, напротив, строго привязана к конкретному объекту (адрес, здание, помещение и пр.) – процесс, показывающий, что все требования, указанные в сертификате или любых руководящих документах выполнены и соответствуют.
Сертификат соответствия можно и иногда нужно требовать от производителя. Но сертификация – процесс добровольный. Не все производители поставляют продукты в защищенном исполнении. В таком случае Оператор персональных данных может «вокруг» такого продукта (ПО) выстроить защиту с использованием сертифицированных (со стороны ФСБ, ФСТЭК) средств защиты.
А вот аттестация ИСПДн 1-й категории — обязательна.
- Если ИСПДн содержит ПО иностранных производителей (не проходивших сертификацию в РФ), при аттестации подобной ИС ПДн не потребуется сертификация данного иностранного ПО? Если потребуется, то какая, каковы ориентировочные временные затраты на сертификацию?
-
В общем случае используемое в ИСПДн ПО иностранного производства не подлежит сертификации (оценке соответствия).
Оператор обязан использовать ПО (как иностранного так и отечественного производства), прошедшее сертификацию (оценку соответствия) только в случае, если механизмы защиты, реализованные в этом ПО, предполагается использовать для обеспечения безопасности персональных данных. В этом случае указанное ПО будет относиться к средствам защиты информации и подлежит в обязательном порядке процедуре сертификации (оценки соответствия).
В остальных случаях для обеспечения безопасности персональных данных должны использоваться специализированные программные (программно-аппаратные) средства защиты информации, прошедшие в установленном порядке оценку соответствия (сертификацию) во ФСТЭК России.
- Трансграничный обмен. Комплекс связанных вопросов — пошаговый развернутый ответ экспертов.
-
Компания организует различного рода выездные мероприятия, на которые приглашаются как внешние специалисты (не являющиеся сотрудниками компании), так и собственные сотрудники. Привлеченные внешние специалисты высылают компании по электронной почте, а компания далее пересылает файлы, содержащие персональные данные (в т.ч. паспортные данные) внешним компаниям-подрядчикам для бронирования билетов и/или гостиниц для своих сотрудников и внешних специалистов. Таким образом, по сути система хранит ПДн. Является ли такая система ИСПДн (информационной системой персональных данных)? Что необходимо предпринять компании?
Здесь есть несколько важных моментов. Во-первых, необходимо уяснить в каких отношениях находится внешний специалист и компания, есть ли у них какие-либо договорные отношения.
Если внешний специалист привлекается на договорной основе, то есть компания связана некими обязательствами и должна в силу этих обязательств вывести его куда-то, организовать ему проживание и пр., то данный случай можно подвести под п.2 части 2 статьи 6 ФЗ-152 («обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных») и, таким образом, никакого согласия не требуется (формально оно уже дано в момент заключения такого договора). То, что субъект сам пересылает свои ПДн по E-mail, это его дело. В этом случае он является субъектом ПДн, а не оператором и на него требования закона в части защиты в канале связи информации, как ни странно, формально не распространяются. У него есть альтернатива: либо самому руками принести в компанию свои данные, либо передать по электронной почте. Главное в этом случае, что бы четко была обозначена такая альтернатива.
Если же внешний специалист не находится в договорных отношениях, то в этом случае возникает вопрос: на каком основании компания собирает ПДн. Здесь требуется обязательное согласие субъекта по форме, определенной частью 4 статьи 9 ФЗ-152.
Компания же выступает в любом случае как оператор ПДн и фактически передает ПДн так называемым «третьим лицам» (в терминах ФЗ-1252), которые так же должны соблюдать требования конфиденциальности ПДн и обеспечивать защиту. В этом случае в договоре с внешним сотрудником (или в согласии) должно быть указано, что оператор ПДн (компания) будет осуществлять обработку ПДн с привлечением третьих лиц. Кроме того, сама компания должна иметь договор или соглашение с тем третьим лицом, которому передаются ПДн в котором должно быть указано, что переданные ПДн должны защищаться в соответствии с установленными требованиями и что это третье лицо принимает на себя обязательства по соблюдению конфиденциальности ПДн и их защите. Если это выполнено, то следуем дальше.
Нужно ли компании брать письменное согласие с внешних специалистов на обработку, хранение, передачу их персональных данных?
