В прошлой статье мы рассмотрели новые поправки в законодательстве об административной и уголовной ответственности за правонарушения в сфере персональных данных (ПДн). Дорогие Операторы ПДн, как вы там? Успели подать уведомление в Роскомнадзор, победив перебои в работе портала? Приступили к выстраиванию правомерных процессов обработки ПДН и системы их защиты?

Как мы знаем, Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» призван в первую очередь защищать права и свободы граждан, поэтому важно его соблюдать не с точки зрения защиты от штрафов, а с точки зрения защиты ПДн граждан. Нововведения в КоАП и УК РФ заставили Операторов собраться и все-таки заняться пробелами в обработке и защите ПДн в их организациях. На мой взгляд, это послужило первым шагом в налаживании диалога с регуляторами и к действиям, направленным в первую очередь на выстраивание грамотной защиты данных граждан.

Активизация операторов ПДн в мае этого года – позитивная тенденция, но за уведомлением в РКН должна стоять большая проделанная работа, иначе подаваемая в Реестр операторов, осуществляющих обработку ПДн, информация не будет отражать действительность, и главная цель – защита так и не будет достигнута. Уведомление в РКН не защитит вашу организацию от возможной утечки ПДн, и, как следствие штраф за неуведомление вы может и не получите, но для злоумышленников обрабатываемые вами ПДн останутся лакомым активом. Для построения комплексной защиты персональных данных необходимо начать с первого и очень важного шага, именно об этом шаге я и хочу поведать в этой статье.

Для того, чтобы приступить к построению правомерных процессов обработки ПДн в организации, необходимо понимать, что это за процессы.

Согласно пп. 3 п. 1.1 ст. 3 152-ФЗ обработка персональных данных – любые действия, совершаемые с ПДн, включая:

• сбор;

• запись;

• систематизацию;

• накопление;

• хранение;

• уточнение (обновление, изменение);

• извлечение;

• использование;

• передачу (распространение, предоставление, доступ);

• обезличивание;

• блокирование;

• удаление;

• уничтожение.

Процесс обработки ПДн – процесс, включающий в себя действия, совершаемые с ПДн с конкретной целью.

Кто же будет организовывать первые шаги?

Представим, ваша организация обрабатывает ПДн в своей деятельности, но вот вопросами соответствия 152-ФЗ никто и никогда не занимался. И вдруг руководитель организации увидел в интернете, что появились какие-то новые штрафы, что все коллеги и конкуренты зашевелились, и он решил, что пора развернуть деятельность по избеганию этой неприятной (или даже страшной) участи. Ты – работник кадрового подразделения, и тебе сказали: «Ты работаешь с персональными данными, займись пожалуйста, почитай, что там такое изменилось, и посмотри, что мы обрабатываем». И ты понимаешь, что надо как-то разбираться…

Рассмотрю случаи, когда в компании возникает потребность в инвентаризации процессов обработки ПДн:

• компания никогда не проводила внутренний/внешний аудит процессов обработки ПДн;

• в деятельности компании произошли серьезные изменения или компания начала осуществлять новые виды деятельности;

• компания объединилась с другим юридическим лицом.

Пример с кадровым работником – это часто встречающаяся ситуация. Расскажу, как на практике это происходит в разных организациях. В компании назначается ответственный за организацию обработки ПДн (в статье я буду называть его Ответственный за обработку), или DPO (Data Protection Officer). Это лицо, которое согласно п. 4 ст. 22.1 152-ФЗ обязано:

• контролировать соблюдение в компании законодательства о ПДн;

• контролировать ознакомление работников с положениями законов и внутренней документации в части ПДн и их защиты;

• организовывать работу с обращениями граждан в части ПДн, а также контролировать своевременность и правильность обработки таких обращений.

Если компания не нанимает нового работника, то обязанности Ответственного за обработку ложатся на кадровых специалистов или работников бухгалтерии, но есть и другие варианты.

Кого же лучше назначать Ответственным за обработку? На мой взгляд, стоит понимать объем бизнес-процессов, затрагивающих обработку ПДн, который необходимо обследовать, объем категорий обрабатываемых ПДн и количество субъектов ПДн. Упрощая, можно отталкиваться от размера компании:

Ответственного назначили. Что дальше?

