вторник, 27 декабря 2011 г.

Семинар Интертакс "Живые встречи": выступление представителя Роскомнадзора

23 декабря прошел семинар "Живые встречи", на котором прозвучало 3 доклада: о защите персональных данных, о сетевых атаках с точки зрения нарушителя, а также о сетевых атаках с точки зрения специалиста по защите.
Наибольший интерес для меня представлял доклад О.В. Костынюк, представителя Роскомнадзора по Красноярскому краю. Хочу поделиться с вами заметками на полях, при создании системы защиты персональных данных знать мнение Роскомнадзора может быть очень полезным :-)

1. В первой половине 2012 года планируется выход 4 документов:
  • Первый будет определять обязательные требования для муниципальных и госорганов.
  • Второй документ определит уровни защищенности в зависимости от угроз.
  • Третий документ определяет требования к защите.
  • Последний устанавливает порядок согласования с ФСБ и ФСТЭК по определению дополнительных угроз безопасности.
2. Оператором является также юр лицо, которому поручили обработку ПДн.
3. № квартиры, сумма долга на подъезде - персональные данные, а следовательно их разглашение - нарушение.
4. Общедоступный источник - перечни, справочники и информация на сайте. А общедоступные ПДн - определяет субъект для общедоступного размещения.
5. ПДн ни в коем случае не должны быть избыточными! Нельзя собирать сведения о родственниках сотрудников без их согласия. А также запрещено собирать сведения о судимости.
6. При обработке на основании договора согласия на обработку можно не брать, исключение для трудовых отношений - банковские карты, для перечисления зарплаты необходимо брать согласие.
7. Проиграно дело по факту незаконной передачи оператором ПДн абонентов третьему лицу для печати и рассылки квитанций.
8. Взыскать долг с привлечением коллектором незаконно без согласия субъекта.
9. "Судим" и "не судим", "здоров" и "не здоров" - не Пдн специальной категории.
10 По родственникам можно брать только ФИО и контакты (по форме Т2).
11. Неавтоматизированная обработка ПДн - обработка с применением систематизации и классификации. 
12. Телефонная книга на компьютере = обработка ПДн.
13. Хорошая практика: прописать в локальном акте, как заполнять форму по учету кадров.
14. Необходимо обязательно размещать для общедоступного пользования политику по защите ПДн.
15. Для официальных запросов ПДн: запрос должен содержать конкретные лица - на кого передавать ПДн, цель, статью законодательства.
16. Электронные пропуска = биометрия.
17. Биометрия - только если используем для идентификации, ксерокопии паспорта не являются биометрией.
18. Обращения граждан о нарушениях: 2009 год - 146 обращений, 2011 - более 1700.
19. Необходимо указывать сведения о СЗИ в уведомлении.

Основные нарушения:
1. Неподача уведомления.
2. Обработка без согласия субъекта, несоответствие письменной формы согласия требованиям законодательства.
3. В договоре отсутствует перечень действий, целей обработки.
4. Сотрудники допущены к неавтоматизированной обработке ПДн без подписи.

Семинар на мой взгляд был очень полезным и позволил узнать мнение контролирующего органа (в нашем регионе) по некоторым спорным вопросам.

3 комментария:

  1. Мда...Интересно, это скорее частное мнение Роскомнадзора по Красноярскому краю или всеже их всех.

    Из того, на что обратил внимание:
    1. да, документы ждем, но видимо это будет очередной виток "совершенствования" СЗПДн, и те, кто уже что-то сделали, будут доделывать/переделывать.

    3. Странно, если нет ФИО, то почему это ПДн? В квартире могут быть прописаны, да и вообще жить большое кол-во разных людей. Однозначной идентификации быть не может. Аналогично можно говорить про гос.долг России, что это ПДн :)))

    4. С этим просто, но надо брать согласие субъекта ПДн.

    5. Сведения о родственниках являются стандартными полями утвержденной формы Т2 в кадровом делопроизводстве (Да, про это написали ниже в №10). Про судимость точно не знаю, но думаю, что она тоже может входить в какие-либо официальные формы документов. Получается небольшая коллизия...

