пятница, 6 октября 2017 г.

ПДн. ТОП характеристик обработки ПДн

В предыдущих частях 1 и 2 мы начали рассматривать реестр операторов ПДн. Сегодня продолжим с с рассмотрения наиболее популярных характеристик обработки ПДн сообщаемых операторами.

К сожалению, в реестре не ведется анализ отраслей, к которым относятся операторы ПДн, что не позволяет проводить сравнение со статистикой общего количества организаций, действующих в определенных отраслях. Сопоставление целей, оснований и категорий субъектов ПДн позволяет проводить хотя бы косвенный анализ. Например, что из примерно 100 тыс. образовательных организаций РФ, в реестре зарегистрированы 45-69 тыс.  

Как я говорил в первой части, информация в реестре хаотическая. Пришлось достаточно сильно её дополнительно обрабатывать, фильтровать и типизировать.

Цели обработки ПДн


Основания обработки ПДн

Категории субъектов ПДн

Категории ПДн

Выше приведена статистика, так как она есть – что вносили операторы ПДн, без анализа корректности и уместности той или иной информации.

Хотя анализировать там есть что. Например, одни и те же категории собственных работников одни называют “сотрудниками”, другие “работниками”, а третьи – “лицами, состоящими в трудовых отношениях”. При том что в принципе для РКН нет особого смысла собирать информацию о типовой обработке ПДн работников, так как она характерна для 100% операторов ПДн. Зачем тогда такая информация РКН?

Опять же, какой смысл от ТК РФ, 152-ФЗ и уставных документов в основаниях обработки ПДн? Этим и так руководствуются 100% операторов.  Гораздо полезнее было бы, если бы оператор рассказывал про какую-то нестандартную обработку ПДн и указывал что нет никаких оснований кроме договора с клиентом / согласия. В таком случае и клиенту и РКН было бы удобнее – именно в таких случаях можно не давать согласие или отзывать его. Именно в таких случаях встречается передача третьим лицам без согласия.


А там, где обработка в соответствии с ФЗ, должно проходить как нечто типовое и пред заполненное. 

понедельник, 2 октября 2017 г.

ПДн. Нарушители в Реестре операторов ПДн?

В предыдущей части мы начали рассматривать реестр операторов ПДн. Сегодня продолжим с нарушителями законодательства о ПДн, которых можно выявить, едва взглянув на Реестр.

1. В связи с изменениями в № 152-ФЗ, внесенными от 25.07.2011 № 261-ФЗ, каждому оператору необходимо было определить лицо, ответственное за организацию обработки ПДн, принять дополнительные меры, определенные статьей 18.1 152-ФЗ и уведомить РКН о назначенном лице и принятых мерах.

Как видно по результатам анализа, в Реестре имеется 113 931 (на момент анализа) операторов, нарушающих это требование. И далее несколько примеров таких операторов:




 2. В связи с изменениями в № 152-ФЗ, внесенными от 21.07.2014 № 242-ФЗ и в ступившему в силу 1 сентября 2015 г. требовалось перенести все БД в РФ и уведомить Роскомнадзор о местах нахождения БД с ПДн.  

Как видно по результатам анализа, 267 306 (на момент анализа) операторов нарушает это требование и всё ещё не сообщила о месте нахождения БД с ПДн. Не помог даже комментарий РКН о необходимости предоставления этих сведений

глядя на предыдущие примеры, наверное, вы могли подумать, что нарушают требования исключительно небольшие операторы с потенциально низкой квалификацией в ЗПДн? Посмотрим на крупных операторов, располагающихся рядом с РКН

(На момент моего анализа только 7 из 21 федеральных министерств РФ вообще подали Уведомление. МЧС, Минюст, Минкультуры, Минпромторг и другие – где вы? Субъектам ПДн интересно какие ПДн вы обрабатываете …)



Только 2 министерства (Минобороны и Минэнерго) из 7, а также только 49 из 263 федеральных учреждений подали информацию о местонахождении БД с ПДн. Примеры тех кто забыл:



Такая вот получилась занимательная статистика. Далее следует продолжение анализа по характеристикам обработки ПДн … возможно будет полезным 

ПДн. Зачем Реестр операторов ПДн?

Роскомнадзором ведется реестроператоров персональных данных, где каждый гражданин может проверить ключевую информацию об обработке персональных данных у конкретного оператора. Эти данные РКН мог бы также использовать в рамках своих полномочий и обязанностей, но мы давно уже не видели какой-то интересной сводной аналитики по операторам ПДн.

Я решил исправить этот недочет. Выгрузил пару месяцев назад данные реестра с открытых данных, провел анализ и хочу поделится с вами некоторыми интересными результатами.

1. В текущем виде реестр представляет из себя некую хаотическую массу информации. Вроде поля у всех одинаковые, но каждый может писать в них всё что заблагорассудится, без какой-либо типизации. Плюс со временем менялись рекомендации, но к уже ранее внесенной информации они никак не применялись. В результате имеем не фактически не поддающиеся анализу и сравнению данные
Сравните, например, данные оператора с рег. номером 08-0000106 и 77-17-005506. Они различаются по объему в десятки раз, пользовательская нумерация внутри одного поля, разные символы для разделения логических блоков; по-разному ссылаются на ФЗ и многое другое.  
Не удивительно, что мы давно не видели аналитики от РКН. Реестр в таком виде не подходит для аналитики …

2. Операторы действуют не вечно. Юридическое лицо может быть ликвидировано, поглощено, преобразовано либо прекратить деятельность, связанную с обработкой ПДн. Для этого операторы отправляют письма с просьбой исключить из реестра. В реестре операторов добавляется пометка “исключен”, а все данные остаются на месте J
Ниже статистика “исключенных” операторов. Их 14454



Но простейший перебор списка операторов с наиболее старыми датами уведомлений показал, что чуть ли не каждый второй в них уже ликвидирован или поглощен. Примеры ниже (первый скрин из реестра, второй из публичных справочников юр. лиц)

1.



2. 




3.




То есть, реестр полон “мертвых душ”. И если говорить в терминах ПДн, возможно тут хранение избыточных данных, когда цели обработки уже достигнуты?

3. Частью 7 статьи 22 152-ФЗ предусмотрена необходимость уведомления РКН при изменении любых сведений, указанных в части 3 статьи 22 (сведений в реестре операторов ПДн). По результатам анализа видно, что большая часть операторов подавали уведомление только раз и не разу не уведомляли РКН об изменениях.
То есть, реестр полон потенциальных нарушителей. Это повод для того чтобы продолжать анализ и разобраться поподробнее. Продолжение следует …


PS: по вопросам методике анализа обращайтесь лично