А дальше Ответственный за обработку должен составить полный перечень процессов обработки ПДн в организации. Приступая к этой процедуре впервые, глаза будут разбегаться и сложно сходу описать все процессы в полном объеме. Для этого необходим инструмент, позволяющий инвентаризировать процессы обработки ПДн, и в случае их изменений быстро внести корректировки в уже имеющиеся данные.
Таким инструментом является реестр процессов обработки ПДн в организации (далее – Реестр). В законодательстве Российской Федерации не закреплена обязанность ведения такого документа, но в GDPR такая обязанность есть.

Несмотря на необязательность ведения данного документа в организации (только если ваша организация не попадает под область действия GDPR), я рекомендую применять данный инструмент в своей работе. Он позволяет не только провести инвентаризацию процессов обработки ПДн, но и является одной из мер, защищающих вашу организацию от утечек ПДн, ведь чтобы корректно защищать ПДн, нужно четко понимать, где и как они обрабатываются и хранятся внутри компании.
Реестр может включать в себя разную информацию, я постараюсь привести побольше категорий такой информации, например:

• наименования подразделений, осуществляющих обработку ПДн;

• процессы каждого подразделения, в рамках которых осуществляется обработка ПДн;

• цели обработки ПДн в рамках каждого процесса;

• категории субъектов, ПДн которых обрабатываются в рамках каждого процесса;

• категории ПДн каждого субъекта в рамках каждой цели;

• правовые основания обработки ПДн в рамках каждой цели;

• способы обработки ПДн в рамках каждой цели (автоматизированная, неавтоматизированная, смешанная);

• используемые при обработке ПДн в рамках каждого процесса информационные системы и сервисы;

• сроки обработки ПДн в рамках каждой цели;

• где осуществляется хранение материальных носителей ПДн (при наличии) в рамках каждого процесса;

• осуществляется ли передача ПДн третьему лицу в рамках каждого процесса, и если да, то желательно указывать наименование юридического лица;

• также при желании можно указывать точки входа и выхода ПДн в рамках процесса, для понимания течения потоков ПДн по подразделениям вашей организации. Например, отдел клиентского сервиса передает данные клиента в IT-подразделение для осуществления технической поддержки – это точка входа. Бухгалтерия передает личные дела уволившихся работников в архив – это точка выхода.

Проблемы, которые поможет решить Реестр:

1. Сложность в определении понятия ПДн. Далеко не все работники подразделений понимают, что даже если это просто фамилия и номер телефона человека – это ПДн. Есть еще распространенное мнение «так эта информация и так сто раз уже утекла». Но нет, с точки зрения 152-ФЗ такая информация должна быть защищена. Иногда ПДн – это не очевидные фамилия, имя, отчество или паспорт, а например, cookie-файлы, данные геолокации или записи с камер видеонаблюдения. Фиксация факта обработки неочевидных ПДн поможет вам понять, каким подразделениям необходимо объяснить важность защиты подобных ПДн.

2. Сложность формулирования целей обработки ПДн – они должны быть конкретные, понятные и не расплывчатые. «Обзвон клиентов» не подойдет, необходимо понимать цель этого обзвона и суметь доказать его законность. Важно, чтобы не было обработки ради обработки. Заполняя Реестр, вы сможете подробнее уточнить у подразделений суть каждого процесса обработки.

3. Отсутствие правовых оснований обработки ПДн. Казалось бы, работники подразделений должны знать, согласно какому закону они отправляют тот или иной отчет? Но зачастую картина совсем другая. В процессе заполнения реестра вы с высокой долей вероятности найдете несколько процессов, в которых не берется согласие субъекта, или, например, ведутся таблицы, которые уже не нужны в соответствии с требованиями законодательства.

4. Избыточная обработка ПДн. «Мы всегда на всякий случай спрашиваем не только номер телефона, но и электронную почту. Правда никогда этой информацией не пользовались…» Подробная инвентаризация процессов обработки ПДн поможет вам найти ПДн, которые обрабатываются из-за устоявшихся процессов в подразделениях, или в связи с устаревшими нормами законодательства.

