Доступ в Wi-Fi по паспорту и ФЗ-152

Доступ в Wi-Fi по паспорту и ФЗ-152
Пока прокуратура начала активные проверки по части использования публичных хотспотов "без паспортов", а многие компании начинают задумываться  о том, как эту задачу решить технически, пока все ждут, когда Алексей Волков опубликует продолжение своего опуса  (базируясь на ответе Минкомсвязи), а ваши канцелярии думаю, что делать с письмами, аналогичными нижеприведенным, я решил посмотреть, как соотносится пресловутое ПП-758 с законом о персональных данных.


Если посмотреть на возможные сценарии, на которые распространяется ПП-758, то у нас получается, что речь идет только о сотрудниках и посетителях, которые пользуются вашим оборудованием (ПК, ноутбуками, смартфонами, планшетниками). Такие ситуации возникают в корпоративной среде достаточно часто - при организации как обычного, так и гостевого беспроводного доступа. Если выполнять вышеприведенное письмо Вымпелкома, то компании, внедрившие у себя Wi-Fi, должны передавать оператору связи ФИО, место жительства и паспортные данные, а это у нас ПДн, подпадающие под требования ФЗ-152.

Итак, что должна сделать компания, получившая такое письмо:

  • Получить согласие субъекта ПДн на передачу таких данных оператору связи. Цель обработки новая, поэтому при изначально неправильной выбранной цели/целей обработки ПДн, вам придется не только переделывать форму согласия, но и переполучать его заново. Но тут есть три нюанса. Во-первых, согласно ГК "закон обратной силы не имеет" и получать согласия вы должны только с момента вступления в силу ПП-758. Во-вторых, согласно ст.6.1.2 ФЗ-152 получать согласие не надо, в случае выполнения возложенных на оператора ПДн обязанностей. В-третьих, для данной обработки оператором ПДн являетесь не вы, а оператор связи и задача получать согласие лежит на нем. Опираясь на эти нюансы можно согласие не получать и, если РКН или прокуратура будут настаивать на получении такого согласия, отказать им на законных основаниях (если вы готовы спорить с регуляторами).
  • Определить лиц, допущенных к обработке передаваемых ПДн оператору связи. Уточнить, включены они в уже утвержденные приказы или нет?
  • Определить срок хранения указанных ПДн. Для работников этот срок может быть равен сроку действия трудового договора + 1 квартал, а для посетителей - 6 месяцам (вы можете и больше указать, если субъект с этим согласится).
  • Для посетителей, пользущихся вашим Wi-Fi с ваших устройств, разработать поправки в положение об обработке ПДн (политику в отношении обработки ПДн), с которыми надо будет посетителей знакомить.
  • Определить порядок передачи ПДн оператору связи. Тут возникает один нюанс. Согласно 378-му приказу ФСБ , эти данные должны шифроваться с помощью сертифицированных СКЗИ. Это если следовать буквально приказу и признавать нарушение конфиденциальности серьезной угрозой. Правда, тут есть очередной нюанс. Хотя данные это ваши, оператором ПДн этих данных является оператор связи. Именно он устанавливает порядок и цели обработки ПДн, так как это определено ПП-758. Иными словами, и модель угроз должны определять не вы, а оператор связи. И если оператор связи решит, что конфиденциальность данных обеспечить надо, то тут увы - надо что-то решать. Правда, решать будет тоже оператор связи - если он от вас что-то требует, то и обеспечить СКЗИ тоже должен он (или предложить иной способ обеспечения конфиденциальности). На вашем месте, при получении такого запроса, я бы направил встречное письмо с просьбой уточнить механизмы защиты передаваемых по открытым каналам связи данных (e-mail у нас пока еще механизм открытый). Ну и как подсказка - посмотрите  как поступают сами госорганы, чтобы уйти от применения СКЗИ.
  • Если в договоре между вами и оператором связи нет ни слова про обработку ПДн и обязанности сторон по данному направлению, то стоит задуматься, наконец-то, об обновлении договорных отношений. Как минимум, для выполнения ст.6.3 ФЗ-152.
  • Обновите порядок реагирования на запросы субъектов (а они точно будут).
  • Обновите порядок уничтожения (обезличивания или архивирования) собираемых данных.
  • Скорее всего вам не понадобится обновлять свое уведомление в РКН, но вдруг... Проверьте.
  • Передача указанных ПДн осуществляется с помощью уже известной ИСПДн, для которой определен уровень защищенности и защитные мероприятия? Если да, то хорошо. Если нет, то стоит решить и этот вопрос.

Я понимаю, что для данного вида обработки оператором ПДн будет являться оператор связи, а не вы. Но регуляторы в лице прокуратуры или РКН не очень любят это деление на оператора и обработчика и поэтому лучше исходить из худшего сценария развития событий.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь