Закон «Про персональних даних» та практика його застосування в російській дійсності. Частина 2



За мотивами попередньої статті і коментарів до неї ми пишемо продовження, яке, як ми вважаємо, максимально розкриє тему організації захисту персональних даних та ліцензування при наданні Вами різного роду послуг.

Відразу до конкретики.
Нехай Ви – власник будь-якого бізнесу, масштаб не важливий — від маленької бухгалтерської контори до великої корпорації. Зміст своєї інфраструктури для Вас дорого або неприйнятно з якої-небудь причини Ви хочете передати функціонал по зберіганню та обробці даних третій стороні.
При вирішенні даного завдання ви повинні задатися низкою питань:

  • Маєте Ви право передавати обробку третій стороні, і які умови при цьому накладаються на Вас і на Ваших партнерів по обробці даних? Хто несе відповідальність за персональні дані при передачі обробці партнеру-третій стороні?
  • Потрібні Вам які-небудь ліцензії? Які звіти потрібно здавати? Хто такий оператор персональних даних?
  • чи Будете Ви працювати з конфіденційною інформацією, які умови Ви і Ваш партнер при цьому повинні виконувати? Які ліцензії потрібні?

Відповідь на питання про відповідальність за дані є одночасно самим простим і при цьому фундаментальним.

Так, Ви можете передавати обробку персональних даних третій стороні, проте повинні враховувати, що, якщо обробка та зберігання даних передається третій особі, воно повинно володіти знаннями, досвідом, відповідними потужностями і, в залежності від типу інформації, що передається, володіти тими чи іншими ліцензіями. Однак відповідальність за зберігання і обробку даних в будь-якому випадку залишається на початковій компанії, тобто на Вас. Тому підходити до вибору партнера в цій справі потрібно досить ретельно. В залежності від типу діяльності, та інформації, що збирається Ваша компанія і Ваш партнер повинні мати ті чи інші ліцензії.
Як підсумок, керуємося принципом – якщо Вашій компанії для роботи з інформацією потрібна конкретна ліцензія, то вона обов'язково повинна бути і у Вашого партнера при передачі обробки даних.

Які ліцензії Вам потрібні?

Це залежить від типу Вашої діяльності і збираної інформації. Якщо Ваш бізнес передбачає тільки збір інформації про клієнтів, а послуги при цьому не включають в себе надання зв'язку (наприклад, Ви – салон краси, збираєте дані про клієнтів на сайті, щоб організувати роботу по запису), Вам не потрібна ніяка ліцензія (крім ліцензій на, можливо, медичні послуги в салоні). Тут все досить просто.
А якщо Ви, так чи інакше, надаєте послуги зв'язку на своєму обладнанні (Ви – провайдер інтернету, хостер сайтів тощо), то, згідно із законом «Про зв'язок» надання послуг зв'язку з використанням свого обладнання вимагає наявність ліцензії Роскомнадзора на надання телематичних послуг зв'язку, а також послуг зв'язку без передачі голосової інформації. Дана ліцензія передбачає, що компанія-оператор має свій власний сертифікований вузол зв'язку, через який здійснюється вся діяльність з надання послуг.
Алгоритм отримання цієї ліцензії полягає в подачі заяв встановленого зразка, оплати держмита. Протягом місяця після подання заяви Ви або отримаєте ліцензії, або мотивовану відмову.
Ліцензія зобов'язує оператора подавати річну і щоквартальну звітність по наданим послугам.
Зазначу, що це стосується Вашої компанії, якщо Ви надаєте послуги зв'язку від свого імені. Якщо Ви перепродуєте послуги зв'язку від свого партнера (скажімо, Ви вкажіть в договорі з клієнтом, що зв'язок надана іншим оператором зв'язку), формально Ви можете працювати без ліцензії.

Найімовірніше Ви задастеся питанням: «А хто регулюють відомий всім пункт: «Згоден на обробку персональних даних»?

Цей пункт не регулює 152-ої Федеральний Закон «Про персональних даних». З точки зору закону, збір даних може здійснювати як державні органи, так і юридичні і навіть фізичні особи. Тобто, він відноситься до всіх – і до салону красу з прикладу вище, і до мобільного оператора з великої трійки. Спільне для них те, що при зборі і обробці даних вони повинні керуватися наступними принципами:

  • Безумовну згоду клієнта на обробку даних (галочка при попередженні про збір даних або підпис у додатковій угоді, договорі),
  • Прозора та зрозуміла мета збору даних (наприклад, Ви збираєте дані клієнтів для можливості зв'язку з ними при необхідності). Передача даних в рекламні агентства без явної згоди клієнта вже є порушенням цих принципів,
  • Наявність вжитих заходів до захисту даних від несанкціонованого доступу (захист бази даних, обмежений доступ співробітників, внутрішні регламенти та заходи впливу і відповідальності),
  • Виняток із збору даних про релігійної, расової приналежності, стан здоров'я, інтимне життя, інформації, яка є конфіденційною або належить до державної таємниці,
  • Наявність фізичної можливості на вимогу клієнта припинити обробку і видалити зібрані про нього дані.
Як видно, закон в цьому відношенні досить лояльний до бізнесу і розуміє, що фактично збором даних займаються всі, навіть перукарня, де Ви залишаєте свій контактний номер. Закон у даному випадку не створює перешкод, а лише регламентує принципи цільової обробки даних, щоб виключити потрапляння телефону клієнта в руки рекламників.

