Федеральный закон «О персональных данных», вступивший в силу в январе 2007 года, поначалу был обделен вниманием операторов персональных данных. Хотя, казалось бы, именно операторы должны были заинтересоваться всеми ресурсоемкими «сюрпризами», заложенными законодателем в этот правовой акт. Тревожное оживление операторов началось в конце 2009 года — ведь дата 1.01.2010 была названа в законе, как срок, к которому все информационные системы персональных данных должны быть приведены в соответствие с законом. Январь 2010 года был ознаменован поправками в ФЗ «О персональных данных», суть которых проста — операторы получили еще один год на пресловутое «приведение в соответствие».
В феврале 2010 года ФСТЭК России предпринял «тактическое выравнивание линии фронта» (приказ ФСТЭК № 58-2010г), что многие операторы ошибочно восприняли как признание регулятором своих ошибок и «шаг назад». Операторы «выдохнули», но значительного облегчения этот выдох не принес. Как выяснилось, все попытки операторов (как оправданные, так сомнительные и непродуманные) пересмотреть отдельные положения закона не увенчались успехом. Да и ФСТЭК России, придерживаясь определенной стратегии, думается, никаких ошибок не допускал. Значительно возросло и количество плановых и внеплановых проверок, проводимых Роскомнадзором РФ, что не осталось незамеченным. Для операторов пришло время принимать решение — оставаться и далее в тени, ссылаясь на «непродуманность и абсурдность нормативной базы», или задуматься о первоочередных мерах по выполнению закона.
Наступил период активизации рынка услуг по защите персональных данных, и, как его неизбежный этап — «просвещение» окончательно дезориентированных операторов. Как ни странно, наиболее активными пионерами просветительской работы стали не опытные квалифицированные специалисты в области защиты информации (они весьма сдержанно комментируют происходящее), а «знатоки» новой волны. Любопытствующие IT-специалисты, безработные выпускники факультетов защиты информации, да и просто «прохожие» оказались в авангарде борьбы за права операторов. Не остались в стороне и сотрудники операторов, в чьих обязанностях неожиданно образовалась задача «быстро и дешево решить вопрос с ПДн».
Вредным плодом такого просвещения явилось внешне достоверное мифотворчество, воспринимаемое многими операторами как гениальный прорыв в области трактовки и применения нормативных актов. Мало кого настораживает, что правовую оценку тем или иным нормам закона дают не квалифицированные юристы со специализацией в сфере информационного права, а специалисты иного профиля. Генерируемые ими «инновационные» решения, как правило, основаны на домыслах и допущениях, но не на опыте и правоприменительной практике. Алхимические рецепты этих «волшебников» иногда ставят в тупик даже профессионалов, которые (порой безуспешно) предостерегают бизнес от игр с государством. Тем более, когда ворота по правилам игры есть только у одного из игроков.
Кто же будет рассчитываться за последствия рисков, граничащих порой с абсурдной самонадеянностью? Очевидно, что советы (иногда дельные, чаще же безграмотные, но всегда — не подкрепленные практикой) таких экспертов могут быть весьма накладны именно для операторов. Попробуем рассмотреть двадцать самых популярных заблуждений, которые могут дорого обойтись операторам. Итак, первая десятка заблуждений....
Заблуждение № 1
Закон «О персональных данных» вступает в силу только 1.01.2011. Пока время есть.
Реальность
Закон вступил в силу через 180 дней с даты его опубликования, т.е. 29.01.2007 года. Законом РФ от 27 декабря 2009 года N 363-ФЗ продлен срок приведения в соответствие информационных систем персональных данных, созданных до 01.01.2010г. Однако все остальные нормы закона № 152 (в т.ч. определяющие и иные обязанности оператора, например, обязанности по защите ПДн — ст.19 ФЗ № 152) действуют в настоящее время. Это же относится и к положениям иных нормативных документов. Например, работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ по созданию ИСПДн (п.4 Приложения к Постановлению Правительства РФ № 781 от 17.11.2007 г.). О чем это говорит? О том, что любые работы или услуги по проектированию или внедрению ИСПДн в обязательном порядке должны учитывать и создание подсистем обеспечения информационной безопасности. Создается ИСПДн для бухучета и кадровой работы? Тогда срок 1.01.2010 — не для этой ИСПДн, так как она создается не до, а после вступления в силу закона.