Письменное согласие требуется только в 5 случаях:
1. Для включения в общедоступные источники информации (ст. 8)
2. Обработка специальных категорий ПДн (Ст. 10)
3. Обработка биометрических ПДн (ст. 11)
4. Трансграничная передача ПДн в страны, где нет адекватной защиты (ст. 12)
5. В случае, если исключительно автоматизированная обработка ПДн порождает юридически значимые события (ст. 16)В остальных случаях достаточно обычного согласия. В рассматриваемом случае обязательное письменное согласие, скорее всего, не потребуется, но для точного ответа важны все нюансы.
По сути, свои паспортные данные внешние специалисты высылают добровольно, можно ли это считать за косвенное согласие (но тогда встанет вопрос о правомерности распространения таких данных компанией внешним компаниям/подрядчикам)?
Сама по себе передача (отправка) не может являться косвенным согласием, но его можно перевести в разряд КОНКЛЮДЕНТНЫХ действий, если в договоре с внешним субъектом ПДн оговорить, что факт передачи ПДн по электронной почте является согласием на их автоматизированную обработку с привлечением третьих лиц.
В почтовой системе (на локальных АРМах и на серверах) хранятся копии отосланных писем, содержащие персональные данные. Соответственно, как рекомендуется ее защищать, учитывая тот факт, что сервера находятся и администрируются из Европы? Возможен ли здесь вариант, когда Оператором персональных данных (хранимых и передаваемых средствами электронной почты) признают Штаб-Квартиру в Европе (т.е. владельцем риска компрометации ПДн, а соответственно, центром принятия решения о защите персональных данных будет Штаб-Квартира)?
Здесь надо правильно провести сегментирование ИСПДн. Мы бы предложили следующее: выделить сегмент А ИСПДн, включающий АРМ, расположенные в пределах РФ и определить внешнюю границу этого сегмента внешним портом выходного коммутатора (межсетевого экрана) объекта, расположенного в пределах РФ. Второй сегмент В ИСПДн определить как сегмент, объединяющий серверы ИСПДн, расположенные на территории сопредельного государства и определить внешнюю границу сегмента, по внешнему порту выходного коммутатора объекта, расположенного на сопредельной территории. Третий сегмент С ИСПДн определить как каналы передачи информации с одной территории на другую. В этом случае на операторе ПДн (компании) лежит обязанность защищать АРМ до внешнего порта межсетевого экрана, на третьем лице (контрагенте на сопредельной территории) – защищать информацию на серверах, а на провайдере (операторе связи) – защищать информацию в каналах связи. (Можно и этот сегмент отдать на совесть третьего лица). Все эти действия должны быть обязательно подкреплены соответствующими договорными отношениями с третьим лицом и провайдером, в которых расписана их ответственность и обязанности по защите ПДн соответствующим образом. Т.е. надо делить риски со своими контрагентами и провайдерами.
Сервера находятся в Европе, информации о том, размещены ли физически на данных серверах еще какие-либо системы, помимо почты, у ИТ-менеджера в России нет. Повлиять на меры защиты самих серверов, равно как и на вопросы администрирования самой почты из России возможностей нет. Что делать?
Естественно, объект на территории сопредельного государства мы проверять не можем. Но при этом обязаны убедиться, что защита ПДн в этом государстве осуществляется адекватно (ст. 12). Для этого надо:
1. Оценить характер передаваемых ПДн
2. Определить требуемую степень защиты (класс защиты)
3. Уточнить, присоединилась ли страна к Конвенции по защите ПДн
4. Запросить в Консульстве национальные законы по защите ПДн
5. Перевести законы на русский язык
6. Провести юридическую экспертизу законов и их соответствия нашим требованиям
7. Запросить у контрагента декларацию о способах защиты ПДн
8. Провести техническую экспертизу полученной декларации
9. Подготовить Регламент трансграничной передачи ПДн
10. Грамотно юридически оформить отношения с контрагентомЧто касается содержимого вложений (аттачментов) в электронной почте, то, скорее всего это Категория 2 (Паспортные данные + еще «что-то», но это «что-то» точно не относится к Категории 1, т.е. не включает информацию о здоровье, вероисповедании, расовой принадлежности и т.п.) При этом объем обрабатываемых персональных данных приблизительно 5-6 тысяч. Таким образом, получается Класс 2?
Здесь надо смотреть. Не все так однозначно. Если провести сегментирование, как было показано выше, то, по всей вероятности, на АРМ будет одновременно обрабатываться не более 1000 субъектов ПДн, а следовательно можно понизить класс до 3. В серверном сегменте этого, по всей вероятности, сделать нельзя, но надо еще посмотреть процесс обработки информации. Но в любом случае – это проблема не оператора, а третьего лица.
