четверг, 19 января 2012 г.

СЗПДн. Анализ. Согласие в электронной форме на обработку ПДн


Достаточно давно идут обсуждения между специалистами о законности сбора в электронной форме Согласия на обработку персональных данных (были заметки в блогах у Лукацкого, Волкова и других специалистов).

С одной стороны утверждается, что согласие может быть только в письменной форме или  в форме электронного документа с электронной подписью в соответствии с частью 4           статьи 9 152-ФЗ:
“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.”
При этом фраза “в случаях, предусмотренных федеральным законом” понимается как в случаях, не попадающих под исключения описанные в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11.

Другие специалисты ссылаются на часть 1 статьи 9 152-ФЗ:
“1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.”
а часть 4 статьи 9 152-ФЗ трактуют, как необходимость сбора согласий в письменном виде только в тех случаях, где законом явно предусмотрена такая необходимость (общедоступность, специальные категории, биометрические, трансграничная передача, юридические последствия):
“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.”

Пока споры идут, появляется всё больше интернет ресурсов, на которых требуется поставить галочку о согласии на обработку ПДн. В том числе такую галочку просит поставить Роскомнадзор при заполнении Уведомления в электронном виде.
Чтобы для себя расставить точки над галочками, отправил запрос в Роскомнадор с просьбой разъяснить ситуацию. В отличие от предыдущего запроса про биометрию, когда пришел ответ о невозможности комментировать законодательство, в этот раз получил развернутый ответ:




Как видно, Роскомнадор считает что галочки достаточно для согласия, надо только не забыть опубликовать рядом политику в отношении обработки ПДн.
Большое количество компаний уже опубликовало свои политики в отношении обработки ПДн, есть варианты на которые можно равняться - «Почта Сервис», KDL, есть варианты из которых ничего не понять ни субъекту ни регулятору ни самим авторам – OZON, ВСК. А вот сам Роскомнадзор пока не опубликовал политику.




суббота, 14 января 2012 г.

СЗПДн. Анализ. Перечень документов по ПДн при проверке Роскомнадзора


Роскомнадзор опубликовал план проверок в области персональных данных на 2012 год. Ссылка на выборку по ЮФО приведена тут
Кроме плановых, также могут быть и внеплановые проверки по обращениям субъектов ПДн.
Чтобы безболезненно пройти проверку, хорошо бы иметь отдельную папочку (бумажную или электронную) с документами, необходимыми для проверки. Что туда положить? Ответить на это поможет актуальный вариант “Перечня вопросов проверки юридических лиц ииндивидуальных предпринимателей по соблюдению законодательства РФ в областиперсональных данных”. (за документ спасибо uamigo с bankir.ru)



Привожу в таблице ниже документы требуемые Роскомнадзором при проверке и соответствующие им названия документов которые складываются в папку по ПДн из типовых проектов которые мне встречались:
Документ требуемый Роскомнадзором при проверке
Название документа из типового комплекта
1.                       
Уведомление Роскомнадзора
Копия уведомления
2.                       
Устав Организации
Копия устава
3.                       
Выдержки из законов, определяющих необходимость и содержание обработки ПДн
Учтенные в организации копии ФЗ
4.                       
Положение о персональных данных государственного служащего и ведении его личного дела
Зарегистрированная копия данного Положения из Указа Президента РФ № 609 от 30.05.2005.
5.                       
Договоры с провайдерами ССОП
Копии договоров с провайдерами ССОП
6.                       
Договоры об информационном взаимодействии с Контрагентами
Копии договоров с Контрагентами
7.                       
Договор с субъектом ПДн
Копия типового договора с субъектами ПДн
8.                       
Типовой трудовой договор с работниками
Копия типового трудового договора
9.                       
Договор с ЛООПДППО (Обработчиком)
Договор с Обработчиком
10.                    
Схемы передачи ПДн по каналам связи
Отчет об обследовании ИСПДн
11.                    
Документ, содержащий перечень и состав мер, принимаемых для выполнения требований 152-ФЗ и подзаконных актов.   (то есть в данном документе должны быть перечислены все принимаемые мероприятия связанные с ПДн и должны быть сделаны ссылки на все остальные документы связанные с ПДн.)
Положение о защите ПДн
или
Справка для Роскомнадзора
12.                    
Документ содержащий перечень мер, принимаемых при трансграничной передаче ПДн
13.                    
Документ содержащий перечень мер, принимаемых при работе со специальными категориями ПДн
14.                    
(При наличие биометрических данных) Описание используемых мер при работе с биометрическими носителями ПДн (обеспечения доступа, регистрации фактов несанкционированной записи)
15.                    
(При наличие биометрических данных) Документ, описывающий применение ЭЦП для носителей
16.                    
Документ, определяющий порядок допуска субъектов ПДн на территорию
Положение о защите ПДн

17.                    
Положение об обработке ПДн
Публичная политика обработки ПДн
Положение об обработке ПДн
18.                    
Положение об обработке ПДн сотрудника
19.                    
Документ, содержащий информацию о целях обработки ПДн, способах обработки, составе ПДн, сроках обработки ПДн, наличие трансграничной передачи ПДн, категория ПДн
Перечень ПДн
20.                    
Документ (например, приказ), определяющий ответственного за ведение перечня лиц
Приказ о назначении ответственности в области ПДн
21.                    
Документ (приказ), в котором назначен ответственный за организацию обработки ПДн и описаны его обязанности
22.                    
Должностные инструкции государственных служащих
Копии должностных инструкций, ответственных за обработку ПДн
23.                    
Согласие на обработку ПДн
Согласие сотрудника на обработку ПДн
Согласие клиента на обработку ПДн
24.                    
Согласия субъектов ПДн на трансграничную передачу
25.                    
Согласия субъектов ПДн на обработке специальных категорий
26.                    
Согласия субъектов ПДн на обработку биометрических ПДн
27.                    
Согласия субъектов ПДн на включение в общедоступные источники
28.                    
Акты приема и передачи сведений с Контрагентами на материальных носителях
Акты приема-передачи КИ
29.                    
(При наличие биометрических данных) Документ, в котором учитывается количество экземпляров материальных носителей
Журнал учета носителей биометрическах ПДн
30.                    
(При наличие биометрических данных) Материальный носитель биометрических данных
Носитель биометрических данных
31.                    
Номенклатура Дел
Номенклатура Дел содержащих ПДн
32.                    
Личная карточка сотрудника (Т-2)
Личная карточка сотрудника
33.                    
Печатные и электронные Формы документов с ПДн (с указанными на них ссылками на законодательные акты определяющие такое содержание)
Формы типовых документов с ПДн
34.                    
Документ, подтверждающий предоставление субъекту ПДн информации о начале обработки его ПДн за исключением законных случаев
Копия типового уведомления субъекта ПДн, журнал учета уведомлений
35.                    
Акты о выделении дел с ПДн к уничтожению 
Акты уничтожения ПДн
36.                    
Заявления субъектов ПДн на отзыв согласия
Копии заявлений субъектов ПДн
37.                    
Журнал учета проверок
Журнал учета проверок
38.                    
Документы учета обращений, заявлений и жалоб
Журнал учета обращений субъектов ПДн
39.                    
Журнал для пропуска субъектов ПДн на территорию
Журнал учета однократного пропуска на территорию
40.                    
Журнал информирования лиц, участвующих в неавтоматизированной обработке ПДн, о факте их участия в обработке
Журнал учета лиц, допущенных к обработке ПДн
41.                    
Документ, содержащий перечень лиц, имеющих доступ к материальным носителям ПДн
42.                    
Документы, подтверждающие учет лиц в ИСПДн
                                                                                                                                                          
Удивил тот факт, что не требуется публичная политика в области ПДн и не требуется подтверждение уведомления всех сотрудников, о том что их ПДн обрабатываются в соответствии с такой-то политикой.