Организационные меры по защите ПДн также должны быть реализованы оператором вне всякой связи с датой 1.01.2011. Причина: эти меры в большинстве случаев связаны с фактами обработки ПДн не только в составе ИСПДн, и, следовательно, не подпадают под действие ст. 25 ФЗ№ 152. Правоприменительная практика Роскомнадзора подтверждает изложенное.
Заблуждение № 2
Важно защититься от претензий контрольных и надзорных органов (т.е. от государства), в первую очередь — Роскомнадзора. Для этого нужно направить уведомление в Роскомнадзор и создать комплекс внутренних документов, требуемых при проверке.
Реальность
Введение свода локальных организационно-распорядительных документов — конечно же, обязательный этап работ по защите ПДн. Однако эти первоначальные и необходимые меры не являются достаточными! Действительно, многие операторы полагают, что нужно защититься от государства, а не защищать ПДн. Часто в понимании оператора задача защиты от государства в лице Роскомнадзора является вообще единственной, что противоречит смыслу и цели (она одна и простая, почему бы не посмотреть эту цель?) закона «О персональных данных». Это тупиковый путь, чреватый осложнениями.
Во-первых, не следует забывать о том, что ФЗ № 152 (ч.1 ст.19) установил, что, наряду с организационными мерами защиты оператор обязан принимать и технические меры защиты. Какие именно — вопрос вне рамок данной статьи, можно лишь подчеркнуть, что в большинстве случаев необходимость принятии технических мер защиты обоснована, и такие меры должны быть приняты в сроки, установленные ст. 25 ФЗ№ 152.
Во-вторых, Роскомнадзор РФ осуществляет надзорные функции только в рамках, установленных действующим законодательством, Положением о Роскомнадзоре и административными регламентами. Иных (выходящих за пределы своей компетенции) мероприятий по проверке системы защиты ПДн Роскомнадзор не выполняет, но это не означает, что государство не имеет возможностей контроля полноты и соответствия закону мероприятий по защите ПДн, проведенных конкретным оператором. Роскомндазор — не единственный орган, надзирающий за соблюдением прав граждан. Органы прокуратуры, например, наделены правами по возбуждению административного производства (в т.ч. и по ст.13.11 КоАП РФ), а достаточное количество предписаний органов прокуратуры и судебных решений позволяет говорить о формировании правоприменительной практики. В-третьих, недальновидность такой стратегии оператора заключается в том, что не учитываются права самого субъекта ПДн и возможные негативные последствий для оператора из-за нарушения прав субъекта ПДн. Тем более тогда, когда такие нарушения действительно имеют место. Субъект будет жаловаться, и его жалоба будет рассмотрена вне зависимости от количества и качества подготовленных оператором положений, инструкций и регламентов! Права субъекта ПДн весьма обширны (ст.14 ФЗ 152). К сожалению, большинство операторов и не подозревают о том, в какие сроки и какой объем информации оператор обязан предоставить субъекту ПДн. А ведь субъект ПДн, не подозревающий о выстроенной оператором «системе документарной защиты от Роскомнадзора», по своей душевной простоте может обратиться с обоснованной жалобой (обращением, заявлением, иском) в прокуратуру, органы внутренних дел, суд. Безусловно, указанные органы будут обязаны реагировать на такие обращения. Длительность и последствия такого реагирования находятся в прямой зависимости от настойчивости грамотного субъекта ПДн (а его знания эволюционируют весьма быстро) и содержательной части его обращений. Именно поэтому стратегия оператора по реализации требований ФЗ№ 152 должна заключаться не в подготовке «дециметров» внутренних нормативных документов, а в создании сбалансированной системы защиты ПДн, исключающей наступление инцидентов информационной безопасности. Исключение таких инцидентов будет являться залогом отсутствия обоснованных (sic!) жалоб субъектов ПДн.
