Персональные данные
- Как закон №152-ФЗ соотносится с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных Евросоюза ETS N 108?
-
Полностью соотносится. Более того, его принятие как раз и было вызвано тем, что Россия присоединилась к Конвенции и должна была привести свое внутреннее законодательство в соответствии с этой Конвенцией. Положения Закона коррелируют, а во многом повторяют положения Конвенции и Директивы Европарламента 95/46/ЕС.
- Урегулирование вопросов с обработкой персональных данных в правовой плоскости?
-
Для внесения ясности в этом вопросе, в первую очередь, мы рекомендуем разработать Внутреннее положение об обработке персональных данных, отражающее, в частности:
1. правовые вопросы обработки ПДн, цели и задачи такой обработки;
2. категории и перечни обрабатываемых ПДн;
3. категории субъектов ПДн;
4. порядок обработки ПДн;
5. порядок предоставления ПДн (кому, на каком основании и пр.);
6. условия начала и прекращения обработки ПДн;
7. основания и порядок уничтожения ПДн (в т.ч. разработка процедуры уничтожения, актов подтверждения уничтожения и пр.);
8. форму согласия субъекта на обработку ПДн (при необходимости);
9. обязанности персонала при обработке ПДн. - Что такое модель угроз?
-
Модель угроз — это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности персональных данных и уязвимостей при их обработке в ИСПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн.
Цель разработки модели угроз — определение актуальных для конкретной ИСПДн угроз безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться для классификации ИСПДн, а также в качестве исходных данных для построения (проектирования) обоснованной и эффективной системы защиты персональных данных.
- Как правильно передавать персональные данные 3-ей стороне из компании, какие документы должны регламентировать этот порядок?
-
Согласно ч. 4 ст. 6 ФЗ «О персональных данных» оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
В договоре должны быть определены цели обработки персональных данных третьим лицом, требование обеспечения им конфиденциальности и безопасности персональных данных при их обработке, а также ответственность третьего лица в случае нарушения им требований законодательства.
- Какие документы по защите персональных данных и каким надзорным органом согласуются, в каких случаях, порядок согласования (акт классификации, модель и т.д.)?
-
Согласование никаких документов по обеспечению безопасности персональных данных никакими надзорными органами не предусматривается.
- Сертификация и аттестация ИСПДн 1-ой категории.
-
Сертифицировать можно только конкретные средства (компьютер, ПО, элемент ИС, информационную технологию) – это процесс, не зависящий от конкретного местоположения объекта сертификации.
Аттестация же, напротив, строго привязана к конкретному объекту (адрес, здание, помещение и пр.) – процесс, показывающий, что все требования, указанные в сертификате или любых руководящих документах выполнены и соответствуют.
Сертификат соответствия можно и иногда нужно требовать от производителя. Но сертификация – процесс добровольный. Не все производители поставляют продукты в защищенном исполнении. В таком случае Оператор персональных данных может «вокруг» такого продукта (ПО) выстроить защиту с использованием сертифицированных (со стороны ФСБ, ФСТЭК) средств защиты.
А вот аттестация ИСПДн 1-й категории — обязательна.
- Если ИСПДн содержит ПО иностранных производителей (не проходивших сертификацию в РФ), при аттестации подобной ИС ПДн не потребуется сертификация данного иностранного ПО? Если потребуется, то какая, каковы ориентировочные временные затраты на сертификацию?
-
В общем случае используемое в ИСПДн ПО иностранного производства не подлежит сертификации (оценке соответствия).
Оператор обязан использовать ПО (как иностранного так и отечественного производства), прошедшее сертификацию (оценку соответствия) только в случае, если механизмы защиты, реализованные в этом ПО, предполагается использовать для обеспечения безопасности персональных данных. В этом случае указанное ПО будет относиться к средствам защиты информации и подлежит в обязательном порядке процедуре сертификации (оценки соответствия).
В остальных случаях для обеспечения безопасности персональных данных должны использоваться специализированные программные (программно-аппаратные) средства защиты информации, прошедшие в установленном порядке оценку соответствия (сертификацию) во ФСТЭК России.
- Трансграничный обмен. Комплекс связанных вопросов — пошаговый развернутый ответ экспертов.
-
Компания организует различного рода выездные мероприятия, на которые приглашаются как внешние специалисты (не являющиеся сотрудниками компании), так и собственные сотрудники. Привлеченные внешние специалисты высылают компании по электронной почте, а компания далее пересылает файлы, содержащие персональные данные (в т.ч. паспортные данные) внешним компаниям-подрядчикам для бронирования билетов и/или гостиниц для своих сотрудников и внешних специалистов. Таким образом, по сути система хранит ПДн. Является ли такая система ИСПДн (информационной системой персональных данных)? Что необходимо предпринять компании?
Здесь есть несколько важных моментов. Во-первых, необходимо уяснить в каких отношениях находится внешний специалист и компания, есть ли у них какие-либо договорные отношения.
