23 декабря прошел семинар "Живые встречи", на котором прозвучало 3 доклада: о защите персональных данных, о сетевых атаках с точки зрения нарушителя, а также о сетевых атаках с точки зрения специалиста по защите.
Наибольший интерес для меня представлял доклад О.В. Костынюк, представителя Роскомнадзора по Красноярскому краю. Хочу поделиться с вами заметками на полях, при создании системы защиты персональных данных знать мнение Роскомнадзора может быть очень полезным :-)
1. В первой половине 2012 года планируется выход 4 документов:
- Первый будет определять обязательные требования для муниципальных и госорганов.
- Второй документ определит уровни защищенности в зависимости от угроз.
- Третий документ определяет требования к защите.
- Последний устанавливает порядок согласования с ФСБ и ФСТЭК по определению дополнительных угроз безопасности.
2. Оператором является также юр лицо, которому поручили обработку ПДн.
3. № квартиры, сумма долга на подъезде - персональные данные, а следовательно их разглашение - нарушение.
4. Общедоступный источник - перечни, справочники и информация на сайте. А общедоступные ПДн - определяет субъект для общедоступного размещения.
5. ПДн ни в коем случае не должны быть избыточными! Нельзя собирать сведения о родственниках сотрудников без их согласия. А также запрещено собирать сведения о судимости.
6. При обработке на основании договора согласия на обработку можно не брать, исключение для трудовых отношений - банковские карты, для перечисления зарплаты необходимо брать согласие.
7. Проиграно дело по факту незаконной передачи оператором ПДн абонентов третьему лицу для печати и рассылки квитанций.
8. Взыскать долг с привлечением коллектором незаконно без согласия субъекта.
9. "Судим" и "не судим", "здоров" и "не здоров" - не Пдн специальной категории.
10 По родственникам можно брать только ФИО и контакты (по форме Т2).
11. Неавтоматизированная обработка ПДн - обработка с применением систематизации и классификации.
12. Телефонная книга на компьютере = обработка ПДн.
13. Хорошая практика: прописать в локальном акте, как заполнять форму по учету кадров.
14. Необходимо обязательно размещать для общедоступного пользования политику по защите ПДн.
15. Для официальных запросов ПДн: запрос должен содержать конкретные лица - на кого передавать ПДн, цель, статью законодательства.
16. Электронные пропуска = биометрия.
17. Биометрия - только если используем для идентификации, ксерокопии паспорта не являются биометрией.
18. Обращения граждан о нарушениях: 2009 год - 146 обращений, 2011 - более 1700.
19. Необходимо указывать сведения о СЗИ в уведомлении.
Основные нарушения:
1. Неподача уведомления.
2. Обработка без согласия субъекта, несоответствие письменной формы согласия требованиям законодательства.
3. В договоре отсутствует перечень действий, целей обработки.
4. Сотрудники допущены к неавтоматизированной обработке ПДн без подписи.
Семинар на мой взгляд был очень полезным и позволил узнать мнение контролирующего органа (в нашем регионе) по некоторым спорным вопросам.
Мда...Интересно, это скорее частное мнение Роскомнадзора по Красноярскому краю или всеже их всех.
ОтветитьУдалитьИз того, на что обратил внимание:
1. да, документы ждем, но видимо это будет очередной виток "совершенствования" СЗПДн, и те, кто уже что-то сделали, будут доделывать/переделывать.
3. Странно, если нет ФИО, то почему это ПДн? В квартире могут быть прописаны, да и вообще жить большое кол-во разных людей. Однозначной идентификации быть не может. Аналогично можно говорить про гос.долг России, что это ПДн :)))
4. С этим просто, но надо брать согласие субъекта ПДн.
5. Сведения о родственниках являются стандартными полями утвержденной формы Т2 в кадровом делопроизводстве (Да, про это написали ниже в №10). Про судимость точно не знаю, но думаю, что она тоже может входить в какие-либо официальные формы документов. Получается небольшая коллизия...