Заблуждение № 3
Направлять уведомление в Роскомнадзор не следует, т.к. в этом случае оператора «возьмут на заметку», обязательно проверят и накажут.
Реальность
Территориальные подразделения Роскомнадзора обладают вполне очевидными, доступными и законными способами установить факт деловой активности лица (оператора), и сделать вывод о том, что такое лицо является оператором ПДн. Отсутствие уведомления в этом случае только усугубит положение оператора, не направившего уведомления в случаях, предусмотренных ФЗ№ 152. Роскомнадзор же вправе расценить отсутствие уведомления от оператора как административное правонарушение, предусмотренное ст. 19.7. КоАП РФ. То есть «накажут», скорее, из-за нерасторопности оператора и отсутствия уведомления, а не в силу направления уведомления в надзорный орган. Задача же сбора уведомлений — не тотальный контроль операторов со стороны государства, а подготовка реестра операторов в целях упорядочения обработки ПДн и, в конечном счете, надлежащей защиты прав субъектов ПДн. Форму уведомления можно найти на сайте Роскомнадзора www.rsoc.ru .
Остается только добавить, что подготовка уведомления — достаточно простая процедура, имеющая, правда, свои особенности, связанные с формулированием целей и правовых оснований обработки ПДн.
Заблуждение № 4
Направлять уведомление в Роскомнадзор не нужно, если оператор обрабатывает ПДн только своих сотрудников на основании трудового договора (ч.2 ст22 ФЗ 152).
Реальность
Формально такое исключение предусмотрено указанной статьей. Однако на практике осмысленная и вдумчивая попытка применения этого исключения не приводит к аргументированному выводу об отсутствии обязанности оператора по направлению уведомления. Этот парадокс касается большинства операторов. Для примера рассмотрим обработку ПДн субъекта, являющего работником оператора. Как правило, помимо обработки ПДн работника, оператор на законных основаниях обрабатывает ПДн иных лиц, имеющих отношение к работнику. Таковыми могут быть лица, получающие алименты по решению суда или в добровольном порядке (супруги, дети, родители работников). Оператор также может обрабатывать ПДн в целях предоставления работникам стандартных налоговых вычетов на детей и (или) социальных налоговых вычетов в связи с обучением или лечением детей или иных родственников; несовершеннолетних детей работников в целях их оздоровления (направление детей в оздоровительные лагеря) и т.п. Наконец, оператор обрабатывает ПДн физических лиц в целях их трудоустройства (резюме кандидатов), при этом обработка ПДн этих лиц происходит до установления трудовых отношений. Поэтому к применению такого исключения нужно относиться очень внимательно.
Часто оператор, поверхностно ознакомившись с ФЗ№ 152, приходит и к следующему нелогичному выводу: отсутствие необходимости направления уведомления означает вообще отсутствие обязанности выполнения закона «О персональных данных»! Что это — труднообъяснимый парадокс российского менталитета, болезненная потребность во вмешательстве надзорных органов, или банальная самонадеянность в сочетании с завесой коллективной безответственности? Вероятнее всего — безграмотность и халатность сотрудников оператора, вводящих руководителя оператора в заблуждение.
Заблуждение № 5
Защищать персональные данные нужно лишь тем, кто оказывает какие-либо услуги гражданам и обрабатывает ПДн этих граждан. Защита персональных данных «своих» сотрудников необязательна, либо такая защита может быть менее строгой.
