Вопрос-Ответ
- А зачем мне всё это надо, если штраф 5000 руб?
-
К сожалению, вы не указали специфику и род деятельности Вашей организации, поэтому постараемся ответить в общем случае.
Действительно, если вы имеете в виду ст.13.11 КоАП, то она предусматривает штраф от 5000 до 10000 р. Однако не забывайте, что в случае проверки вам будет вынесено предписание устранить нарушение. И устранение нарушения будет дополнительно проконтролировано. Причём может так оказаться, что срок на устранение нарушений составит от 3 дней и за это время вы можете не успеть устранить выявленные нарушения. В таком случае вас ждёт повторный штраф по 13.11 плюс штраф по 19.5 КоАП, который в случае проверки ФСТЭКом составляет до полумиллиона рублей.
Не забудьте также про затраты на персонал, который будет сопровождать с Вашей стороны все эти процедуры, проверки, предписания и прочее.
Кроме того, не забывайте, что согласно ч.3 ст.23 ФЗ-152, Роскомнадзор вправе: - требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; - принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; - направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии и т.д.
Как Вы понимаете, такие меры могут в некоторых случаях принести предприятию убытков даже больше, чем штраф в полмиллиона рублей. Учтите также и репутационные риски в случае появления в прессе информации о том, что Ваша организация нарушает требования по защите персональных данных (Роскомнадзор результаты проверок публикует на сайте). И так далее.
На наш взгляд, все эти риски стоят того, чтобы привлечь специалистов и решить этот вопрос раз и навсегда. Тем более, в случае наших "типовых решений", речь идёт о нескольких десятках тысяч рублей за проект и комплект документов. Однако, мы не навязываем своего мнения, прекрасно понимая, что у вас может быть своя специфика, когда "контролёрам до вас не добраться, не проконтролировать" и т.п. (причем, это без иронии)
PS В дополнение стоит иметь в виду, что в настоящий момент Роскомнадзором внесена инициатива по увеличению размера административного штрафа по ст.13.11 КоАП до 200-500 тыс. рублей. Сейчас идёт процедура согласований.
- У вас в разделе "Клиентам" отдельно выделена стоимость работ по подготовке Заключения о соответствии/Аттестата соответствия. Насколько необходимо нашей компании проводить эти работы и получать эти заключения?
-
Мы "оторвали" эту часть работ от основного пакета вот почему:
Входе первой части работ мы разрабатываем систему защиты информации (СЗИ) и готовим основной пакет документов. Это приказы, инструкции, журналы учёта, концепция, модель угроз и проект СЗИ.
За этапом разработки системы защиты должен логически следовать этап её внедрения. В этой точке в нашем процессе оказания услуги возникает "точка ветвления". Она связана с тем, что часть клиентов предпочитает закупать и инсталировать средства защиты самостоятельно, часть доверяет это нам. Иногда этап внедрения может растянуться на некоторое, довольно существенное время. Связано это с тем, что не всегда возможно в короткий срок внедрить СЗИ без ущерба для основных процессов операционной деятельности Заказчика.
После этапа внедрения мы заключаем отдельный договор и проводим работы по созданию методики аттестационных испытаний, разрабатываем паспорта для всех ИСПДн Заказчика, проводим испытания (это достаточно скурпулёзная процедура, включающая, в том числе, снятие контрольных сумм наиболее критичных файлов на каждом рабочем месте или сервере, входящем в ИСПДн). В результате этих работ Заказчику выдаётся Заключение и Аттестат соответствия/Декларация о соответствии (в зависимости от специфики деятельности).
Теоретически, вы можете не заказывать у нас последний этап работ, а выполнить его самостоятельно. В случае проверки, вы предъявите комплект документов, проект и самостоятельно разработанную Декларацию о соответствии. Однако это достаточно "скользкий" путь и трудно спрогнозировать реакцию на это инспекторов. В этом случае мы, как лицензиат по ТЗКИ, несём ответственность только за соответствие разработанной нами документации требованиям законодательства, но не за соответствие реальных систем (ИСПДн) требованиям Закона (тут нужно прочувствовать разницу).
Если же мы довели работы до конца, выдали заключение о соответствии законодательству, то наш специалист (которого мы вам выделяем для участия в проверке) в полной мере вас сопровождает, а наша компания несёт финансовую ответственность за соответствие фактических ИСПДн (а не проектов) требованиям законодательства.
(Исключением может быть лишь ситуация, когда после аттестационных испытаний и снятия контрольных сумм, Заказчиком были внесены существенные изменения в ИСПДн и при этом Заказчик забыл нас об этом заблаговременно уведомить перед проверкой)
- Наше предприятие - телефонный контакт центр, который принимает звонки от граждан, заводит заявки в информационной системе и "маршрутизирует" эти заявки в организации, обслуживающие этих граждан. Мы, как контакт-центр, не имеем прямых договоров с гражданами, а имеем договора с обслуживающими организациями. Вопрос в том, являемся ли мы оператором персональных данных, и если да, то нужно ли нам получать согласие граждан на обработку их персональных данных?
-
Вы безусловно являетесь оператором персональных данных. Несомненно соответствуете определению оператора ПДн, данному в п.2.ст.3 ФЗ-152 "О Персональных данных". Поэтому проводить комплекс мероприятий по приведению ИСПДн в соответствие с требованиями по защите вам безусловно нужно. Особенно с учётом большого, как мы предполагаем, объёма таких данных в ващей БД.
Что касается согласия субъектов ПДн, то в соответствии с 6-ой статьей ФЗ-152 основаниями для обработки ПДн в вашем случае может являться либо согласие субъекта на обработку его ПДн, либо "необходимость исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных".
С "согласием" у вас может возникнуть проблема: т.к. получить его по форме, соответствующей требованиям ст.9 этого ФЗ (в бумажном виде, с собственноручной подписью и тд) может оказаться не просто. Поэтому Вам лучше выбрать второй вариант и определиться с предметом договора, который для вас будет являться ОСНОВАНИЕМ для обработки персональных данных субъекта. Тут возможны следующие варианты.
Во-первых, обслуживающие организации, с которыми у вас есть договора, могут уже сами в свою очередь иметь договора с гражданами, которые включают пункты о согласии субъектов на передачу их ПДн на обработку Вашему контакт-центру. В этом случае именно эти договора и будут являться для вас основанием для обработки ПДн граждан и получать с них согласия дополнительно не нужно.
Во-вторых, вы можете сами заключить с гражданином, звонящим в ваш контакт-центр, договор информационно-справочного обслуживания. Самым простым способом заключения такого договора будет размещение на вашем web-сайте оферты и короткое голосовое сообщение в начале каждого телефонного разговора с гражданами со ссылкой на эту оферту. Не забудьте включить в этот договор согласие гражданина на передачу его ПДн в обслуживающие организации, т.к. передача третьим лицам возможна (см. ст.7) только с "согласия на передачу" (не путать с "согласием на обработку").
Напоминаем, что согласно ст.434 ГК РФ такая оферта будет являться частным случаем договора в письменной форме.
А кроме того, не забудьте, что согласно ч.3 ст.9 ФЗ-152 обязанность предоставить доказательство того, что гражданин заключил с вами (либо обслуживающей организацией) договор, законом возлагается на вас.
- Мы - медицинское учреждение, и значит данные, которые мы обрабатываем имеют наивысший класс. Во что нам обойдётся приведение ИСПДн в соответствие с законом?
-
Во-первых очень многое зависит от вашей конкретной системы: однопользовательская она или многопользовательская, из скольких рабочих мест состоит и т.д. А кроме того, существует масса способов понижения класса. У нас есть "типовое" решение для медицинских учреждений, которое, возможно, вас устроит. С его стоимостью можно ознакомиться в соответствующем разделе
- Мы обрабатываем ПДн наивысшего класса (К1) необходимо ли нам получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?
-
Нет. Более того, насколько нам известно, ФСТЭК сейчас старается выдавать эти лицензии только тем организациям, которые занимаются оказанием сторонним компаниям услуг по технической защите. Несмотря на то, что вообще-то вы вправе претендовать на получение такой лицензии для своих внутренних целей (при условии выполнения лицензионных требований), но, на наш взгляд, это будет сделать непросто, т.к. может найтись масса поводов вам отказать в получении такой лицензии.
- Если в базе данных обрабатываются номера ИНН физических лиц без каких-либо дополнительных личных данных (без фамилии, имени, отчества, адреса и тп), можно ли считать обработку ИНН физических лиц обработкой персональных данных, с учётом существования общедоступных баз, где по номеру ИНН любой желающий может получить фамилию, имя и отчество физ.лица и иные его личные данные? Является ли номер ИНН сам по себе персональными данными физ.лица?