    6. Странно, но уже привычно. Сейчас операторам ПДн имеет смысл вообще со всех сотрудников брать согласие...

    8. Ну, это да. А с практической точки зрения как это будет реализовано)))

    9. Логично, я встречал, что эти ПДн в перечнях имеют название "Социальный статус". Туда же относят информацию по инвалидности.

    10. Кстати, по родственникам могут быть моменты и по дате рождения. Особенно по детям (для пособий, подарков). Вроде в Т2 есть дата рождения, хотя не уверен...

    11. Хм, а если перечень ПДн будет не систематизирован? Например различные приказы по персоналу, которые содержат ФИО, должность, зарплату и пр. Странное определение, лучше на него не ориентироваться.

    12. Это да. Хотя имеет смысл тел.справочники выводить в разряд общедоступной информации.

    13. странно, форма обычно типовая (Т2), редко кто берет информации больше/меньше.

    14. Это да. Кстати, было бы хорошо увидеть пример или хотябы примерное содержание и рекомендации по заполнению. Сейчас я видел несколько вариантов: от 2х страничных документов, до больших с копипастом из 152-ФЗ. Какие требования/рекомендации регулятора?

    16. Глупость. К биометрическим данныем есть спец.требования в ГОСТах.

    17. Аналогично 16, обычная фотография может использоваться на охране для идентификации, но она не будет биометрией.

    18. Маловато )))

    19. Степень детализации? только тип или точные названия и версия СЗИ. По факту, о своей ИБ, а именно о том, как она построена, имеет смысл передавать на сторону минимум данных. Во многих компаниях такая информация имеет гриф "КТ".

    ОтветитьУдалить
  2. Андрей, согласна, что многие формулировки вызывают споры - на то это и мнение регулятора)))
    1. Думаю, что переделывать будем, да и нестыковки будут, придется применять творческий подход)
    3. Ответ парадоксальный, согласна. Логика была такая - раз в статье ПДн - сведения, прямо или косвенно характеризующие личность, то вот под косвенно можно запихать все, что угодно, даже номер квартиры. Вот такой точки зрения они там у себя придерживаются)
    14. По поводу политики разъяснений не было никаких, должна быть и все тут. Видимо, это спорный вопрос)
    19. Думаю, достаточно будет написать обобщенно. Смотрите - вот одно из декабрьских уведомлений - http://www.rsoc.ru/personal-data/register/?id=11-0231979. Опубликовано - значит корректно) Что характерно на сайте указано ФИО ответственного лица и телефон, цель этой общедоступности мне лично непонятна)

    ОтветитьУдалить
  3. Был я на этом семинаре,
    5. ПДн ни в коем случае не должны быть избыточными! Нельзя собирать сведения о родственниках сотрудников без их согласия.
    Не согдасен на счет родственников - обрабатывать ПДн родственников (работников) можно, на основании ТК РФ ст.228. Вы обязаны при тяжелом несчастном случае или несчастном случае со смертельным исходом - уведомить родственников пострадавшего! Конечно это "маза", но на законном основании.
    Если обрабатываете ПДн родственников (клиентов), они часто бывают выгодоприобретателями или поручителями (в кредитных организациях оч. часто) Это ст.6 Фз-152 если память не изменяет.
    На счет п.6. Брать согласия - именно письменное - в четырех основных случаях:
    1. Трансграничная передача
    2. Создание общедоступных источников
    3. Обработка спец-х категорий Пдн
    4. Обработка биометрии.
    В остальных случаях (не учитывая требования других НПА например об инсайдерах, там тоже необходимо согласие в письменном виде) согласие дается своей волей и в своем интересе! Сказал "да"!) Но вот доказать конечно получение этого "да" на операторе (обязанность)
    На счет Банковских карт - согласие не нужно если заключен любой договор И согласие при начисление ЗП на карточку банка нужно только до момента заключения договора между банком и сотрудником, потом оно не нужно...

    ОтветитьУдалить