21 мая 2012 г.

Уполномоченный орган по защите прав субъектов персональных данных: итоги за 2011 год. Часть 2

Весьма интересен перечень нарушений, выделяемых надзорным органом. Рассмотрим в том же порядке, что и в отчете.
1. Нарушение требований конфиденциальности при обработке персональных данных. В Отчете почему-то все сводится к фактам доставки платежных документов в незаконвертованном виде. В материалах же проверок в 2011г. наиболее частыми и характерным выглядели факты передачи персданных третьим лицам без согласия субъекта. Тема интересная. Где допустимые границы указания персданных в почтовом отправлении? Только ФИО и адрес? Где это написано? И открытки (т.е. почтовые отправления именно в открытом виде) пока никто в России вроде бы не отменял… Хотя, судя по тому, что везде перестали принимать открытки в качестве средств оповещения о событии (помните – очередь подошла!), тенденция просматривается.
2. Неуведомление гражданина о начале обработки его персональных данных. Под раздачу попали расчетно-информационные центры ЖКХ, начавшие выставлять счета без уведомления жильцов. Нарушение выглядит крайне спорным. РИЦы создаются как раз для сбора платежей коммунальщиками и ресурсопоставляющими компаниями с жильцов, и обработка ими персданных, полученных от коммунальщиков, вполне вписывается в п.7 части 1 ст.6 ФЗ-152 - обработка персональных данных необходима для осуществления прав и законных интересов оператора. И нарушений прав владельцев квартир и квартиросъемщиков никаких не видно – деньги им все равно платить надо.
3. Нарушение «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного пресловутым Постановлением Правительства 2008 г. № 687, в части, касающейся несоблюдения оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ. Отметим, что наличие реальных инцидентов или предпосылок к таковым проверяющих не интересовало.
Для «четверки» особо пристально проверяемых категорий операторов (банки, коллекторы, авиакомпании и кадровые агентства) Уполномоченный орган выделяет следующие нарушения:
1. Опять-таки нарушения «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», но уже в части, касающейся непринятия мер по исключению несанкционированного доступа к обрабатываемым персональным данным. Таковым признается отсутствие у оператора утвержденного перечня лиц, имеющих доступ к персональным данным, обрабатываемым без использования средств автоматизации. И обязательное определение порядка и мест хранения персональных данных субъектов. Т.е. если кадровику под роспись не довести, что он работает с персданными и не указать конкретный шкаф, где хранятся личные дела работников и трудовые книжки, наказание будет неотвратимым.
2. Следующее нарушение интереснее – обработка оператором персональных данных без согласия субъектов персональных данных, в частности, обработка банком персональных данных близких родственников без их соответствующего согласия. В отчете не указано, о чьих близких родственниках идет дело – работников банка или клиентов. Если работников – неплохо бы надзорному органу сформулировать  свое точку зрения на унифицированную форму учета работников Т2, которой руководствуется вся страна и где в п.10 близких родственников как раз надо указать. Если о родственниках клиентов, то опять-таки нужен единый подход. В банке клиент очень часто представляет информацию о других субъектах (я про это не раз писал, например, здесь и здесь). Вступление банка в контакт с ними без их согласия иногда приводит к нарушению банковской тайны, и поэтому недопустимо. Простой выход – переложение ответственности в договоре на клиента за правомерность предоставления персданных родственников и иных лиц почему-то надзорным органом не принимается.
3. Несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона. В отчете дан пример: в типовой форме согласия на обработку персональных данных, утвержденной кадровым агентством, отсутствовало общее описание используемых оператором способов обработки персональных данных. Опять не очень понятно: обработка персональных данных в целях заключения договора (в данном случае – трудового), стороной которого является субъект, никакого согласия не требует.
В отчете есть интересное предложение, касающееся распространения баз данных госорганов и продажи их на «радиорынках» - нормативно урегулировать вопросы обеспечения идентификации баз персональных данных, обрабатываемых в госорганах, с целью однозначного определения источника в случае их утечки или появления в продаже.
