Яндекс.Метрика

    Песочница

    Про день ЗПДн или как работать с персональными данными в белую — 3

    Хай, Хабр!
    Продолжаем обзор этапов подготовки к 1 июля – Дню защиты персональных данных. В первой статье мы создавали комиссию, во второй – проводили классификацию нашей ИСПДн. Настало время вступить в сообщество благоразумных и законопослушных специалистов, коих уже как минимум 197 тысяч. Точнее сказать — внести запись о своей ИСПДн в реестр операторов персональных данных, в котором уже числятся 197 487 компаний и организаций… упс, уже 197 646. Инвайтом для вступления, точнее пропуском в реестр станет заполненная на портале Роскомнадзора форма «Уведомления об обработке персональных данных». Важно понимать, что с момента отжатия кнопки «Отправить» мы по своей доброй воле объявим свою организацию оператором персональных и будем вынуждены соответствовать букве закона. С одной стороны, в этом есть некоторые риски, авось про нас никто и никогда бы не вспомнил? Может и так, но с другой стороны, если, не имея уважительных причин не направим уведомление до 30 июня исключительно, то уже с первого июля наша компания станет нарушителем 152-ФЗ и эта дата станет точкой невозврата.
    Как, например, 1 апреля для налогоплательщиков. Многие, наверное, в курсе, что если кто не успел подать декларацию в ФНС о своих нетрудовых, то с первого рабочего дня апреля появится как минимум штраф – 1000 рублей за просрочку, а часто получается, что чем дальше по скользкой, тем сильнее вязнешь в нелегальной тине. Поэтому, как советуют здравый смысл и старшие товарищи, уведомление лучше подать. Например, вдруг станется в 2012-м, что «наибольший интерес для включения в план проверок вызовут операторы, не включенные в реестр». Конечно, кто-то сразу вспомнит, что по данным SETI, в 2012 на землю приземлится армада инопланетных звездолетов, но ведь и далеко не факт, что они летят спасать нас от регуляторов. Нам и так по линии защиты ПДн регулярно упрощали задачи, например, отменяли обязательные требования по криптографии или необходимость получения лицензий на защиту информации. Можете минусить, но даже если ИСПДн наша по К4 или вся персоналка крутится на сервере в Амстердаме, все равно не заполнив уведомление нам не стать белыми и пушистыми :-)

    Первое о чем нужно помнить при заполнении, что формулировка «электронное уведомление» — это некоторый фейк. Электронную форму уведомления придется пренепременно распечатать и проставив номер исходящего отправить в территориальный орган Роскомнадзора по месту юридической регистрации оператора. Т.е. отправляем и электронно, и физически, естественно, не допуская разночтений, что уже стало основной ошибкой операторов. Например, когда в электронной форме говорится о двух ИСПДН, а в печатной появляется ИСПДн №3. Вторая распространенная ошибка: пропуски данных, например, забывают про почтовый индекс или наименование муниципального района для районных организаций. Важно лишний раз проверить полное соответствие всех полей в электронной форме и бланке уведомления. Честно говоря, на этом этапе, я бы полностью положился на помощь юридического друга или подруги, даже если они не входят в состав нашей комиссии.

    Все вводные формы уведомления до вопроса: «Правовое основание обработки персональных данных» необычайно просты. В данном поле желательно постатейно перечислить все федеральные законы и нормативные акты, в рамках которых мы обрабатываем ПДн. Например, Трудовой кодекс, для процессов накопления сведений о сотрудниках, или ФЗ «Об акционерных обществах» для данных по собственникам и акционерам. В большинстве случаев хватает перечня из 4-5 документов, в первую очередь, конечно, с указанием «ст. 5, 6, 7, 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    Нужно 100-500 раз подумать, прежде чем отмечать параметр «Биометрические персональные данные», тем более, что далеко не каждая фотография сотрудника – это сразу биометрия, а вот защита биометрии почти всегда потребует отдельного согласия субъектов, дополнительных технических средств и юридического мужества.

    Дальнейшие вопросы проходятся на пятой передаче и заполняются в соответствии с нашим актом классификации ИСПДн. Но на спецучастке «Осуществляется ли трансграничная передача персональных данных» лучше сделать остановку и пока еще не поздно хорошенько взвесить все за и против. Если в явном виде мы не отправляем персональные данные на домены и ресурсы не в зоне RU, лучше однозначно и уверенно ответить «не осуществляется». Если по распоряжению боссов кому-то из сотрудников приходится иногда отправлять списки акционеров куда-нибудь на Каймановы острова, то придется ответить на трансграничный вопрос положительно и указать страны, в которую передаются ПДн. Дальнейшее развитие событий предугадать сложно, в некоторые страны, где защита ПДн находится на «любительском» уровне нам могут вообще запретить любые транзакции приватных данных. Кстати, этот же пункт придется обязательно отметить, если наш 1С сервер хостится в солнечном Амстердаме.

    Для поля «Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке» нужно хотя бы общее представление о тех способах и механизмах защиты, которые мы будем использовать. Хорошо, что если не юзаем криптографию, то указание точных наименований программных продуктов и технических устройств не потребуется.

    Двигаемся дальше. Выбрав, класс информационной системы, указываем дату начала обработки ПДн, крайне желательно, чтобы она была не позднее 31.12.2010 (см. ФЗ-359 от 23.12.2010).
    Указываем срок или условие прекращения обработки ПДн, например, «ликвидация организации», указываем контакты контакты исполнителя, проходим капчу и нажав, «отправить». Бескомпромиссно делаем еще один шаг в сторону легализации нашей ИСПДн. На всякий случай перед прохождением этого этапа стоит почитать как можно больше хинтов и солюшенов от регуляторов. Не забудем и про отправку распечатанной бумажной формы с номером исходящего и ключом электронной формы уведомления, который «генерится» после нажатия кнопки отправить.

    В следующей статье мы начнем разрабатывать модель угроз безопасности ПДн при их обработке в ИСПДн. Попробуем убедиться или опровергнуть истинность поговорки о том, что любую угрозу можно «закрыть» оргмерами. И сделаем выводы относительно процессов и механизмов защиты, обязательных к применению в нашей ИСПДн…