04 Март 2019
В 2019 году четко сформировалась система осуществления административного контроля в сфере организации защиты персональных данных (ПП РФ от 13.02.2019 №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»). Данный документ рассматривает вопросы о проведении плановых и внеплановых проверок и указывает на то, что в целях проверки операторов персональных данных, они могут быть включены в ежегодный план проверок по истечении 3-х лет с момента регистрации или последней проверки.
Сразу дам совет, в начале каждого года просматривать план проверок, публикуемый на сайте прокуратуры, чтобы точно знать какие проверки каких государственных надзорных органов, проводимые на плановой основе, предстоят вам в ближайшем будущем.
Для начала необходимо условиться о терминологии. Все необходимые для понимания термины указаны в ст.3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — 152-ФЗ). Их желательно прочитать хотя бы один раз в жизни. Самый первый вопрос, который обычно задают будущие операторы — какой набор данных о физическом лице считать персональными данными (ПДн). Печально, что законодатель в п.1 ст.3 152-ФЗ дает следующее размытое понятие: ПДн — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). На сегодняшний день лучше всего ориентироваться на то, что персональными данными физического лица являются те данные, которые позволяют однозначно идентифицировать это самое физическое лицо и прямо к нему относятся, например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, имущественное положение и т.д. Юридические лица, как субъекты персональных данных вовсе не имеют.
Далее необходимо разобраться в том, является УК, ТСЖ оператором персональных данных или нет, обязано оно выполнять требования законодательства в области обработки ПДн или нет. Согласно п.2 ст.3 152-ФЗ оператором является юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, сомнений в том, что УК, ТСЖ является оператором персональных данных не возникает, отсюда у УК, ТСЖ, согласно требованиям Гл. 4 152-ФЗ возникают обязанности по защите ПДн при из обработке. Вот с реализацией этих обязанностей на практике часто возникает множество вопросов.
Первое, что нам надо сделать, четко ответить на следующие вопросы:
- какой набор персональных данных мы обрабатываем (например, фамилия, имя, отчество (заметьте не ФИО, а каждый реквизит в отдельности), адрес, сведения об объектах недвижимости, принадлежащих на праве собственности (или ином праве), суммы платежей и т.д.);
- каковы цели обработки персональных данных (при этом, цели должны быть четко сформулированы, например: управление эксплуатацией жилого и нежилого фондов; ведение реестра собственников помещений в соответствии с ЖК РФ; ведение списка членов ТСЖ «НАЗВАНИЕ», осуществление расчетов с потребителями коммунальных услуг в рамках заключенных договоров; обработка персональных данных работников ТСЖ «НАЗВАНИЕ» в соответствии с ТК РФ). Почему тут нет ничего о ПДн, обрабатываемых при паспортном учете? Автор придерживается позиции о том, что ведение паспортного учета сотрудниками ТСЖ, УК после упразднения ФМС России и обновления редакции Административного регламента по учету граждан МВД от 31.12.2017 №984 не целесообразно, т.к. гораздо дешевле и практичнее осуществлять все операции непосредственно собственникам напрямую в органах МВД или путем направления электронных заявок через портал Госуслуг, чем платить ежемесячно за услуги паспортного стола, ждать когда паспортист съездит в органы МВД. Для ТСЖ это платить зарплату паспортисту, оборудовать помещения паспортных столов в соответствии с требованиями МВД, выделять (и оплачивать) транспорт для путешествий паспортиста. Более того, с учетом положений нового Административного регламента паспортист выполняет функции приема-передатчика не более того, самостоятельно никакого учета он не ведет.
