“Персональные данные от понятия до защиты”. Новосибирск. 14 октября 2010.

Posted: 17.10.2010 in Персональные данные
Метки: , , ,

В пятницу я вернулся из Новосибирска, с образовательно-практического семинара, проводимого МТУСИ и Роскомнадзором.

Программа семинара выглядела следующим образом:

  1. Открытие семинара. Приветственное слово (Загоренко Г.Н. Руководитель управления Роскомнадзора по новосибирской области)
  2. Основы законодательства в области персональных данных (Савченко А.Л. Начальник отдела по защите прав субъектов ПДн и правового обеспечения управления Роскомнадзора по Иркутской области)
  3. Субъекты персональных данных и операторы, осуществляющие обработку персональных данных, их взаимодействие при обработке персональных данных. Уполномоченный орган по защите прав субъектов персональных данных. Правовой статус. (Контемиров Ю.Е. Начальник отдела контроля и надзора за соответствием обработки персональных данных Роскомнадзора)
  4. Особенности регулирования защиты персональных данных в трудовых правоотношениях. (Контемиров Ю.Е. Начальник отдела контроля и надзора за соответствием обработки персональных данных Роскомнадзора)
  5. Основные технико-правовые и социально-правовые риски, которые могут возникнуть у оператора персональных данных Система нормативных актов, устанавливающих технические требования ИСПДн. Порядок классификации ИСПДн. (Масленкин С.В. Начальник 2-го отдела У ФСТЭК по Сиб.ФО)
  6. Практика применения Федерального закона «О персональных данных» в 2008-2009 г.г. Судебная и административная практика по защите прав субъектов персональных данных. (Контемиров Ю.Е. Начальник отдела контроля и надзора за соответствием обработки персональных данных Роскомнадзора)
  7. Организация и проведение проверок в отношении оператора:

    Особенности организации и проведения всех типов проверок (плановой, внеплановой, документарной, выездной). Сроки проведения проверок и требования к порядку оформления их результатов.

Как всегда, семинар на данную тему не смог дать исчерпывающую информацию по работе с персональными данными. Но на часть имеющихся вопросов ответы таки были получены. Хотя эти ответы эти спорные, т.к. несмотря на то, что звучали из уст представителей контролирующих органов, это были УСТНЫЕ ответы, и в спорных ситуациях ссылаться на них будет сложно.

Попробую прокомментировать основные доклады.

Основы законодательства в области персональных данных. Достаточно общий доклад, в котором в очередной раз были перечислены все основополагающие документы работы с персональными данными. Мастерство докладчика и сама презентация вызвали у меня лишь улыбку. Во-первых речь была достаточно монотонной, и зачастую выступающий подглядывал в бумажку (учитывая его должность, это по крайней мере неприлично). Во-вторых  многие слайды были плотно нафаршированы мелким текстом, что для большого зала неприемлемо (я сидя во втором ряду не смог прочесть большинство того, что там написано). В-третьих, это уже лично мои ощущения, эта тема настолько разжевана за последние 2 года, что нового ничего услышать вряд ли возможно. Но для некоторых участников мероприятия, данная информация была безусловно полезна и интересно, т.к. еще встречаются люди, которые только пришли к осознанию, что данный закон не шутка, и пора бы его прочесть и начать выполнять.

Субъекты персональных данных и операторы, осуществляющие обработку персональных данных, их взаимодействие при обработке персональных данных. Уполномоченный орган по защите прав субъектов персональных данных. Правовой статус. Уровень докладчика безусловно высок. Больше часа, легким языком, с примерами, без слайдов освещать такой вопрос и удерживать зал в колее понимания – высокая заслуга докладчика. Достаточно много говорилось о реестре операторов ПДн, о необходимости операторам подавать заявки, пояснялось что включение в данный реестр не повлечет за собой автоматически включение в реестр проверок на следующие годы. Скорее наоборот, внимание надзорных органов привлекут те компании, которые являются операторами (а это практически все) и не включены в реестр. Рассказывалось о возможности подачи заявки через портал Роскомнадзора, пояснялось откуда в шаблоне заполнения заявки, взялся раздел о крипто, не описанный в руководящих документах по заполнению заявки. Обращалось внимание на ОБЯЗАТЕЛЬНОЕ уведомление о информировании надзорного органа, в случае изменения информации, указанной в реестре. Так же был сделан акцент на действия оператора в случае получения запроса, срок ответа на который составляет 7 дней (для запроса надзорного органа) и 10 дней (для запрос субъекта). Упомянуты были взаимоотношения с коллекторскими агентствами. Например в банковских договорах передача задолженности организациям подобного рода прописана, а вот использование коллекторов для сбора задолженности за оплату своих услуг организациями ЖКХ, является незаконным1

