вторник, 30 июля 2013 г.

Когда опасно получать согласие на обработку персональных данных?

О необходимости получать согласие, а также о том, когда без этого можно обойтись, написано много хороших и правильных статей.

Закон «О персональных данных» определяет согласие как один из способов обеспечения законности обработки. Это не единственный, но популярный и часто рекомендуемый способ. Остальные основания для обработки персональных данных описаны в статьях 6, 10 и 11 ФЗ «О персональных данных» и сведены мной в таблицу, которую выставляю для Вашего обозрения.


https://docs.google.com/file/d/0BxVDUMVucgx3SU1nd2o3b0ZJRUk/edit?usp=sharing
Но речь пойдет не об этом.
Существуют случаи, когда требовать согласие от субъекта опасно, т.к  это нарушает его права.
Подобное может случиться, когда Вы не можете отказать субъекту в обработке его персональных данных и (или) в предоставлении ему услуги. Именно так случилось с Астраханским «Областным наркологическим диспансером», врачи которого должны были провести осмотр «субъекта персональных данных» без всякого согласия на обработку (данная обязанность возложена на них законодательством и соответствующее основание предусмотрено в ФЗ «О Персональных данных»).
Как сказано в судебном решении  №2-2739/2012 от 13.08.2012,
«… в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по <адрес> направлена жалоба, в которой указано, что для получения допуска к работе работодатель обязал ее пройти осмотр в Областном наркологическом диспансере, где ей предложили подписать согласие на обработку персональных данных, объяснив, что иначе ее не допустят на прием к врачу. Считает данные действия работников ОГУЗ «Наркологический диспансер» незаконными.»  
По указанной жалобе прокурор вынес предписание на устранение нарушений, которое главврач и пытался обжаловать в судебном порядке.
Итогом судебного разбирательства стал вывод о том, что права субъекта персональных данных нарушены, а главврач, организовавший получение согласия: разработку формы согласия, печать в бумажном виде, получение, хранение, а также зарплата соответствующему сотруднику, и потративший на это время и ресурсы «организации» должен «устранить допущенные нарушения».

Вывод прост: Незнание закона не освобождает от ответственности. Зато знание — запросто. 
«Станислав Ежи Лец». 


среда, 24 июля 2013 г.

Никто кроме ФСТЭК


Читая различные статьи о ПДн, часто встречаю слово "болото", законодательство в этой области все еще сырое и мутное. 
15 июля ФСТЭК России опубликовал информационное письмо № 240/22/2637, разъясняющее ряд важных вопросов связанных с ПДн, например, про «оценку эффективности» принятых мер по обеспечению безопасности  (п. 4 ч. 2 ст. 19 ФЗ № 152 «О ПДн») или разъяснение использования  понятий «информационная система» и «автоматизированная система»,  за что огромное им человеческое спасибо. Общая реакция сообщества положительная, даже «методологическим лидером» назвали. http://lukatsky.blogspot.ru/2013/07/17-21.html
Ясности стало больше, но вопросы еще остались, и их много.
После выхода 1119 Постановления Правительства ни один курс по ПДн не обходится без вопросов  об определении типа угроз безопасности и о перечне угроз.
Разъяснить это мог бы ФСТЭК, который как-то попытался соскочить. В п. 9 указанного выше письма ФСТЭК заявляет, что ФЗ № 152 «о ПДн» не предусматривает разработку ими «иных документов», в том числе по моделированию угроз безопасности ПДн.
Уважаемый регулятор не врет, но явно лукавит. У него есть все соответствующие полномочия.
Рекомендуя операторам определять тип угроз самостоятельно, ФСТЭК ссылается на п. 7 Постановления правительства № 1119. Указанный пункт в свою очередь вменяет в обязанность оператору учитывать НПА, разработанные ФОИВ, в рамках их полномочий, в исполнение ч. 5 ст. 19 ФЗ № 152 «О ПДн». И, если верить п. 1 ч.3 Положения № 1085 «о ФСТЭК», это как раз про них.
Рекомендации (именно методические рекомендации, не являющиеся строго обязательными) существенно упростили бы жизнь многим операторам. Ваше информативное письмо внесло немного ясности. Сделайте еще один шаг в сторону методического руководства.
Ждем и надеемся …

Дальше много буков цитаты из соответствующих пунктов.
Информационное письмо ФСТЭК России № 240/22/2637
п. 9.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 издан во исполнение части 4 ст. 19 ФЗ №152-ФЗ «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена.            Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии с п. 7 … утвержденных Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119

Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119
п. 7
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных",  и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

ФЗ № 152 "О персональных данных".
ч. 5 ст. 19
Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, … в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, …

Положение о ФСТЭК Указ Президента Российской Федерации от 16 августа 2004 г. № 1085
п. 1
ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
3) обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, … ;