- какие действия по обработке персональных данных мы планируем осуществлять, а это может быть сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных;
- будем ли мы передавать ПДн третьим лицам и, если будем, то на каких правовых основаниях. Важно понимать, это будет передача в силу исполнения положений нормативных правовых актов (например, передача данных в адрес органов социальной защиты на основании ФЗ от 28.12.2013 №442-ФЗ, налоговые органы на основании положений НК РФ и т.д.) или это будет передача в расчетные центры, агентства по распечатке и доставке платежек по договорам). Обращаю внимание на то, что передача квитанций по оплате коммунальных услуг, согласно разъяснениям регулятора, должна быть выполнена в конвертированном виде, иначе это является нарушением;
- каким способом («автоматизированным» или «бумажным») мы обрабатываем ПДн. По смыслу новой редакции 152-ФЗ автоматизированной считается любая обработка ПДн в цифровом виде (ранее такой обработкой считалась только обработка в специальной программе, например, 1С, а вот обработка в текстовых документах нет);
- в случае, если мы используем облачные сервисы по обработке ПДн (например 1С: Рарус), нам необходимо уточнить физическое местонахождение серверов и убедиться в том, что серверы компании, оказывающей облачные услуги, располагаются на территории РФ (отсутствует трансграничная передача данных). Обычная проверка Роскомнадзора возможно и не станет так сильно углубляться в детали, а вот проверка ФСБ России может.
После того, как нами составлен такой список, необходимо еще раз пробежаться по перечню персональных данных и убедиться, что данный перечень не является избыточным и соответствует заявляемым нами целям.
Теперь мы можем написать уведомление в органы Роскомнадзора о том, что мы обрабатываем персональные данные, с целью избежать штрафа (ст.13.11 КоАП), но не будем торопиться.
- если у нас только «бумажная обработка» руководствуемся постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- если у нас автоматизированная обработка, в которой обрабатываются персональные данные (ИСПДн), то руководствуемся к уже указанному ПП РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и в случае, если вы используете системы электронной передачи данных с использованием криптографии на базе криптопровайдеров, например, КриптоПРО CSP (СБИСС, Спринтер, Контур и т.д.) приказом ФСБ России от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Возможно ли реализовать весь комплекс мер самостоятельно — вполне возможно, было бы желание разобраться и время. Какие именно документы мы должны разработать и утвердить написано ниже. Большинство документов являются типовыми и их не сложно найти в сети Интернет, более того существует множество видеоуроков на данную тему. Большой плюс что существуют бесплатные сервисы, помогающие изготовить документы и даже создать модель угроз для информационной системы, отвечая на простые вопросы о режимах ее работы (тут рекламировать я их не буду, поищите сами).
Можно купить готовый пакет документов, но и тут надо проверять насколько он для вас актуален, т.к. в готовых документах содержится очень много ошибок, особенно если изготовитель документов не выезжал к вам на местность и не знакомился с технологией и особенностями именно вашей организации работы.
Важно, что для проектирования и настройки систем защиты ПДн в информационных системах у исполнителя требуется наличие лицензии ФСТЭК России по технической защите конфиденциальной информации (но это справедливо только в случае, если вы заключаете официальный договор на проектирование и внедрение такой системы. На практике встречались ситуации, когда исполнителя на время подготовки документов и настройки средств принимали на работу в штат ТСЖ — в этом случае лицензии не требуется, исполнитель работает за зарплату).
При проверках регулятор будет исходить из того, имеются документы или нет, и если документы будут в наличии, но не совсем корректны, их можно будет поправить в ходе проверки (что конечно зависит от подхода к проверке сотрудника регулятора, но в большинстве случаев вам пойдут навстречу). В случае полного отсутствия каких-либо документов будут применяться штрафы.
1. Приказы о назначении:
- ответственного за организацию обработки персональных данных (ст. 22.1 ФЗ-152);
- ответственного за обеспечение проведения процедур внутреннего контроля защиты ПДн;
- если есть работники, которые в силу должностных обязанностей обрабатывают ПДн — то приказ о допуске к обработке ПДн этими работниками, с указанием какие ПДн они обрабатывают, с какой целью, в каком объеме и какие операции совершают;
- приказ о лицах, ответственных за обезличивание персональных данных при их передаче (если таковая имеется, например расчетному центру передается только номер лицевого счета и суммы, без указания данных о собственнике);
Пока все просто. Далее.
