16 июня 2015 года российских специалистов по информационной безопасности удивила новость о публикации РКН своих комментариев на 152-ФЗ.
Пикантности новости добавило то, что комментарии не были опубликованы на сайте РКН, и их предлагается купить на сайте «Библиотечки «Российской газеты»» (вот ссылка ). Бумажная версия стоит 265 рублей, а электронная (PDF) - 100 рублей.
Процесс покупки не прост, рекомендую ориентироваться на следующую процедуру:
- Нажимаете "Купить"
- Переходите в "Корзина"
- Нажимаете "Оформить заказ"
- Вводите информацию о покупателе, в поле "Комментарии к заказу" пишите, что хотите получить PDF-версию на адрес электронной почты
- Выбираете оплату "Сбербанк"
- Скачиваете платежку Сбербанка
- Оплачиваете платежку в отделении сбербанка или в мобильном приложении, поменяв сумму с 265 рублей на 100 рублей
- Отправляете скан платежки на электронный адрес, с которого пришло подтверждение заказа с просьбой прислать PDF-версию
В итоге я получил PDF-файл минут через 10 после отправки письма.
Что получаем на выходе? Присылают 176 страничный документ "Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А.Приезжевой". По сути это текст 152-ФЗ с детальными постатейными комментариями. Как говорится в самом документе:
"Комментарий призван помочь гражданам и организациям в применении Федерального закона «О персональных данных». Он носит научно-практический характер, и в нем наряду со специально-юридическим толкованием законодательных норм, имеющим прикладное значение, даны разъяснения доктринального характера, приведены примеры из правоприменительной практики уполномоченного органа по защите прав субъектов персональных данных.
Ценность комментария состоит в том, что он написан специалистами, работающими в уполномоченном органе по защите прав субъектов персональных данных. В связи с этим читатель сможет получить представление о подходе регулятора к решению ряда практических проблем."
К моему удивлению и даже стыду, документ оказался довольно неплохим. Вполне рекомендую на него ориентироваться при изучении вопросов выполнения требований по обработке и защите ПДн. Есть довольно простые и очевидные комментарии, но есть неожиданные и полезные. Выбрал для себя несколько таких цитат.
Про термин ПДн
"Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо."
Про общедоступные ПДн
"Письменное согласие может быть дано на помещение персональных данных как в определенном общедоступном источнике, так и в нескольких. Однако письменное согласие на размещение персональных данных в определенном общедоступном источнике персональных данных не дает основания оператору размещать полученные в результате такого согласия персональные данные в других общедоступных источниках без соответствующего согласия."
Про согласие на обработку
"Следует отметить, что согласие должно быть конкретным, информированным и сознательным. Конкретное согласие означает явно выраженное, предметное, определенное и неабстрактное согласие. Под информированным согласием подразумевается уведомительное, сообщающее намерение о подтверждении того или иного события, факта, действия. Под сознательным согласием имеется в виду осмысленное, обдуманное, разумное согласие. Так, например, субъект персональных данных (пользователь) при регистрации на интернет-сайте принимает условия пользования указанным интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением, а также всеми дополнительными правилами (правила верификации), которые являются неотъемлемой частью пользовательского соглашения. Перед регистрацией на интернет-сайте пользователь обязан ознакомиться с вышеуказанным пользовательским соглашением. Таким образом, пользователь Интернета при регистрации на любом сайте самостоятельно принимает решение о предоставлении своих персональных данных и дает конкретное, информированное и сознательное согласие на их обработку своей волей и в своем интересе. То есть при использовании интернет-сервисов и согласно их политике в области конфиденциальности пользователь безоговорочно принимает условия данной политики в полном объеме в момент начала использования сервисов. В случае несогласия с каким-либо пунктом политики пользователь не имеет права использовать сервисы."
Про биометрию
"Так, в разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» изображение лица человека на таком материальном носителе, как фотография или видео, расценено в качестве биометрических данных, позволяющих установить личность субъекта персональных данных. Представляется, что особенность данной категории персональных данных выражена в высокой степе- ни точности идентификации человека среди множества иных определяемых лиц ввиду уникальности его физиологических характеристик. Вместе с тем фотография или видеоизображение человека, который является близнецом или чье внешнее сходство с иным человеком очевидно, а также в случаях осуществления пластических операций, при визуальной оценке рассматриваемых материальных носителей не позволит произвести достоверную идентификацию субъекта. В связи с этим биометрическая информация должна характеризоваться уникальными физиологическими и биологическими данными, которые свойственны исключительно для одного субъекта персональных данных, носят более или менее неизменный характер и могут быть отражены на материальном носителе в виде цифровой, графической и иной кодовой информации. Такому пониманию биометрии соответствуют, например, папиллярные узоры, рисунок радужной оболочки глаза и др.Законодатель четко определил, что отнесение сведений персонального характера к биометрическим персональным данным следует рассматривать с точки зрения возможности установления, подтверждения личности конкретного лица. Следовательно, биометрическими персональными данными могут являться те сведения, которые используются для идентификации, подтверждения личности по физиологическим параметрам, что предполагает применение особых методов установления личности, биометрических методов аутентификации личности."
"К понятию биометрических данных не могут быть отнесены данные об инвалидности или наличии конкретного заболевания, не- смотря на то, что такие сведения характеризуют особенности, вызванные наличием каких-то биологических отклонений. Подобные сведения являются специализированной категорией данных о состоянии здоровья. При этом отдельные приметы внешности (родинки, шрамы и проч.) не могут являться ни биометрическими данными субъекта персональных данных, ни специальными категориями персональных данных."
Про документирование обработки ПДн
"Четкий перечень этих документов законодательно не установлен, и форма их жестко не регламентирована, но, опираясь на положения иных федеральных законов и подзаконных актов, можно сделать вы- вод, что основополагающим документом является положение об обработке персональных данных, устанавливающее цели, задачи деятельности по обработке персональных данных, перечень действий, категории персональных данных, категории субъектов персональных данных, способы обработки, сроки хранения, правила доступа и уничтожения персональных данных для каждой цели. Наиболее полная градация таких документов представлена в постановлении Правительства РФ от 21.03.2012 No 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», содержащем перечень мер, необходимый для соблюдения обязанностей, предусмотренных Законом о персональных данных, для операторов, являющихся государственными и муниципальными органами. В частности, нормативная правовая база государственного или муниципального органа должна включать в себя:
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным комментируемым законом, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
- правила работы с обезличенными данными в случае обезличивания персональных данных;
- перечень информационных систем персональных данных;
- перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
- перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- должностной регламент (должностные обязанности) или должностную инструкцию ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
- типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
- порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных и т.д."
Про оценку вреда
"Вред должен определяться исходя из оценки всех неблагоприятных последствий, которые может повлечь несоблюдение требований Закона о персональных данных, от размера штрафных санкций до репутационных рисков и судебных издержек."
Итого, постатейный комментарий к 152-ФЗ от представителя основного регулятора - это очень круто! В документе можно найти ответы на большинство вопросов, связанных с обработкой ПДн. А вот про защиту написано мало (ст.18.1 и 19), но это и ожидаемо... Отдельно хочу отметить, что текущий комментарий про биометрические ПДн мне кажется намного более толковым и правильным, нежели старый и размещенный на сайте РКН . За это отдельное спасибо!