пятница, 9 декабря 2011 г.

СЗПДн. Анализ. Поручение обработки ПДн. Часть 2.


Для начала сравним обязанности и ответственность Оператора ПДн и Обработчика ПДн (лицо, осуществляющее обработку персональных данных по поручению оператора) при обработке ПДн.
 
Обязанности и ответственность Оператора
Обязанности и ответственность Обработчика
Общие
1.            
Соблюдение принципов обработки ПДн, определенных в статье 5
Соблюдение принципов обработки ПДн, определенных в статье 5
2.            
Ответственность перед субъектом ПДн за действия Обработчиков, которым поручал
Ответственность перед Оператором, который поручил обработку
3.            
Назначать ответственного за организацию обработки ПДн
-
При взаимодействии с Субъектом
4.            
Соблюдение условий обработки ПДн, определенных в части 1 статьи 6, в том числе получение согласия на обработку ПДн в случаях, не попадающих под исключения.
-
5.            
Предоставлять доказательства получения согласия
-
6.            
Вести перечень Обработчиков, которым поручил и включать этот перечень в согласие
-
7.            
Вести перечень действий с ПДн выполняемых как Оператором так и Обработчиком, которым поручил и включать этот перечень в согласие
-
8.            
Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн
Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн
9.            
При получении ПДн от третьих лиц  соблюдать условия в части 8 статьи 9 (требовать подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11)
Получение ПДн от третьих лиц должно быть разрешено в поручении Оператора
10.         
Разъяснять субъекту ПДн порядки, условия,  правила
-
11.         
Рассматривать возражения субъекта ПДн в ряде случаев
-
12.         
Предоставлять субъекту информацию об обработке в ряде случаев
-
13.         
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн (в том числе обрабатываемыми Обработчиком по поручению)
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн, по требованию Оператора, поручившего обработку
14.         
Давать мотивированные ответы субъекту в ряде случаев
-
15.         
Блокировать обработку ПДн в ряде случаев или обеспечить блокирование Обработчиком
Блокировать обработку ПДн по запросу Оператора, поручившего обработку
16.         
Уточнять ПДн в ряде случаев или обеспечить уточнение Обработчиком
Уточнять ПДн по запросу Оператора, поручившего обработку
17.         
Прекратить обработку ПДн в ряде случаев или обеспечить прекращение Обработчиком
Прекратить обработку ПДн по запросу Оператора, поручившего обработку
18.         
Уничтожить ПДн в ряде случаев или обеспечить уничтожение Обработчиком
Уничтожить ПДн по запросу Оператора, поручившего обработку
19.         
Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и подзаконными актами
Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и поручение оператора
20.         
Опубликовать политику обработки ПДн
-
При взаимодействии с Регуляторами
21.         
Предоставить Роскомнадзору набор внутренних нормативных актов по запросу
-
22.         
Предоставить Роскомнадзору информацию по запросу
-
23.         
Уведомить Роскомнадзору об обработке ПДн (в том числе перечень Обработчиков и перечень действий с ПДн, выполняемых обработчиками)
-
По защите ПДн
24.         
Убедится в адекватности защиты  ПДн иностранным государством при трансграничной передаче
Трансграничная передача должна быть разрешено в поручении Оператора
25.         
Принимать необходимые меры ОБ ПДн или обеспечивать их принятие Обработчиком
Принимать меры защиты ПДн требуемые поручение Оператора
26.         
В поручении Обработчику определять:
·     перечень действий c ПДн
·     цели обработки ПДн
·     ответственность по обеспечению конфиденциальности ПД
·     ответственность по обеспечению безопасности при обработке
·     ответственность за действия с ПДн
·     требовании по защите ПДн
·     порядок взаимодействия Оператора и Обработчика при необходимости изменений перечня действий с ПДн
·     порядок взаимодействия Оператора и Обработчика при ознакомлении Субъекта с ПДн
·     порядок взаимодействия Оператора и Обработчика по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
-
27.         
Выполнять требования ПП 781 и 687
Принимать меры защиты ПДн требуемые в поручение Оператора
28.         
Выполнять требования подзаконных актов ФСТЭК и ФСБ
Принимать меры защиты ПДн требуемые в поручение Оператора

1.      Из приведенного выше сравнения видно, что большая часть обязанностей по взаимодействию с Субъектами и Регуляторами ложится на Оператора. Фактически Оператор становится посредником между Субъектами, Регуляторами и Обработчиками.
Если говорить о различие во внутренних документах по обработке, то у Оператора должны быть регламентированы мероприятия:
·        по организации обработки ПДн
·        по обработке ПДн
·        по взаимодействию с Субъектами
·        по взаимодействию с Регуляторами
·        по взаимодействию с Обработчиками
До выхода 152-ФЗ, вопросы организации обработки в Обработчике и вопросы взаимодействия с Обработчиком фактически не прорабатывались, всё организации были сами за себя и внедряли свои оригинальные мероприятия. Теперь же Оператор должен анализировать, проектировать, разрабатывать мероприятия для себя и всех кому поручил.
 Если раньше Оператор вел перечень ПДн, действий с ПДн, целей, оснований, сроков хранения ПДн только за себя, то теперь он должен вести эти перечни по всем Обработчикам, которым поручил.
У Обработчика же должно быть регламентированы мероприятия обработке ПДн и по взаимодействию с Оператором.  И то, большей частью они должны быть получены от Оператора или тесно связаны с ним.
Так что глупо приходить к обработчику и спрашивать, почему он не собирает согласия, не принимает такие-то меры, если эти меры не требует от него Оператор.
Соответственно когда приходит Интегратор и внедряет Обработчику типовой комплект документов для Оператора это вызывает недоумение.
2.      Из приведенного выше сравнения видно, что большая часть обязанностей Обработчика по обеспечению безопасности ПДн зависит от требований предъявляемых в Поручении.
Могут быть варианты, когда требования для Обработчика окажутся даже более жесткими или более широкими чем для Оператора. Ведь ничего не мешает Оператору скопировать все требования из 152-ФЗ, подзаконных актов и добавить ещё что-то от себя.
Но в некотором идеальном варианте должно быть наоборот – Оператор может взять на себя такие мероприятия как проведение обследования ИСПДн, оптимизацию ИСПДн, разработку модели угроз, технических требований к СЗПДн, проекта СЗПДн, шаблонов документов. Обработчику же останется только выбрать из готового перечня понравившиеся СЗИ и принять у себя рекомендованные документы.
Соответственно когда приходит Интегратор и выполняет для Обработчика полный набор мероприятий не имея на руках требований Оператора - это вызывает недоумение.


8 комментариев:

Mihail Sergeevich комментирует...

Сергей,я могу быть не прав,но в "обязанностях и ответственности обработчика" у вас стоит прочерк в № 3
Я опять же могу быть не прав, но при выдаваемом оператором обработчику поручения (как надо обрабатывать ПДн) по сути дела мы выдаем его юр лицу,но судя по логике у обработчика при ведении таких операций должно быть лицо на которого ляжет эта обязанность?

Сергей Борисов комментирует...

Не обязательно. ФЗ требует этого только от Оператора.
Дальше зависит от Оператора.
Он может потребовать от Обработчика выполнения каких-то конкретных мер и все,
а может часть обязанностей по организации взять на себя и например осуществлять контроль выполнения требований 152-ФЗ Обработчиком.

Mihail Sergeevich комментирует...

Да и большое спасибо за табличку,очень пригодиться ,так же как и та табличка что вы сделали для сравнения по старому новому 152-ФЗ.

Артем Агеев комментирует...

дело в том, что обработчик - тоже оператор, т.к. у него работают свои собственные сотрудники.

Поэтому все обязательства оператора применяются и к обработчику (только субъекты перс. данных разные).

Сергей Борисов комментирует...

Да - самое интересное возникает когда Организация является одновременно Оператором и Обработчиком по поручению другого Оператора.

В случае с сотрудниками, Организация будет Оператором по определенной части своих процессов обработки ПДн. Скорее всего не понадобится собирать согласия, подавать уведомление. Обращений по вопросам ПДн от сотрудников тоже минимум. Да и в соответствии с трудовым кодексом у Организации наверное есть положение по обработке ПДн сотрудников.

Сергей Борисов комментирует...

А ещё интересная ситуация возникает, когда Банк поручил Коллектору обработку ПДн. А Коллектор захотел отправить письма и передать данные в курьерскую компанию по доставке писем. (или аналогично сотовый оператор поручил компании по призам разыграть призы среди клиентов, а те передают в курьерскую компанию данные)

В таком случае будет выбор - или Коллектор становится оператором или Банк поручает курьерской компании доставку.

Аналогично можно строить многоуровневые цепочки передачи ПДн, где вся информация аккумулируется в начальном супероператоре ПДн.

Николай комментирует...

Что же делать, когда Обработчик получает от Организации данные Юр. Лиц. точнее даже Организация 1 получает от Организации 2 данные о Юр. лицах, они по определению не попадают под ПДн!?

Сергей Борисов комментирует...

Николай, обработка данных юр. лиц. не регулируется 152-ФЗ, поэтому тут требований не предъявляется.

При желании, договор между Оператором и Обработчиком, может распространятся так-же и на другие данные. Например требования по обеспечению безопасности коммерческой тайны.