Компания готова разработать регламентирующий документ (приказ/распоряжение и т.п.), согласно которому будет запрещено де-юре при помощи электронной почты осуществлять передачу персональны данных, позволяющих идентифицировать субъект персональных данных (паспортные данные, ИНН, номер водительского удостоверения). Однако гарантий, что пересылка де-факто прекратится, нет, т.к. персоналу общаться с сотрудниками в регионах (и получать от них их паспортные данные) гораздо быстрей и проще при помощи e-mail. Будет ли достаточно подобного рода распоряжения, чтобы классифицировать почту, как систему, которая не обрабатывает ПДн?
Нет, не будет, поскольку здесь чистая ИСПДн. В данном случае необходимо разрабатывать Регламент трансграничной передачи информации, соответствующий действительности, и его исполнять, это не трудно. Бояться здесь нечего. А вот если это будет «липа», то неизбежны проблемы с регуляторами.
- Каково толкование понятия «оператор персональных данных?»
-
В Законе, (ст. 3, п.2) сказано: «оператор (персональных данных) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Согласно норм русского языка, союз «а также» относится к соединительным союзам и может быть заменен на союз «и». Таким образом, следуя букве закона, можно сказать, оператор персональных данных это тот, кто обрабатывает персональные данные и определяет цель их обработки. В данном случае именно определение цели обработки персональных данных является ключевым и главным классифицирующим признаком.
Если оператор персональных данных на основании юридически правильно оформленного договора (см. ст. 6.4 Закона) поручил кому-либо обработку персональных данных и при этом определил цель такой обработки, то такое лицо будет являться третьим лицом в понимании Закона «О персональных данных», но не оператором.
- Во всех ли случаях, когда необходимо получение согласия субъекта персональных данных на их обработку, требуется получение письменного согласия? Возможно ли получение «молчаливого» согласия субъекта?
-
Здесь три вопроса: 1) во всех ли случаях требуется письменное согласие? 2) возможно ли получение «молчаливого» согласия? 3) возможно получение согласия конклюдентным действием? попробуем разобраться:
1. Письменное согласие требуется не во всех случаях, а только в строго ограниченных случаях:
- при включении персональных данных для информационного обеспечения в общедоступные источники (в том числе справочники, адресные книги) – ст.8.1;
- при обработке специальных категорий персональных данных – ст. 10.2, п.1;
- при обработке биометрических персональных данных – ст. 11.1;
- при трансграничной передаче персональных данных – ст. 12.3 п.1;
- в случае, когда решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимается на основании исключительно автоматизированной обработки его персональных данных – ст. 16.2;
- в случаях прямо предусмотренных иными федеральными законами (например, ст. 88ТК РФ, ст. 53 Закона «О связи»).
В остальных случаях достаточно простого (не письменного согласия) субъекта.
2. Если федеральным законом прямо предусмотрен случай при котором молчание лица порождает юридические последствия, то в этом случае такое молчание можно признать согласием. Однако, в практике обработки персональных данных я таких правовых актов не наблюдал.
3. Получение согласия конклюдентным действием – возможно., но такое конклюдентное действие должно быть описано и с таким описанием должен в обязательном порядке быть ознакомлен субъект персональных данных. На практике, например при заполнении электронной анкеты, достаточно что бы на экране высветился дисклеймер «Я согласен, что мои персональные данные будут обрабатываться в целях маркетинга и передаваться третьей стороне ООО «Рога и копыта». Если после прочтения такого сообщения лицо поставило галочку и получило доступ к дальнейшему заполнению анкеты, то оно совершило конклюдентное действие.
- Можно ли фотографию отнести к числу персональных данных и возможно ли признать её биометрическими данными?
-
Безусловно, фотография относится и к персональным данным и к биометрическим персональным данным, то есть данные, которые содержат биологические свойства, психологические характеристики, черты жизни или повторяющиеся действия, являющиеся уникальными для субъекта и измеряемыми, даже если образцы, используемые для измерения вносят определенную степень вероятности (неопределенности). Специфика биометрических данных состоит в том, что их можно рассматривать и как информацию о субъекте, и как «идентификатор». В самом деле, в силу уникальности их связи с определенным лицом, биометрические данные могут быть использованы для идентификации этого лица.