-
Насколько нам известно, не существует общедоступного источника, где по номеру ИНН без какой-либо дополнительной информации можно было бы получить фамилию, имя, отчество и иную личную информацию, позволяющую определить на её основании физическое лицо. Если вы ссылаетесь на ЕГРИП, то в ЕГРИП содержится информация только по индивидуальным предпринимателям, и предоставляется она на основании ФЗ No.129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей», а также Правил ведения ЕГРИП. По физическим лицам - налогоплательщикам такой общедоступной базы нет. (Вопросы возможного неправомерного расспространения каких-то баз на некоторых рынках мы оставляем за скобками. Они на нас, как на оператора перс.данных, занимающегося приведением собственных систем в соответствие со 152-ФЗ влияния оказывать не должны). Поэтому, с нашей точки зрения, обработку номеров ИНН без какой либо дополнительной информации (фамилии, имени...), позволяющей однозначно определить физическое лицо, нельзя считать обработкой персональных данных.
- Нужно ли получать согласие работника на передачу его персональных данных в страховую компанию для оформления полиса ДМС или в банк для оформления зарплатной банковской карты?
-
Да, получать такое согласие необходимо. Такое согласие не обязательно должно представлять из себя отдельный документ. Согласие работника может быть предусмотрено в заявлении на предоставление полиса/предоставление карты, которое работник направляет на имя руководителя организации, либо быть включено в трудовой договор с работником, если такой договор предусматривает страхование работника по программе ДМС и передачу его данных в страховую компанию.
- Мы - оператор виртуальных сервисов. Мы, в том числе, предоставляем сторонним компаниям интерфейс для того, чтобы занести своих сотрудников и клиентов в нашу базу данных и работать с ними через функционал нашей системы. Являемся ли мы в данном случае оператором персональных данных? Если да, каковы у нас основания для обработки этих ПДн? Должны ли мы получать согласия с сотрудников этих организаций?
-
Если СУБД находится под вашим управлением и вы можете, пользуясь административными правами, получить любой доступ к этим данным, то конечно, вы являетесь оператором ПДн и вам требуется иметь одно из оснований для обработки этих ПДн, предусмотренных ч.1 ст.6 152-ФЗ. Т.е., в вашем случае, необходимо наличие согласия от субъектов ПДн на обработку их ПДн именно ВАМИ, как оператором.
Есть и другой путь. Если вам удасться исключить с помощью технических средств доступ с вашей стороны к ПДн, вносимым вашими клиентами, то клиентам не придётся (юридически) передавать эти данные на обработку Вам, как оператору. Такими техническими средствами могут быть, например, средства шифрования информации, когда клиент "кладёт" к вам в базу ПДн, закрытые ключем, известным клиенту, но не известным Вам. (в этом случае вы теряете возможность индексации, сортировки, группировки и тд по соответствующим ключевым полям). Либо вам нужно внедрять средства защиты, специально предназначенные для использования в виртуальных средах (исключающие доступ оператора виртуальных сервисов к данным клиентов). Вполне возможно, что наиболее эффективным способом такого "внедрения" станет сертификация вашей собственной системы по требованиям безопасности информации.
- Необходимо ли в системе защиты ПДн обязательно применять сертифицированные средства защиты информации?
-
Нет, такой необходимости нет. Есть требование применять СЗИ, "прошедшие в установленном порядке процедуру оценки соответствия". Все вопросы, связанные с оценкой соответствия регулируются федеральнымзаконом №184-ФЗ от 27.12.2002 "О техническом регулировании". Этот закон предусматривает различные формы оценки и подтверждения соответствия, и сертификация является лишь одной из форм подтверждения соответствия. Есть и другие формы, например, декларирование на соответствие тех.регламенту, проекту, условиям договора и тп. Таким образом, с правовой точки зрения применение сертифицированных СЗИ для защиты ПДн не является обязательным. Но с правоприменительной точки зрения, на наш взгляд, для того, чтобы избежать лишних вопросов и конфликтов в ходе возможных проверок, в определённых случаях целесообразно применять именно сертифицированные СЗИ, подходя к этому вопросу "взвешенно", обоснованно и "руководствуясь здравым смыслом".
Если вы не нашли ответа на свой вопрос - просим вас задать его через форму обратной связи. Мы постараемся добавить ответ на ваш вопрос в этот раздел в течение одного-двух дней.