6. Странно, но уже привычно. Сейчас операторам ПДн имеет смысл вообще со всех сотрудников брать согласие...
8. Ну, это да. А с практической точки зрения как это будет реализовано)))
9. Логично, я встречал, что эти ПДн в перечнях имеют название "Социальный статус". Туда же относят информацию по инвалидности.
10. Кстати, по родственникам могут быть моменты и по дате рождения. Особенно по детям (для пособий, подарков). Вроде в Т2 есть дата рождения, хотя не уверен...
11. Хм, а если перечень ПДн будет не систематизирован? Например различные приказы по персоналу, которые содержат ФИО, должность, зарплату и пр. Странное определение, лучше на него не ориентироваться.
12. Это да. Хотя имеет смысл тел.справочники выводить в разряд общедоступной информации.
13. странно, форма обычно типовая (Т2), редко кто берет информации больше/меньше.
14. Это да. Кстати, было бы хорошо увидеть пример или хотябы примерное содержание и рекомендации по заполнению. Сейчас я видел несколько вариантов: от 2х страничных документов, до больших с копипастом из 152-ФЗ. Какие требования/рекомендации регулятора?
16. Глупость. К биометрическим данныем есть спец.требования в ГОСТах.
17. Аналогично 16, обычная фотография может использоваться на охране для идентификации, но она не будет биометрией.
18. Маловато )))
19. Степень детализации? только тип или точные названия и версия СЗИ. По факту, о своей ИБ, а именно о том, как она построена, имеет смысл передавать на сторону минимум данных. Во многих компаниях такая информация имеет гриф "КТ".
Андрей, согласна, что многие формулировки вызывают споры - на то это и мнение регулятора)))
ОтветитьУдалить1. Думаю, что переделывать будем, да и нестыковки будут, придется применять творческий подход)
3. Ответ парадоксальный, согласна. Логика была такая - раз в статье ПДн - сведения, прямо или косвенно характеризующие личность, то вот под косвенно можно запихать все, что угодно, даже номер квартиры. Вот такой точки зрения они там у себя придерживаются)
14. По поводу политики разъяснений не было никаких, должна быть и все тут. Видимо, это спорный вопрос)
19. Думаю, достаточно будет написать обобщенно. Смотрите - вот одно из декабрьских уведомлений - http://www.rsoc.ru/personal-data/register/?id=11-0231979. Опубликовано - значит корректно) Что характерно на сайте указано ФИО ответственного лица и телефон, цель этой общедоступности мне лично непонятна)
Был я на этом семинаре,
ОтветитьУдалить5. ПДн ни в коем случае не должны быть избыточными! Нельзя собирать сведения о родственниках сотрудников без их согласия.
Не согдасен на счет родственников - обрабатывать ПДн родственников (работников) можно, на основании ТК РФ ст.228. Вы обязаны при тяжелом несчастном случае или несчастном случае со смертельным исходом - уведомить родственников пострадавшего! Конечно это "маза", но на законном основании.
Если обрабатываете ПДн родственников (клиентов), они часто бывают выгодоприобретателями или поручителями (в кредитных организациях оч. часто) Это ст.6 Фз-152 если память не изменяет.
На счет п.6. Брать согласия - именно письменное - в четырех основных случаях:
1. Трансграничная передача
2. Создание общедоступных источников
3. Обработка спец-х категорий Пдн
4. Обработка биометрии.
В остальных случаях (не учитывая требования других НПА например об инсайдерах, там тоже необходимо согласие в письменном виде) согласие дается своей волей и в своем интересе! Сказал "да"!) Но вот доказать конечно получение этого "да" на операторе (обязанность)
На счет Банковских карт - согласие не нужно если заключен любой договор И согласие при начисление ЗП на карточку банка нужно только до момента заключения договора между банком и сотрудником, потом оно не нужно...