Реальность
Подобное утверждение является предпосылкой к нарушению принципа равенства всех перед законом. Этот принцип закреплен в Конституции РФ (ст. 19). Действительно, разве могут конституционные права работника на тайну личной жизни (ст. 23 Конституции РФ) отличаться от прав другого лица, не являющегося работником предприятия? Еще более важным является вопрос: согласится ли работник предприятия (организации) с фактическим положением дел, при котором его (работника) конституционные права ущемлены? Даже если работников немного, и все они крайне лояльны по отношению к оператору, то нужно понимать, что защита любых конституционных прав — это сфера публичных интересов. Положения же Конституции РФ все органы власти будут защищать вне зависимости от желания субъекта ПДн и вопреки воле оператора — это аксиома. Иными словами, органы прокуратуры, например, вправе отреагировать на указанную позицию оператора вполне предсказуемым образом. Практика показывает, что работник оператора может быть гораздо более требовательным, чем любой иной субъект ПДн по отношению к оператору в части соблюдения последним своих обязанностей по защите ПДн работника. Многие операторы (и профессиональное сообщество) считают, что в действующей редакции ФЗ 152 права субъекта ПДн чрезмерны и абсолютизированы. Действительно, это так — права субъекта ПДн должны быть «уравновешены» здравым смыслом и правами оператора, а требования субъекта — быть обоснованными. Так или иначе, оператору пора привыкать к тому, что конституционные права субъектов (его работников) — непреложный факт, требующий выполнения установленных законом действий. Не следует забывать о том, что и Трудовой Кодекс РФ (ст.87) устанавливает обязанности работодателя по хранению и использованию ПДн работника. В этой связи можно подумать о том, готов ли работодатель столкнуться с еще одним органом государственного надзора и контроля — Государственной инспекцией труда.
Заблуждение № 6
Безопасность ПДн и конфиденциальность ПДн — это одно и то же. Если обеспечена конфиденциальность, то требования закона выполнены.
Реальность
Очень часто операторы понимают под конфиденциальностью (режимом конфиденциальности) весь комплекс мер по обеспечению безопасности. Это заблуждение находит свое отражение и в нормативных документах оператора, в которых понятие «конфиденциальность» подразумевает комплекс мер по защите информации. Это ошибка. Серьезная, опасная, системная ошибка. Природа и смысл этих терминов (и, как следствие, мер по реализации защиты) различны.
Закон дает (п.10 ч.1 ст. 3 ФЗ 152) определение конфиденциальности информации. Совсем коротко, конфиденциальность — это требование о неразглашении ПДн. Безопасность же — это состояние защищенности. Определение термину безопасность дает ФЗ РФ «О безопасности». Определение безопасности информации дано в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». Крайне важным представляется и тот факт, что законодатель (ч.4 ст. 6 ФЗ 152) разграничил эти понятия и указал их отдельно при установлении обязанностей оператора при передаче ПДн третьим лицам для обработки. Кстати, такая практика передачи встречается очень часто (например, при передаче на аутсорсинг бухучета, при направлении работников на медосмотр и т.п). Необходимо помнить об этом и потому, что закон установил.
Требование по обеспечению безопасности и конфиденциальности ПДн в качестве существенного условия договора. Отсутствие такого условий может привести к признанию договора недействительным.
Заблуждение № 7
Лицензия ФСТЭК нужна, если оказываются услуги по технической защите конфиденциальной информации третьим лицам. Если оператор защищает ПДн «для собственных нужд», не за деньги — то никакой лицензии не нужно.
Реальность
Такое заблуждение — результат псевдоправовых изысканий некоторых операторов, пытающихся выдать желаемое за действительное и сэкономить на защите персональных данных. Наше развернутое и аргументированное мнение по этому вопросу будет являться предметом отдельной статьи. Коротко же можно пояснить следующее. Не существует у оператора «собственных нужд» по защите персональных данных, и существовать не может в силу закона. Единственной целью ФЗ152 является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Иных целей (в том числе и удовлетворения нужд операторов) закон не указывает. Кстати, для всех была бы очевидной абсурдность утверждений застройщика, о том, что ему не нужна лицензия на строительство, т.к. он возводит жилое здание «для собственных нужд». Или — отсутствие необходимости в лицензии на оказание медицинских услуг, так как организация будет лечить только своих сотрудников. Сторонникам этого заблуждения нужно обратиться и к ст.4 ФЗ 128-ФЗ «О лицензировании отдельных видов деятельности»: «...к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан...». В нашем же случае речь идет о конституционном праве гражданина на личную тайну! Как мы уже указывали, закон не делает различий между интересами субъекта ПДн (работника) и субъекта ПДн (стороннего лица). Иное положение вещей было бы дискриминацией. Законодатель же (через институт лиценз ирования) защищает любого субъекта ПДн от последствий некачественного выполнения работ по ТЗКИ. Вероятно, точку в этом вопросе поставит судебная власть, но для профессионального сообщества истина очевидна уже сейчас.