Если внешний специалист привлекается на договорной основе, то есть компания связана некими обязательствами и должна в силу этих обязательств вывести его куда-то, организовать ему проживание и пр., то данный случай можно подвести под п.2 части 2 статьи 6 ФЗ-152 («обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных») и, таким образом, никакого согласия не требуется (формально оно уже дано в момент заключения такого договора). То, что субъект сам пересылает свои ПДн по E-mail, это его дело. В этом случае он является субъектом ПДн, а не оператором и на него требования закона в части защиты в канале связи информации, как ни странно, формально не распространяются. У него есть альтернатива: либо самому руками принести в компанию свои данные, либо передать по электронной почте. Главное в этом случае, что бы четко была обозначена такая альтернатива.
Если же внешний специалист не находится в договорных отношениях, то в этом случае возникает вопрос: на каком основании компания собирает ПДн. Здесь требуется обязательное согласие субъекта по форме, определенной частью 4 статьи 9 ФЗ-152.
Компания же выступает в любом случае как оператор ПДн и фактически передает ПДн так называемым «третьим лицам» (в терминах ФЗ-1252), которые так же должны соблюдать требования конфиденциальности ПДн и обеспечивать защиту. В этом случае в договоре с внешним сотрудником (или в согласии) должно быть указано, что оператор ПДн (компания) будет осуществлять обработку ПДн с привлечением третьих лиц. Кроме того, сама компания должна иметь договор или соглашение с тем третьим лицом, которому передаются ПДн в котором должно быть указано, что переданные ПДн должны защищаться в соответствии с установленными требованиями и что это третье лицо принимает на себя обязательства по соблюдению конфиденциальности ПДн и их защите. Если это выполнено, то следуем дальше.
Нужно ли компании брать письменное согласие с внешних специалистов на обработку, хранение, передачу их персональных данных?
Письменное согласие требуется только в 5 случаях:
1. Для включения в общедоступные источники информации (ст. 8)
2. Обработка специальных категорий ПДн (Ст. 10)
3. Обработка биометрических ПДн (ст. 11)
4. Трансграничная передача ПДн в страны, где нет адекватной защиты (ст. 12)
5. В случае, если исключительно автоматизированная обработка ПДн порождает юридически значимые события (ст. 16)В остальных случаях достаточно обычного согласия. В рассматриваемом случае обязательное письменное согласие, скорее всего, не потребуется, но для точного ответа важны все нюансы.
По сути, свои паспортные данные внешние специалисты высылают добровольно, можно ли это считать за косвенное согласие (но тогда встанет вопрос о правомерности распространения таких данных компанией внешним компаниям/подрядчикам)?
Сама по себе передача (отправка) не может являться косвенным согласием, но его можно перевести в разряд КОНКЛЮДЕНТНЫХ действий, если в договоре с внешним субъектом ПДн оговорить, что факт передачи ПДн по электронной почте является согласием на их автоматизированную обработку с привлечением третьих лиц.
В почтовой системе (на локальных АРМах и на серверах) хранятся копии отосланных писем, содержащие персональные данные. Соответственно, как рекомендуется ее защищать, учитывая тот факт, что сервера находятся и администрируются из Европы? Возможен ли здесь вариант, когда Оператором персональных данных (хранимых и передаваемых средствами электронной почты) признают Штаб-Квартиру в Европе (т.е. владельцем риска компрометации ПДн, а соответственно, центром принятия решения о защите персональных данных будет Штаб-Квартира)?
Здесь надо правильно провести сегментирование ИСПДн. Мы бы предложили следующее: выделить сегмент А ИСПДн, включающий АРМ, расположенные в пределах РФ и определить внешнюю границу этого сегмента внешним портом выходного коммутатора (межсетевого экрана) объекта, расположенного в пределах РФ. Второй сегмент В ИСПДн определить как сегмент, объединяющий серверы ИСПДн, расположенные на территории сопредельного государства и определить внешнюю границу сегмента, по внешнему порту выходного коммутатора объекта, расположенного на сопредельной территории. Третий сегмент С ИСПДн определить как каналы передачи информации с одной территории на другую. В этом случае на операторе ПДн (компании) лежит обязанность защищать АРМ до внешнего порта межсетевого экрана, на третьем лице (контрагенте на сопредельной территории) – защищать информацию на серверах, а на провайдере (операторе связи) – защищать информацию в каналах связи. (Можно и этот сегмент отдать на совесть третьего лица). Все эти действия должны быть обязательно подкреплены соответствующими договорными отношениями с третьим лицом и провайдером, в которых расписана их ответственность и обязанности по защите ПДн соответствующим образом. Т.е. надо делить риски со своими контрагентами и провайдерами.
Сервера находятся в Европе, информации о том, размещены ли физически на данных серверах еще какие-либо системы, помимо почты, у ИТ-менеджера в России нет. Повлиять на меры защиты самих серверов, равно как и на вопросы администрирования самой почты из России возможностей нет. Что делать?
