пятница, 23 сентября 2011 г.

СЗПДн. Анализ. Контактные ПДн

В любой организации обрабатываются контактные ПДн: логин, ФИО, должность, отдел, рабочий телефон, сотовый телефон, адрес электронной почты. При этом ПДн могут принадлежать как сотрудникам Организации, так и партнерам, клиентам, кандидатам на работу и т.п.
Контактные ПДн как содержатся в телефонных справочниках, корпоративных справочных порталах, в базе пользователей AD, в корпоративной почтовой системе и вообще почти в любой информационной системе Организации (так как в любой ИС есть база пользователей, в которой заполняются логин, ФИО, должность, отдел).
В связи с этими ПДн возникает 2 группы проблемных задач:
· обеспечить безопасности ПДн, необходимыми мерами.
1. Обеспечить соблюдение принципов обработки ПДн, определенных 152-ФЗ
В части ПДн сотрудников всё хорошо.
Во-первых, такая обработка попадает в исключение п. 5) части 1 статьи 6 из 152-ФЗ и соответственно согласие на такую обработку собирать не требуется.
«5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;»
Во-вторых сотрудники находятся недалеко, с них можно и письменное согласие собрать при необходимости.
А вот партнеры, клиенты, кандидаты – пишут нам письма, дают между делом визитки и собрать с них согласие в письменном виде никак не представляется возможным.
Собственно, что мы можем сделать?
· отказаться от контактов с потенциальными партнерами и клиентами.
· обрабатывать общедоступные ПДн, попадающие в исключение п. 10) части 1 статьи 6 из 152-ФЗ. Но общедоступными ПДн могут стать только с письменного согласия субъекта в соответствии с частью 1 статьи 8 из 152-ФЗ. Такой вариант нам тоже не выполнить.
И тут на выручку нам приходит п. 7) части 1 статьи 6 из 152-ФЗ, который дает основания обрабатывать контактные ПДн для осуществления прав и законных интересов Организации.
Альтернативным вариантом может являться принятие факта отправки вам письма или передачи визитки за заключение договора в форме устной сделки. Что будет подходить под исключение п. 5) части 1 статьи 6 из 152-ФЗ.
2. Обеспечить безопасности ПДн, необходимыми мерами.
Основной проблемой в данной задаче является тот факт, что контактные данные обрабатываются на всех 100% АРМ и серверов. А ставить использовать СЗИ, прошедшие оценку соответствия, на всех 100% АРМ не хотелось бы.
Собственно, что мы можем сделать?
· Отказаться от использования, каких либо корпоративных систем или справочников на этом АРМ или сервере. Тогда зачем он вообще нужен этот АРМ?
· Обезличить ПДн обрабатываемые на большинстве узлов и как следствие получим возможность не защищать такие ПДн.
Если речь идет о контактных ПДн сотрудников – то необходимо будет выделить базу с полной контактной информацией (ФИО, должность,телефон) и удалить эту информацию из всех систем оставив только логины или табельные номера.
Если говорить об AD и различных корпоративных приложениях – то проблем нет.
Если говорить об электронной почте и телефонных справочниках – то ими будет невозможно пользоваться, потому что невозможно будет найти нужного нам сотрудника.
Ещё хуже с контактной информацией партнеров, клиентов, кандидатов. Если информацию обезличить – то использовать контактную информацию будет невозможно, что приведет к невозможности контактов с этими лицами.
· Сделать ПДн общедоступными и как следствие получим возможность не защищать такие ПДн.
Как уже упоминалось выше, собрать согласия на общедоступность в письменном виде с внешних лиц не представляется возможным. С сотрудников вполне можно собрать такое согласие при устройстве на работу.

Таким образом, мы приходим к выводу, что единственным нормальным вариантом оптимизации является: выделение сотрудников которым по должностным обязанностям необходимо взаимодействовать с партнерами, сотрудниками и кандидатами. На их АРМ контактные данные не могут быть обезличенными или общедоступными и подлежат защите.
На остальных АРМ и серверах останутся только контактные данные сотрудников, которые объявляются общедоступными в соответствии с собираемым согласием.

5 комментариев:

Trotsky комментирует...

Тут всё не так просто.
http://frunzensky.prm.sudrf.ru/modules.php?name=docum_sud&id=557
Очень познавательное дело :)

Сергей Борисов комментирует...

При определении общедоступности сделана ссылка только на 152-ФЗ. Других норм не указано.
В то-же время в 152-ФЗ явно указана необходимость письменного согласия:

пункт 10 часть 1 статьи 6:
"10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных)"
часть 1 статьи 8:
"1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных."

Trotsky комментирует...

1) Сергей, по Вашей логике, для внесения в ЕГРИП нужно письменное согласие на общедоступность.
2) В части 1 статьи 8 говорится об общедоступных источниках ПДн, а это не есть "ПДн, доступ неограниченного круга лиц к которым предоставлен по просьбе субъекта или самим субъектом".
К тому же в ст.18
3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
Между "получены из общедоступного источника" и "сделаны общедоступными" законодатель не ставит знака равенства.

Сергей Борисов комментирует...

Так как в соответствии с частью 3 статьи 9:
"3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора."

Хотелось бы понимать с внешними субъектами, какие доказательства будут достаточными?

1. Субъект мог дать мне визитку. Сама визитка могла быть потеряна, а информация в системе осталась.
К тому же визитка была передана конкретному лица, а не неограниченному кругу лиц.
2. Субъект мог прислать электронное письмо с контактной информацией.
В таком случаем письмо осталось для доказательства. Но письмо было направлено конкретному лицу, опять же нет оснований полагать, что субъект сделал их общедоступными
3. Субъект мог позвонить или продиктовать свою контактную информацию устно. Тогда доказательств не остается.

Trotsky комментирует...

Всё так, я имел ввиду лишь существование альтернативы. А уже что удобней\дешевле\возможно выбирать оператору :)