5. Использование незаконных каналов связи для передачи ПДн, таких как иностранные мессенджеры – частая ошибка кадровых служб при сборе ПДн соискателей на вакантные должности.

А если мы все зафиксируем, а подразделения введут новые процессы?

После того, как Ответственный за обработку получает готовый заполненный Реестр, важно превратить его в работающий инструмент, а не просто разовый документ. Необходимо организовать работу по поддержанию и обновлению информации, включенной в Реестр, а также обеспечить использование полученной информации в дальнейшей деятельности по приведению процессов обработки ПДн в организации в соответствие законодательству о ПДн.

Некоторые случаи, когда необходимо обновлять Реестр:

• изменение количества процессов обработки ПДн в организации: появление новых или остановка старых;

• появление новых субъектов ПДн, категорий ПДн, информационных систем, обрабатывающих ПДн;

• изменения в организационной структуре компании, перераспределение обязанностей между подразделениями, обрабатывающими ПДн.

После составления или обновления Реестра, собранная в нем информация поможет:

• быстро привести в порядок ряд внутренних документов и процессов, таких как: политика в отношении обработки ПДн (в том числе частную политику для сайта), приказ о местах хранения материальных носителей;

• составить все необходимые формы согласий субъектов на обработку их ПДн, указав в них актуальные цели обработки и состав обрабатываемых категорий ПДн;

• определить, с какими третьими лицами необходимо подписать договор поручения обработки ПДн;

• определить, каким работникам действительно необходим доступ к обрабатываемым в компании ПДн, а каким этот доступ необходимо ограничить.

А если подразделения не сообщат о новых процессах?

Как мы уже отметили ранее, важно своевременно актуализировать Реестр и отслеживать любые изменения в организации, влияющие на обработку ПДн. Но Ответственный за обработку не может ежедневно обходить с вопросами работников всех подразделений, поэтому возникает необходимость донести до них важность внутренней коммуникации по вопросам обработки ПДн.

Несколько советов, позволяющих Ответственному за обработку быть в курсе происходящих нововведений в компании:

1. В первую очередь необходимо закрепить обязанность руководителей подразделений сообщать о появлении новых процессов обработки ПДн. Это может быть пункт в положении об обработке ПДн или внесение соответствующих положений в должностные инструкции руководителей подразделений. Важно также закрепить критерии, по которым процесс может быть отнесен к процессам обработки ПДн.

2. Даже если закрепить вышеупомянутые критерии, важно проводить внутреннее обучение по вопросам обработки ПДн в организации. В рамках обучения также можно донести до работников механизм взаимодействия с Ответственным за обработку.

3. Говоря о механизме взаимодействия, можно также добавить в регламентирующие документооборот локальные нормативные акты пункт о включении Ответственного за обработку в процедуру согласования внутренних процессов.

4. В случае, если в вашей организации низкая степень бюрократизации внутреннего взаимодействия, создайте удобный инструмент для ваших коллег – например, форму обратной связи на внутреннем портале или заявку.

Реестр процессов обработки ПДн – только первый шаг

Если вы сможете составить и использовать Реестр как инструмент, то у вас будет больше шансов вовремя выявить незаконную обработку ПДн в вашей организации, т.к. при её составлении вы охватываете каждый процесс обработки ПДн. Незаконная обработка ПДн может привести к неприятным последствиям, поэтому важно вовремя отслеживать потенциально «опасные» процессы.

Реестр является полезным инструментом, но это лишь вершина айсберга. Помимо налаживания процессов обработки ПДн существует пласт локальных нормативных актов, касающихся защиты ПДн, также необходимо внедрять технические меры защиты и процедуры периодического контроля эффективности принимаемых мер, эти вопросы мы раскроем в наших последующих статьях.

Если вам интересна тематика персональных данных или у вас появились вопросы, приглашаю послушать мое выступление на конференции АБИСС (мой доклад — в 13:30, секция «Безопасность данных»).

Анастасия Калиничева

консультант по информационной безопасности AKTIV.CONSULTING