Естественно, объект на территории сопредельного государства мы проверять не можем. Но при этом обязаны убедиться, что защита ПДн в этом государстве осуществляется адекватно (ст. 12). Для этого надо:
1. Оценить характер передаваемых ПДн
2. Определить требуемую степень защиты (класс защиты)
3. Уточнить, присоединилась ли страна к Конвенции по защите ПДн
4. Запросить в Консульстве национальные законы по защите ПДн
5. Перевести законы на русский язык
6. Провести юридическую экспертизу законов и их соответствия нашим требованиям
7. Запросить у контрагента декларацию о способах защиты ПДн
8. Провести техническую экспертизу полученной декларации
9. Подготовить Регламент трансграничной передачи ПДн
10. Грамотно юридически оформить отношения с контрагентомЧто касается содержимого вложений (аттачментов) в электронной почте, то, скорее всего это Категория 2 (Паспортные данные + еще «что-то», но это «что-то» точно не относится к Категории 1, т.е. не включает информацию о здоровье, вероисповедании, расовой принадлежности и т.п.) При этом объем обрабатываемых персональных данных приблизительно 5-6 тысяч. Таким образом, получается Класс 2?
Здесь надо смотреть. Не все так однозначно. Если провести сегментирование, как было показано выше, то, по всей вероятности, на АРМ будет одновременно обрабатываться не более 1000 субъектов ПДн, а следовательно можно понизить класс до 3. В серверном сегменте этого, по всей вероятности, сделать нельзя, но надо еще посмотреть процесс обработки информации. Но в любом случае – это проблема не оператора, а третьего лица.
Компания готова разработать регламентирующий документ (приказ/распоряжение и т.п.), согласно которому будет запрещено де-юре при помощи электронной почты осуществлять передачу персональны данных, позволяющих идентифицировать субъект персональных данных (паспортные данные, ИНН, номер водительского удостоверения). Однако гарантий, что пересылка де-факто прекратится, нет, т.к. персоналу общаться с сотрудниками в регионах (и получать от них их паспортные данные) гораздо быстрей и проще при помощи e-mail. Будет ли достаточно подобного рода распоряжения, чтобы классифицировать почту, как систему, которая не обрабатывает ПДн?
Нет, не будет, поскольку здесь чистая ИСПДн. В данном случае необходимо разрабатывать Регламент трансграничной передачи информации, соответствующий действительности, и его исполнять, это не трудно. Бояться здесь нечего. А вот если это будет «липа», то неизбежны проблемы с регуляторами.
- Каково толкование понятия «оператор персональных данных?»
-
В Законе, (ст. 3, п.2) сказано: «оператор (персональных данных) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Согласно норм русского языка, союз «а также» относится к соединительным союзам и может быть заменен на союз «и». Таким образом, следуя букве закона, можно сказать, оператор персональных данных это тот, кто обрабатывает персональные данные и определяет цель их обработки. В данном случае именно определение цели обработки персональных данных является ключевым и главным классифицирующим признаком.
Если оператор персональных данных на основании юридически правильно оформленного договора (см. ст. 6.4 Закона) поручил кому-либо обработку персональных данных и при этом определил цель такой обработки, то такое лицо будет являться третьим лицом в понимании Закона «О персональных данных», но не оператором.
- Во всех ли случаях, когда необходимо получение согласия субъекта персональных данных на их обработку, требуется получение письменного согласия? Возможно ли получение «молчаливого» согласия субъекта?
-
Здесь три вопроса: 1) во всех ли случаях требуется письменное согласие? 2) возможно ли получение «молчаливого» согласия? 3) возможно получение согласия конклюдентным действием? попробуем разобраться:
1. Письменное согласие требуется не во всех случаях, а только в строго ограниченных случаях:
- при включении персональных данных для информационного обеспечения в общедоступные источники (в том числе справочники, адресные книги) – ст.8.1;
- при обработке специальных категорий персональных данных – ст. 10.2, п.1;
- при обработке биометрических персональных данных – ст. 11.1;
- при трансграничной передаче персональных данных – ст. 12.3 п.1;
- в случае, когда решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимается на основании исключительно автоматизированной обработки его персональных данных – ст. 16.2;
- в случаях прямо предусмотренных иными федеральными законами (например, ст. 88ТК РФ, ст. 53 Закона «О связи»).
В остальных случаях достаточно простого (не письменного согласия) субъекта.
2. Если федеральным законом прямо предусмотрен случай при котором молчание лица порождает юридические последствия, то в этом случае такое молчание можно признать согласием. Однако, в практике обработки персональных данных я таких правовых актов не наблюдал.
3. Получение согласия конклюдентным действием – возможно., но такое конклюдентное действие должно быть описано и с таким описанием должен в обязательном порядке быть ознакомлен субъект персональных данных. На практике, например при заполнении электронной анкеты, достаточно что бы на экране высветился дисклеймер «Я согласен, что мои персональные данные будут обрабатываться в целях маркетинга и передаваться третьей стороне ООО «Рога и копыта». Если после прочтения такого сообщения лицо поставило галочку и получило доступ к дальнейшему заполнению анкеты, то оно совершило конклюдентное действие.