Якщо Ви працюєте з паспортами (приміром, зі сканами), збираєте інші документи, які не є з одного боку конфіденційною інформацією, але, з іншого боку явно надлишкові при реєстрації, наприклад, в інтернет-магазині, Вам варто подумати про те, щоб зареєструватися в якості оператора персональних даних. Стати оператором зв'язку при цьому можна в повідомному порядку. Це буде відповіддю на питання: «Хто такий оператор персональних даних?»

Таким чином, для старту Вашого бізнесу, у більшості випадків, вистачить внутрішньої політики по обробці персональних даних, а якщо Ви надаєте послуги зв'язку, ліцензій Роскомнаадзора буде цілком достатньо. Однак при цьому слід пам'ятати, що виконувати зазначені вище принципи і мати ліцензії повинні і Ваш партнер по обробці даних, і Ви, незважаючи на те, що обробку даних на своїй стороні Ви не робите.

Тепер уявімо, що Ви плануєте працювати з конфіденційною інформацією (КИ).

Приміром, Ви будете співпрацювати з юридичними особами, які збирають і зберігають конфіденційну інформацію, може бути з державними установами, або самі таким є.

У такій ситуації Ви повинні мати відповідну кваліфікацію, ресурсами, досвідом і ліцензією для роботи з КИ.

Регулює роботу з конфіденційною інформацією Федеральна служба експортного та технічного контролю (ФСТЕК) і Федеральна служба безпеки (ФСБ).

Як правило, достатньо ліцензії на технічну захист конфіденційної інформації (ТЗКИ) (якщо Ви самі не розробляєте засоби захисту). Її видає ФСТЕК.

Що має на увазі під собою ліцензія і як її отримати?
Щоб мати можливість подати заявку на дану ліцензію, Ви повинні відповідати наступним вимогам:
  • Технічні засоби, інформаційні системи, приміщення, де обробляється інформація (в тому числі переговорні кімнати) повинні бути обладнані засобами захисту від просочування інформації по технічних каналах,
  • Доступ до інформації повинен бути під постійним контролем, що виключає будь-яке несанкціоноване проникнення до неї,
  • У штаті оператора має бути мінімум двоє співробітників, які мають диплом, що підтверджують їх право працювати з конфіденційною інформацією,
  • Всі об'єкти (співробітники, комп'ютери, приміщення), які беруть участь в обробці конфіденційної інформації, повинні бути атестовані.
Крім зазначених вимог, організація зобов'язана мати у себе набір нормативно-правової документації (для службового користування). Так само потрібно посвідчити право власності (оренди) приміщення, яке буде атестовано для роботи з конфіденційною інформацією.
Термін отримання ліцензії від моменту подачі всіх документів на вже сертифіковане приміщення може бути до півроку.

Всі ці пункти віднімають масу часу, коштів, однак без цього не можна одержати право працювати з конфіденційною інформацією.

Якщо говорити про приміщенні і про співробітників, то тут більш-менш питань не виникає.
Інтерес та потенційні складнощі викликає захист інформаційних систем і в цілому всього ПО, яке знаходиться в захищеному приміщенні під контролем сертифікованих співробітників.

Як відомо з минулого статті , більшість операційних систем, які затребувані на ринку з сімейства Windows є сертифікованими. Приміром, те, що пропонуємо своїм клієнтам ми на віртуальних серверах – Windows Server 2012 R2 Datacenter володіє сертифікатом 3367. Так само багато ОС сімейства Linux сертифіковані ФСТЭКом. З офісними додатками так само питання не виникає. Повний список тут fstec.ru/component/attachments/download/489

Здавалося б, питання з вирішене. Але не все так просто.

Уявіть, що у вас серйозний сервер, не важливо, орендується чи він або у Вашій власності. Ви на ньому створюєте віртуальні виділені сервери для своїх працівників. Тобто використовуєте який-небудь засіб віртуалізації, що часто буває і в бухгалтеріях, і в аналітичних департаментів великих компаній.

Тут потрібно знати, що наявність сертифікованої ОС на фізичному сервері не тягне за собою автоматичного сертифікації всіх віртуальних серверів, так як вони створюються з допомогою гіпервізора і це — слабка ланка в захисті даних.

Вивчивши список ФСТЭКа, ви побачите, що гипервизоры не входять в перелік сертфицированного, а значить необхідно поміркувати над його захистом. В даному випадку Вам допоможе установка засоби захисту VGate для Hyper-V. Однак це не дешеве задоволення — Vgate буде коштувати від 100 000 рублів на один фізичний сервер.

Це не рахуючи витрат на спеціальне ПЗ для захисту серверів, що компанія зобов'язана встановити при проходженні атестації технічних засобів.
Таким чином, якщо Вам необхідна ліцензія ФСТЭКа, Ви повинні бути готові до значних часових і матеріальних витрат.

При цьому в процесі розвитку Вашого підприємства, Ви зрозумієте, що можна і потрібно розділити внутрішні вектори розвитку компанії, клієнтів за принципом – достатньо внутрішніх політик та ліцензії Роскомнадзора або обов'язкова ліцензія ФСТЕК. Природно, у вас різні класи клієнтів і цінова політика для них.

Детальніше саме про алгоритм отримання ліцензії ФСТЭКа можна ознайомитися в дуже детальному керівництві bis-expert.ru/sites/default/files/miscellaneous/practic_licenc_fstec.pdf.

В кінці статті хочу нагадати, що поділ клієнтів за принципом «ФСТЕК – не ФСТЕК» не має «розслабити» Вас у відношенні клієнтів «без ФСТЭКа». З того моменту, як тільки Ви надали послуги зв'язку, почали збір даних – Ви під регуляцією Роскомнадзора і 152-ого ФЗ. Тому стандарт відповідальності при роботі з даними повинен бути однаково високий для всіх клієнтів.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.