Заблуждение № 8
Сначала надо создать информационную систему, а уж потом решать вопрос с защитой персональных данных в ней. Тем более что сметой (бюджетом) эти расходы не предусмотрены.
Реальность
Работы по обеспечению безопасности персональных данных при их обработке в ИСПД являются неотъемлемой частью работ по созданию ИСПДн (п.4 Приложения к Постановлению правительства РФ от 17.11.2007 г. № 781). Неотъемлемой! Создавать какие-либо ИСПДн без системы защиты ПДн в ИСПДн запрещено. Помимо этого недвусмысленного требования, нарушать которое мы не советуем, есть еще логика бизнес-процессов и доводы экономического характера — создаваемая одновременно с информационной системой система защиты обойдется оператору значительно дешевле, чем созданная потом «надстройка». Касательно сметы и бюджетирования можно лишь напомнить, что времени для планирования таких расходов было достаточно — с января 2007 года.
Заблуждение № 9
Защита ПДн — это дело системного администратора (или IT службы), и эта задача может быть ими успешно выполнена.
Реальность
Вряд ли разумный человек, нуждающийся в операции на сердце, доверит ее проведение даже очень квалифицированному стоматологу. Профессиональный же стоматолог никогда и не возьмется за это. Защита информации — это профессиональная специализация, а не хобби. В РФ существует шесть образовательных стандартов в сфере защиты информации, и это не случайно! Конечно, желательно поручить решение комплекса вопросов по защите ПДн специалисту, имеющему диплом по защите информации, или хотя бы прошедшему курсы повышения квалификации. Но и этого недостаточно. Ведь оператору придется решить массу вопросов организационно-административного и правового характера, привлекая к мероприятиям по защите ПДн юридическую, финансовую, кадровую службу, а далеко не всякий оператор обладает достаточными людскими ресурсами. Вот почему лучшим решением является привлечение специализированной организации, имеющей соответствующие лицензии. Самолечение опасно! Существует и еще один аспект проблемы. Как известно, в большинстве случаев причиной наступления инцидентов информационной безопасности является человеческий фактор, а источником угроз — собственные сотрудники оператора (т.н. внутренние угрозы). IT-специалист или системный администратор организации — лицо, облеченное доверием. Поэтому (и в силу специфики работы) оно обладает и неограниченными правами доступа к инфоресурсам. Но как раз по этой причине и нельзя «класть яйца в одну корзину», сосредотачивая двойную ответственность в функционале одного человека (подразделения). IT-служба не должна контролировать себя! Информационная безопасность — дело отдельного специалиста (подразделения). Советуем не искушать судьбу.
Заблуждение № 10
Если заставить всех сотрудников оператора подписать согласие о том, что их ПДн являются общедоступными, то никаких мер по защите ПДн предпринимать не нужно.
Реальность
Как правило, у оператора нет никаких оснований требовать такого согласия, а у субъектов — нет желания его давать. Понуждение работников к такому согласию влечет создание скрытых конфликтов с работодателем, а «тлеющие риски» более опасны, чем явные. В относительно крупной организации далеко не все работники пожелают выразить такое согласие, а часть работников сделают весьма неблагоприятные для оператора выводы. Помимо этого, любой работник (субъект ПДн) вправе отозвать такое согласие, что не будет являться основанием для расторжения с ним трудового контракта. Подчеркиваем — речь не о согласии на обработку ПДн, а о согласии на общедоступность ПДн. Порой такую манипуляцию сделать попросту невозможно, т.к. статус общедоступности ПДн будет конфликтовать со статусом конфиденциальности этих сведений в рамках иных (помимо ФЗ 512) законов. Пример — тайна связи, налоговая тайна, семейная тайна и т.п. И, наконец, такую стратегию оператора надзорные органы могут счесть злоупотреблением правом.
Источник: ООО "НИЦ "ФОРС"