2. Приказы по организации:
- об утверждении перечня обрабатываемых персональных данных в привязке к целям такой обработки;
- об утверждении политики (положения) об обработке персональных данных в организации (данный документ должен быть опубликован на сайте, или размещен на информационном стенде для беспрепятственного доступа любого желающего. Это самый распространенный штраф, ст.13.11 КоАП, после штрафа за обработку ПДн без уведомления);
- положение об обработке персональных данных в организации (можно совместить с политикой, отличия с точки зрения обывателя минимальны, но не желательно);
- перечень третьих лиц, которым поручена обработка персональных данных, в каком объеме, каких ПДн и основание возникновения такой обработки (документ не обязательный но при проверке будет нужен). Сразу обращаю внимание на то, что передавая обработку третьим лицам, ответственность за конфиденциальность все равно лежит на вас (т.е. на том, кем ПДн получены от субъекта), поэтому в договорах обязательно указывайте «условия конфиденциальности», такие как запрет распространения, обеспечение защиты переданных ПДн и т.д..;
- приказ об организации защиты персональных данных в организации, которым необходимо утвердить:
- план приведения системы защиты ПДн в соответствие закону (или создание системы защиты). Такой план в последствии должен стать ежегодным, в нем указываются сроки проведения контроля, сроки пересмотра документов и т.д.;
- форму согласия на обработку персональных данных (только в случаях, когда такое согласие требуется). Какие обязательные реквизиты должны быть включены в форму согласия указано ст.9 152-ФЗ;
- форма предупреждения о последствиях в случае отказа дать согласие на обработку персональных данных (не обязательно, но рекомендуется). По сути это должен быть мотивирующий документ на подписание согласия, главное не перестараться и не превратить предуреждение в угрозу;
- порядок охраны помещений в которых хранятся/обрабатываются персональные данные, порядок и организация доступа в такие помещения. Сюда же включите план, определяющий границы контролируемой зоны организации (т.е. границы, в пределах которой невозможно свободное, неконтролируемое пребывание посторонних, пусть даже это будет по границе стен одного кабинета);
- инструкцию по работе с обращениями субъектов персональных данных (тут необходимо указать как рассматриваются обращения, кем в какие сроки и в каком виде дается ответ);
- инструкцию о порядке внутреннего контроля состояния защиты ПДн и действия по разбирательству фактов выявленных нарушений обработки ПДн;
- описание технологического процесса обработки персональных данных (кто, с использованием чего, какие ПДн и какое время до момента уничтожения);
- форма обязательства о неразглашении ПДн работниками, которые их обрабатывают, при этом обязательно включите пункт о том, что в течение 2-х лет с момента увольнения, сотрудник не может разглашать ставшие ему известными в связи с выполнением должностных обязанностей ПДн;
- инструкцию по обезличиванию и по работе с обезличенными персональными данными (при необходимости);
- инструкцию ответственному за организацию и обработку ПДн (его основные обязанности указаны ст.21.1 152-ФЗ);
- инструкцию внутреннего контроля за ПДн или порядок внутреннего контроля;
- перечень мест хранения материальных носителей персональных данных (бумажных дел);
- порядок уничтожения носителей персональных данных (время хранения, способ: сжигание, измельчение, химическое уничтожение и т.д.).
Форму учета:
Журнал учета обращений субъектов ПДн;
Журнал учета проверок регуляторов.