А вот как в этих же целях применять другую предлагаемую Роскомнадзором процедуру – обезличивание персональных данных, «успешное использование которой существенно снизит риски идентификации конкретных граждан в случаях утечек баз данных», не очень понятно. Зачем МРЭО ГАИ обезличенная база владельцев автотранспорта? Констатация же того, что «применение процедур обезличивания персональных данных уже нормативно закреплено постановлением Правительства Российской Федерации от 21.03.2012 № 211 и является обязательным для Операторов, являющихся государственными или муниципальными органами», просто ставит в тупик.
В целях борьбы с индексацией поисковыми системами персональных данных предлагается разработать технический стандарт, определяющий набор необходимых правил и мер, реализация которых обеспечит безопасность персональных данных при их обработке в информационно-телекоммуникационной сети Интернет и позволит исключить подобные случаи. Интересно…
В отчете констатируются все те проблемы, для разрешения которых предлагается внести изменения в КоАП, и о которых я писал ранее.
В отчете отмечается, что новая редакция закона позволила операторам при обработке персональных данных применять отраслевой подход, учитывающий специфику деятельности в той или иной сфере деятельности, а применение подобных отраслевых стандартов не только позволяет обеспечить реализацию требований Федерального закона с учетом особенностей профессиональной деятельности, но и влечет за собой повышение уровня защищенности персональных данных граждан и снижение количества нарушений.
Такое впечатление, что мы читаем разные новые редакции закона. Я-то как раз никакой возможности применения стандартов в новой редакции не вижу.
В отчете дается краткий анализ надзорной деятельности ФСБ и ФСТЭК. Нарушения и недостатки, выявленные ФСБ, разделены на 4 категории:
  1. Разработка ведомственных нормативных документов по обеспечению безопасности персональных данных с отступлениями от требований нормативно-методических документов ФСБ России.
  2. Использование СКЗИ, не прошедших сертификацию ФСБ России или с истекшими сроками действия сертификатов.
  3. Подготовка и назначение пользователей СКЗИ осуществляется с отступлениями от требований нормативных документов.
  4. Нарушения в учете, хранении, уничтожении СКЗИ и ключевой документации к ним.
Основные недостатки, выявленные проверками ФСТЭК, следующие:
  1. Незавершенность работ по классификации ИСПДн.
  2. Формальный подход к формированию модели угроз безопасности персданных.
  3. Использование технических средств защиты информации, не прошедших в установленном порядке процедуру оценки соответствия, в том числе межсетевых экранов при подключении информационных систем персональных данных к сети Интернет.
  4. Отсутствие описания системы защиты персональных данных.
  5. Отсутствие надлежащего учета применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
Про перспективы классификации лучше почитать у Алексея Лукацкого.
По поводу оценки соответствия на сайте ФСТЭК размещено информационное письмо, разъясняющее тонкости закрытого постановления Правительства № 330. Его достаточно подробно комментирует Алексей Волков.
Есть в отчете много еще интересного, но обо всем в посте не напишешь – и так многобукв получилось.

6 комментариев:

  1. Год назад, на семинаре по ПДн, задал вопрос одному из руководителей управления по защите прав субъектов г-ну Контемирову про согласие родственников для Т2. Однозначно сказал не надо. Когда спросил "Знают ли об этом в теруправлениях?" - пожал плечами. Они между собой пока разобраться не могут в правоприменении и получаем - каждый суслик в поле агроном.

    ОтветитьУдалить
  2. Вам еще повезло. Мне руководительница на мой вопрос вообще публично сказала, что отвечать не будет, а на попытки выяснить, как это сочетается с обязанностями чиновника, сказала, что обсуждать не будет. Самое главное, они и не хотят разбираться.

    ОтветитьУдалить
  3. Что это за нарушение такое "Формальный подход к формированию модели угроз безопасности персданных."

    Им что, "неформальный" подход нужен?

    ОтветитьУдалить
  4. Конечно! Формальный - это без души. А нужна душа!

    ОтветитьУдалить
  5. У меня в Политике ИБ раздел называется: "Неформальная модель нарушителя" :)

    ОтветитьУдалить