Особенности регулирования защиты персональных данных в трудовых правоотношениях. На этом докладе за трибуной был тот же докладчик, так что уровень ведения выступления без нареканий. Достаточно непростой вопрос тоже, т.к. с одной стороны он регулируется помимо ФЗ-152 еще и ТК РФ, а с другой стороны  существующие реалии заставляют работодателя передавать данные о сотрудниках в некоторое количество сторонних организаций (фонды медицинского страхования, внутри холдинга в управляющие компании, в банки при использовании зарплатных карточных проектов).  Т.к. подобные действия выходят за рамки непосредственно трудовых взаимоотношений, то должно быть получено письменное согласие. Кроме того, очень скользкий вопрос получается с кадровым резервом и базой резюме соискателей на вакантные должности. С одной стороны налицо конклюдентные действия человека, подавшего резюме, и ответственность за их подачу лежит на нем, с другой стороны работодатель, получив информацию, обязан уже соблюдать ее конфиденциальность в силу закона (если соискатель не указал письменно, что согласен на их общедоступность). Кроме того, докладчик отметил, что многие компании, от соискателей требуют развернутое резюме, с указанием развернутых сведений о составе семьи, получая и обрабатывая таким образом информацию о третьих лицах без их согласия.

Основные технико-правовые и социально-правовые риски, которые могут возникнуть у оператора персональных данных Система нормативных актов, устанавливающих технические требования ИСПДн. Порядок классификации ИСПДн. Доклад вызвавший у меня очень неоднозначные впечатления. В ходе доклада был затронут порядок классификации ИСПДн. Зачастую оператор, классифицируя свою ИСПДн (иногда с подачи лицензиатов, иногда невнимательно читая закон) выбирая количественный показатель не учитывает предоставленную законом лазейку позволяющую снизить Хнпд, и как следствие класс системы.

Например:

В случае, когда обрабатывается 1500 записей сотрудников, можно считать Хнпд=3 (3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации).

В случае, когда компания ЖКУ обрабатывает 400 000 в пределах города (кроме Мск и С-Пб) Хнпд = 2 (2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования)

Когда я услышал это из уст представителя ФСТЭК меня это с одной стороны порадовало, с другой стороны улыбнуло, т.к. неоднократно, общаясь с лицензиатами присутствовал при их звонках в тот же самый Новосибирский ФСТЭК, где им отвечали, что ориентироваться нужно на количественную составляющую, т.к. берется максимальный показатель. Так же, у коллег есть официальное письмо ФСТЭК, в котором говорится о том же. Тем не менее, классификация ИСПДн – удел оператора (п. 2 Тройственного приказа 86/55/20), поэтому, четко следуя букве закона и понимание как это обосновать, помогут в данном случае снизить класс ИСПДн.

После этого доклада был сет вопросов и ответов, мимо одного из них я просто не могу пройти мимо:

Вопрос: Являются ли системы видеонаблюдения ИСПДн?

Ответ: ДА, так как в силу определения “персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу”. Почему то, отвечающие забыли текст, написанный в законе далее: “в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация” А вот интересно, как по лицу на видеосъемке получить такую информацию? Ну хоть к биометрическим не отнесли, и то ладно.

Практика применения Федерального закона «О персональных данных» в 2008-2009 г.г. Судебная и административная практика по защите прав субъектов персональных данных. Опять таки легкий и интересный доклад, изобилующий цифрами о количестве исков и штрафных санкций. Запомнилось, что за 2009 год, было взыскано с операторов порядка миллиона рублей (для тех, кто не в теме, стоимость реализации технических мероприятий по защите ПДН, стоит гораздо дороже). Из данного выступления, я вынес очень полезный факт. оказывается статья 13.11 КоАП (Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), статья судебная, т.е. наказания по ней могут наступать только по решению суда, а не по результатам проверки надзорным органом.

Организация и проведение проверок в отношении оператора. Получился достаточно скучноватый доклад, выступающий буквально всё пытался прочесть по бумажке (явная нехватка опыта публичных выступлений), поэтому я мало чего запомнил.Тля желающих понять всё про проверки Роскомнадзора, можно для начала ознакомится с этой статьей.

В ходе семинара пытался записывать на диктофон, но качество записи вышло таким, что разобрать хотя бы слово из выступлений в нем затруднительно, попробую почистить от сопутствующих шумов, и если удасться что-либо сделать – обязательно выложу для скачаивания.

Реклама
Комментарии
  1. Артём:

    На данном семинаре можно было услышать высказывания представителя ФСТЭК, о необходимости наличия лицензии ТСЗИ, в случае настройки корпоративного антивируса силами системных администраторов организации. Также вызвало настоящий фурор, требование к наличию лицензии в случае обновления баз сигнатур. Правда после обеда представитель поправился на этот счет.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s