В соответствии с новыми требованиями п.3.1 ст.45 ЖК УК, ТСЖ обязаны вести реестры собственников и передавать их собственнику созывающему ОСС. Предавая эти данные оператор персональных данных УК и ТСЖ обязаны указать получателю на то, что данные реестры содержат ПДн и их использование возможно строго в заявленных целях, а именно, для организации проведения ОСС. В связи с чем рекомендую подготовить типовую форму запроса, которую необходимо будет заполнить заявителю перед выдачей такого реестра, в которую включить фразу о том, что получатель реестра, содержащего ПДн, оповещен о том, что может использовать эти данные только в строго определенной цели и обязан соблюдать требование об их конфиденциальности.
Если для обработки персональных данных применяются информационные системы — ИСПДн:
- приказ об утверждении перечня информационных систем персональных данных, и перечня персональных данных обрабатываемых в ИСПДн;
- акт об определений уровня защищенности информационной системы (ИСПДн), сразу обращаю внимание на то, что показатели защищенности устанавливаются во многом исходя из субъективной оценки, поэтому «не придумывайте» себе высокий уровень защищенности, 4-ый уровень является самым низким;
- приказ о назначении администратора информационной системы (администратора безопасности информационной системы, при необходимости);
- приказ, утверждающий перечень электронных информационных носителей информации, содержащих ПДн (это флешки, жесткие диски в составе ПЭВМ, файловые хранилища и хранилища резервных копий (CD, DVD) и т.д.);
- порядок доступа к таким носителям (кто имеет право доступа, с какими полномочиями: чтение, запись, изменение, редактирование).
- модель угроз;
- инструкции: администратору, пользователю, администратору информационной безопасности;
- порядок антивирусной защиты;
- политика (руководство) информационной безопасности (или иной документ описывающий систему защиты персональных данных в ИСПДн и требования по защите), должна включать сведения о применяемых технических мерах защиты и перечне средств защиты, сюда можно включить раздел об антивирусной защите. Я советую писать руководство по обеспечению ИБ, включая в него описание реализаций тех мероприятий, которые необходимы в соответствии с приказом ФСТЭК №21 для выбранного уровня защищенности;
- порядок резервного копирования данных в ИСПДн и план обеспечения непрерывности работы (как данные восстанавливаются, что делать если выключили свет, вышла из строя ПЭВМ и т.д.);
- Акты об установке программных и аппаратных средств защиты информации;
- Журнал учета электронных носителей информации;
- Журнал инструктажа пользователей, работающих с информационной системой;
- Журнал учета СКЗИ (если таковые применяются, форма есть в приказе 152 ФАПСИ);
- Журнал учета проведения внутренних проверок.
После того, как составлено около 50% документов, у нас появляется ясность о системе защиты ПДн, поэтому мы сможем без ошибок заполнить и подать соответствующее уведомление об обработке персональных данных в Роскомнадзор. Форма уведомления размещена на официальном сайте Роскомнадзора и ее можно заполнить в электронном виде, подписать ЭП и отправить в электронном виде или распечатать, подписать на бумажном носителе и направить в их адрес на бумаге.
Далее осуществляется бюджетирование и закупка технических средств защиты, имеющих соответствующий сертификат, например: антивирусная защита, межсетевой экран, средство предупреждения вторжении и другие средства, которые должны применяться в соответствии с требованиями приказа ФАПСИ №21. Особое внимание необходимо обращать на сертификацию, например, если обработка производится на ПЭВМ, имеющем доступ в сеть Интернет, по общему правилу, на нем должен быть установлен антивирус и межсетевой экран. В составе известного антивирусного решения с красным значком, присутствуют оба компонента, однако сертифицирован только антивирус, поэтому применять межсетевой экран можно на свой страх и риск.
Напоминаю, что обработка ПДн должна осуществляться на технических средствах, на которых установлено только лицензионное ПО, поэтому имеет смысл включать в бюджет и расходы связанные с его легализаций (либо продумать вопрос о переходе на свободно распространяемое ПО).
Решение о необходимости аттестации ИСПДн (оценке адекватности принимаемых мер специализированной экспертной организацией, достаточно дорогостоящий процесс) для ТСЖ и УК принимается в добровольном порядке.