«Пока прокуратура начала активные проверки по части использования публичных хотспотов «без паспортов», а многие компании начинают задумываться о том, как эту задачу решить технически, пока все ждут, когда Алексей Волков опубликует продолжение своего опуса (базируясь на ответе Минкомсвязи), а ваши канцелярии думаю, что делать с письмами, аналогичными нижеприведенным, я решил посмотреть, как соотносится пресловутое ПП-758 с законом о персональных данных.
 |
Если посмотреть на возможные сценарии, на которые распространяется ПП-758, то у нас получается, что речь идет только о сотрудниках и посетителях, которые пользуются вашим оборудованием (ПК, ноутбуками, смартфонами, планшетниками). Такие ситуации возникают в корпоративной среде достаточно часто – при организации как обычного, так и гостевого беспроводного доступа. Если выполнять вышеприведенное письмо Вымпелкома, то компании, внедрившие у себя Wi-Fi, должны передавать оператору связи ФИО, место жительства и паспортные данные, а это у нас персональные данные, подпадающие под требования ФЗ-152.
Итак, что должна сделать компания, получившая такое письмо:
Получить согласие субъекта персональных данных на передачу таких данных оператору связи. Цель обработки новая, поэтому при изначально неправильной выбранной цели/целей обработки персональных данных вам придется не только переделывать форму согласия, но и переполучать его заново. Но тут есть три нюанса. Во-первых, согласно ГК, «закон обратной силы не имеет», и получать согласия вы должны только с момента вступления в силу ПП-758. Во-вторых, согласно ст.6.1.2 ФЗ-152 получать согласие не надо в случае выполнения возложенных на оператора персональных данных обязанностей. В-третьих, для данной обработки оператором персональных данных являетесь не вы, а оператор связи, и задача получать согласие лежит на нем. Опираясь на эти нюансы можно согласие не получать и, если Роскомнадзор (РКН) или прокуратура будут настаивать на получении такого согласия, отказать им на законных основаниях (если вы готовы спорить с регуляторами).
Определить лиц, допущенных к обработке передаваемых персональных данных оператору связи. Уточнить, включены они в уже утвержденные приказы или нет?
Определить срок хранения указанных персональных данных. Для работников этот срок может быть равен сроку действия трудового договора + 1 квартал, а для посетителей – 6 месяцам (вы можете и больше указать, если субъект с этим согласится).
Для посетителей, пользующихся вашим Wi-Fi с ваших устройств, разработать поправки в положение об обработке персональных данных (политику в отношении обработки персональных данных), с которыми надо будет посетителей знакомить.
Определить порядок передачи персональных данных оператору связи. Тут возникает один нюанс. Согласно 378-му приказу ФСБ, эти данные должны шифроваться с помощью сертифицированных средств криптографической защиты информации (СКЗИ). Это если следовать буквально приказу и признавать нарушение конфиденциальности серьезной угрозой. Правда, тут есть очередной нюанс. Хотя данные это ваши, оператором персональных данных этих данных является оператор связи. Именно он устанавливает порядок и цели обработки персональных данных, так как это определено ПП-758. Иными словами, и модель угроз должны определять не вы, а оператор связи. И если оператор связи решит, что конфиденциальность данных обеспечить надо, то тут увы – надо что-то решать. Правда, решать будет тоже оператор связи – если он от вас что-то требует, то и обеспечить СКЗИ тоже должен он (или предложить иной способ обеспечения конфиденциальности). На вашем месте, при получении такого запроса, я бы направил встречное письмо с просьбой уточнить механизмы защиты передаваемых по открытым каналам связи данных (e-mail у нас пока еще механизм открытый). Ну и как подсказка – посмотрите, как поступают сами госорганы, чтобы уйти от применения СКЗИ.
Если в договоре между вами и оператором связи нет ни слова про обработку персональных данных и обязанности сторон по данному направлению, то стоит задуматься, наконец-то, об обновлении договорных отношений. Как минимум, для выполнения ст.6.3 ФЗ-152.
Обновите порядок реагирования на запросы субъектов (а они точно будут).
Обновите порядок уничтожения (обезличивания или архивирования) собираемых данных.
Скорее всего вам не понадобится обновлять свое уведомление в РКН, но вдруг… Проверьте.
Передача указанных персональных данных осуществляется с помощью уже известной информационной системы персональных данных, для которой определен уровень защищенности и защитные мероприятия? Если да, то хорошо. Если нет, то стоит решить и этот вопрос.
Я понимаю, что для данного вида обработки оператором персональных данных будет являться оператор связи, а не вы. Но регуляторы в лице прокуратуры или РКН не очень любят это деление на оператора и обработчика, и поэтому лучше исходить из худшего сценария развития событий».
Автор – Алексей Лукацкий, независимый эксперт по безопасности