- Нужно ли получать согласие на трансграничную передачу персональных данных, являющихся общераспространенными в силу закона?
-
Статья 12 Закона не делает исключений для общедоступных персональных данных. Следовательно такое согласие требуется.
- Работник нашей зарубежной организации не является гражданином РФ, его данные обрабатываются в наших информационных системах, в частности, в электронных справочниках. Обязаны ли мы получить у него согласие на обработку?
-
Если оператор персональных данных и его информационная система размещается на территории Российской Федерации, то он полностью подпадает под юрисдикцию законов Российской Федерации. Согласно ст. 2.1 ГК РФ правила, установленные гражданским законодательством, применяются к отношениям с участием иностранных граждан, лиц без гражданства и иностранных юридических лиц, если иное не предусмотрено федеральным законом. Законом «О персональных данных» иное не предусмотрено, следовательно, на работников зарубежной организации распространяются требования этого Закона.
- Когда необходимо получать согласие субъекта персональных данных на их обработку?
-
К сожалению, Роскомнадзор практически всегда понимает, что согласие на обработку персональных данных должно быть получено исключительно в письменном виде.
Хотя сам закон предполагает лишь 5 случаев получения письменного согласия в случае:
1. обработки специальных категорий персональных данных (данные о здоровье, расовой и национальной принадлежности и т.д.);
2. обработки биометрических ПДн;
3. включения ПДн в общедоступные источники (справочники, адресные книги и т.д.);
4. необходимости трансграничной передачи персональных данных, в случае, когда принимающая сторона не обеспечивает адекватного уровня защиты;
5. принятия решений, порождающих юридические последствия для субъектов ПДн при исключительно автоматизированной обработке ПДн.В остальных случаях согласие может быть получено другим образом.
- Как поступать в том случае, когда взять личное согласие субъекта на обработку персональных данных проблематично (коллективные договора страхования и пр.)?
-
Во-первых, закон не дает жесткого требования по получению согласия. Есть целый ряд изъятий, когда оно не требуется, например, при работе в рамках заключенного договора. В данном случае коллективный договор страхования и есть тот самый договор, на основании которого проводится дальнейшая обработка ПДн, а значит получать отдельно согласие субъектов не нужно.
Чтобы обезопасить себя полностью, в договоре коллективного страхования необходимо зафиксировать, что «работодатель на основании согласия своих работников передает …», т.е. ответственность по получению согласия на обработку ПДн от субъектов фиксируется на другой Стороне договора.
- Каково распределение ответственности при передаче персональных данных третьим лицам?
-
Ответственность по получению согласия субъектов на обработку ПДн в данном случае лежит на Операторе. А в договоре с третьим лицом, при передаче ему в обработку ПДн, должно быть отдельным пунктом предусмотрено выполнение (ответственность за выполнение) таким третьим лицом требований Оператора по защите персональных данных.
- Что такое сертификация? Речь идет о сертификации СЗИ (средств защиты информации) или информационной системы, обрабатывающей персональные данные?
-
1. Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров (а также требованиям, устанавливаемых уполномоченными органами государственной власти).
В соответствии с п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) средства защиты информации (СЗИ), применяемые в информационных системах обработки персональных данных, в должны проходить в установленном порядке процедуру оценки соответствия.
Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» установлены два метода оценки соответствия: сертификация и декларирование соответствия.
В настоящее время порядок сертификации СЗИ в системе сертификации ФСТЭК России установлен «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199). Процедура оценки соответствия методом декларирования ФСТЭК России будет разработана и введена в действие ориентировочно в конце 2008 г.
2. В РД по защите персональных данных речь идёт о:
- оценке соответствия СЗИ (или путём сертификации или декларирования о соответствии);
- сертификации системы защиты информационной системы, обрабатывающей ПДн, на соответствие заданию по безопасности или профилю защиты (в случае если ЗБ или ПЗ для ИС разрабатывались в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-2002 и соответствующих РД ФСТЭК России).
- Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2?
-
Так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме (см. ответ по п. 9) (т.е. система защиты будет более сложной), то и её стоимость будет выше.
Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз.
- Последовательность шагов Оператора персональных данных по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»?
-
Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:
1. провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн;
2. урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
3. оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
4. разработать модель угроз (на основании результатов обследования ИС);
5. провести классификацию ИС с оформлением соответствующего акта;
6. получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
7. определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и результатами моделирования;
8. осуществить проектирование СОБИ;
9. реализовать проект на создание СОБИ;
10. провести оценку соответствия ИС ПДн требованиям безопасности согласно присвоенному классу.
11. организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ. - Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников?
-
Руководящие документы ФСТЭК России распространяются только на вопросы технической защиты персональных данных при их автоматизированной обработке в ИСПДн.
Поэтому правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу.
- Кто ответственен за разглашение переданных персональных данных 3-ей стороне, Оператор ПДн или 3-я сторона, где и как это должно быть определено?
-
Как указано в ответе на 2-й вопрос, передача персональных данных третьим лицам согласно ч. 4 ст. 6 ФЗ «О персональных данных» может осуществляться только на основании договора, в котором в том числе должна быть предусмотрена ответственность за нарушение требований законодательства по обеспечению безопасности персональных данных. В этом случае ответственность за разглашение переданных 3-му лицу персональных данных будет нести это лицо.
- Обязательно ли использовать в информационных системах персональных данных (ИСПДн) общесистемное ПО, сертифицированное по требованиям ФСТЭК России?
-
В том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России.
Если же используется стороннее ПО (СЗИ), реализующее функции защиты ПДн, тогда такой сертификации общесистемного ПО не требуется.
- Каким образом должны удаляться персональные данные после их использования?
-
Здесь необходимо привести ссылку на ч. 4 ст. 21 ФЗ «О персональных данных», которая устанавливает: «В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган».
В настоящее время порядок уничтожения персональных данных никакими нормативными документами не регламентирован. С учётом этого мы рекомендуем факт уничтожения персональных данных оформлять внутренним актом оператора, в котором должно указываться какие персональные данные, когда, кем и каким образом были уничтожены. Кроме того, рекомендуем формальную процедуру уничтожения персональных данных прописать отдельным разделом в разрабатываемом оператором внутреннем Положении об обработке персональных данных.
- Сколько по срокам должны храниться: журнал обращений субъектов ПДн, журнал регистрации о выдаче копий документов, журнал передачи ПДн третьей стороне, журнал регистрации электронных носителей?
-
Сроки хранения отдельных видов документов устанавливаются Федеральным законом РФ от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» и Приказом Министерства культуры РФ от 25.09.2010 г. N 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».
Данный приказ устанавливает следующие сроки хранения документов:
- п. 183. Обращения граждан (предложения, заявления, жалобы, претензии и др.); документы (справки, сведения, переписка) по их рассмотрению — 5 лет.
- п. 258. Книги, карточки (базы данных), реестры, журналы регистрации и контроля обращений граждан — 5 лет.
- п. 252. Книги, журналы, карточки, базы данных регистрации выдачи архивных справок, копий, выписок из документов — 5 лет.
- п. 230. Журналы учета машинных носителей информации, программно-технических средств защиты информации от несанкционированных действий, накопителей на жестких дисках, предназначенных для работы с конфиденциальной информацией — 5 лет.
- п. 260. Книги, журналы учета электронных носителей — 5 лет.
Учитывая это можно сказать, что упомянутые: «Журнал обращений субъектов ПДн», «Журнал регистрации о выдаче копий документов» и «Журнал регистрации электронных носителей» должны хранится не менее 5 лет.
Ведение же «Журнала передачи ПДн третьей стороне» руководящими документами, определяющими порядок обработки персональных данных, не предусматривается. Согласно части 3 ст. 6 Федерального закона № 152-ФЗ «О персональных данных», при передаче персональных данных субъекта для обработки другому лицу, требуется согласие субъекта.
- Правильно ли я понимаю, что алгоритмы Электронной подписи (ЭП) с открытыми ключами всегда работают через Удостоверяющие центры (УЦ)?
-
Нет, это не так. Средства формирования ЭП стоят на Вашем компьютере и все операции по подписанию документа проводятся именно у Вас на компьютере. Получив подписанное Вами сообщение Ваш визави либо с использованием автоматических средств, которые обращаются по указанному в сертификате адресу сервера УЦ и сверяют: действует ли ваша подпись, и потом на Вашем компьютере проводят необходимые преобразования для проверки подлинности подписи (так, к примеру действует браузер Explorer), либо может обратиться в УЦ и там ему проверят подлинность. Главная роль УЦ в этой процедуре – обеспечить открытый доступ каждому к серверу, где хранятся действующие открытые ключи и сведения об отозванных сертификатах (как правило, это делается через Интернет). Так что бояться нечего: вся переписка через УЦ не идет и мощностей хватит.
- Как определяется необходимость получения лицензий ФСБ на разные виды деятельности, в том числе на использование ПО криптографической защиты передаваемых данных?
-
Действующая нормативные правовые акты в области обеспечения безопасности персональных данных не обязывают оператора получать какие-либо лицензии ФСБ России.
Вместе с тем для обеспечения безопасности персональных данных оператором могут использоваться криптографические средства защиты информации (в основном в случае необходимости передачи персональных данных по открытым (незащищённым) каналам связи).
В этом случае порядок применения криптографических средств защиты персональных данных устанавливается следующими нормативными документами ФСБ России:
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г.
В случае необходимости применения криптографических средств защиты персональных данных оператор имеет право воспользоваться услугами специализированных организаций, имеющих лицензии ФСБ России на соответствующие виды деятельности (на право предоставления услуг в области шифрования информации и деятельности по техническому обслуживанию шифровальных (криптографических) средств).
Вместе с тем по желанию оператора он имеет право получить лицензии ФСБ России на следующие виды деятельности, связанные с шифровальными (криптографическими) средствами:
- предоставление услуг в области шифрования информации;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по разработке, производству шифровальных (криптографических) средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Порядок лицензирования по этим видам деятельности устанавливается Федеральным законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ и Постановлениями Правительство Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» и от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».
- Необходимо ли наличие лицензии, если оператор персональных данных самостоятельно проводит работы по установке СКЗИ?
-
Вопросы лицензирования деятельности, связанной с шифровальными (криптографическими) средствами (за исключением шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну) регулируются Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этим постановлением лицензированию подлежат следующие виды деятельности:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Согласно положениям этого документа:
1. Если оператор персональных данных приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Вместе с тем, если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России.
2. Если приобретаемое СКЗИ используется только в интересах организации и она (организация) не предоставляет услуг в области шифрования, то получение лицензии на этот вид деятельности также не требуется. - Что это за лицензия по персональным данным, которую выдает Россвязьнадзор и когда её надо получать?
-
Получение каких бы то ни было лицензий на право обработки персональных данных ФЗ «О персональных данных» не предусматривает.
- Что будет если класс выбран неверно и проверка надзорных органов это выявит? Есть ли отличие последствий для К1, К2, К3 классов?
-
1. В соответствии с п. 19 «Порядка проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) класс информационной системы может быть пересмотрен по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. Правом проведения контроля в этом случае обладают ФСТЭК России и ФСБ России. Если в ходе проверки будет установлено, что класс ИСПДн занижен, то скорее всего надзорный орган потребует приведения его в соответствие с реальным состоянием ИСПДн. Порядок проведения государственного контроля и надзора будет установлен специальным документом - «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», который будет утверждаться совместным приказом Минкомсвязи, ФСБ России и ФСТЭК России. Ориентировочный срок принятия этого документа – 3-4 квартал 2009 г.
2. Никакой разницы для ИСПДн классов К1, К2, К3 нет. - В соответствии со статьей 22 пункт 2 оператор персональных данных не обязан уведомлять надзорные органы, следовательно он не подлежит проверкам?
-
Абсолютно неверное трактование этого положения. Согласно ст.23 ФЗ «О персональных данных» надзорный орган (Роскомнадзор) на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора персональных данных независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет.
- Какие санкции и в соответствии с каким нормативным документом будут применяться, если требования закона не будут выполнены?
-
1. В этом случае наступает ответственность, предусмотренная ст. 24 ФЗ «О персональных данных» (гражданская, уголовная, административная, дисциплинарная и иная ответственность, предусмотренную законодательством Российской Федерации).
2. Полномочия Роскомназора по привлечению операторов к ответственности установлены ст. 23 «О персональных данных» (от привлечения к административной ответственности (ст. 13.11, 19.5, 19.7 и др. КоАП) до направления в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных (ст. 137 и др. УК РФ)Реальную практику примененния санкций можно посмотреть в отчете Роскомнадзора о деятельности за 2008 год на официальном сайте регулятора (можно попасть через наш раздел "Полезные ссылки"). За редким исключением, это в основном предупреждения и штрафы. Однако, ситуация может кардинально измениться с 1 января 2010 года, когда Роскомнадзор станет приостанавливать или останавливать обработку ПДн операторами, которые не выполнили требования Закона, что по своей сути будет означать остановку деятельности организации.