ADG Оставить заявку
Блог Регуляторика 4 мин чтения

152-ФЗ «О персональных данных»: первое прочтение с юристом

Закон принят, клиенты звонят с одним вопросом: «Нас касается?» Разбираем с юристом, какие системы хранят персданные, и составляем первый реестр обработчиков.

Контекст момента

начало отраслевого обсуждения Федерального закона № 152-ФЗ «О персональных данных», принятого 27 июля 2006 и ещё не вступившего в полную силу

Закон № 152-ФЗ «О персональных данных» подписан в июле, переходный период тянется, но уже сейчас звонки от клиентов идут с одним и тем же вопросом: «Нас это касается?» За последние две недели мы слышали его раз пять - от среднего производства, от небольшой розничной сети, от юридической фирмы. Одинаковая интонация: немного растерянности, немного надежды, что «может, обойдётся».

Мы взяли текст закона, позвонили знакомому юристу, специализирующемуся на IT-праве, и провели полдня за разбором - что именно означает «оператор персональных данных» применительно к обычной компании с несколькими десятками сотрудников и базой клиентов.

Чего ожидали и что получили

Ожидали чего-то похожего на технический стандарт - с чёткими требованиями к шифрованию, конкретными сроками хранения, списком запрещённого. Получили рамочный закон с понятийным аппаратом, который надо трактовать.

Ключевое определение. Оператор персональных данных - любое юридическое лицо, которое «организует и (или) осуществляет обработку» таких данных. Под «обработкой» - сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Под «персональными данными» - любая информация, относящаяся к определённому или определяемому физическому лицу.

Юрист сформулировал просто: если у вас есть 1С с табелем сотрудников - вы уже оператор. Если есть CRM с именами и телефонами покупателей - тоже оператор. Это касается почти всех.

Что мы стали делать первым делом

Мы попросили одного из клиентов - производственную компанию около 80 человек - составить реестр систем, которые хранят или обрабатывают данные физических лиц. Не техническое задание, просто список. Результат оказался неожиданно длинным:

  • 1С:Зарплата и кадры - ФИО, паспортные данные, СНИЛС, ИНН, адреса регистрации, банковские реквизиты для перечисления зарплаты.
  • CRM (доработанная на базе Access) - имена клиентов, телефоны, иногда адреса доставки.
  • Exchange / почтовый архив - переписка, в которой всё вышеперечисленное встречается в свободном тексте.
  • Сетевые папки HR - сканы паспортов и трудовых книжек, договоры с сотрудниками.
  • Сайт с формой обратной связи - имя, e-mail, телефон; данные падали в Excel на почту менеджера.
  • Бумажный архив - анкеты при приёме на работу, больничные листы, копии документов.

Последний пункт поставил вопрос: закон называется о персональных данных, но бумагу он тоже охватывает. Юрист подтвердил - да, «материальные носители» входят в сферу регулирования.

Что сразу стало видно

Несколько вещей обозначились ещё до того, как мы дошли до требований о защите.

Первое - нет инвентаризации. Компания не знала, где именно хранятся персданные сотрудников. Когда мы спросили, где копии паспортов при оформлении на удалённых объектах - ответа не было. Оказалось, что местные мастера фотографировали документы на телефон и отправляли по MMS или электронной почте главному кадровику. Данные проходили через личные устройства и оседали в чьём-то почтовом ящике или телефоне.

Второе - согласие как бумажка. Закон требует согласия субъекта на обработку. В компании такого документа не было ни в трудовом договоре, ни отдельно. Юрист предупредил: это надо исправить в первую очередь, потому что при любой проверке это очевидный факт нарушения.

Третье - сроки хранения никто не думал ограничивать. Сканы паспортов уволившихся сотрудников лежали вперемешку с действующими с 2001 года. Зачем - никто не смог ответить.

Что это значит для нашего аудита

Реестр обработчиков - это отправная точка, не финальный документ. Его задача - показать, с чем вообще работать. В данном случае картина сложилась: пять активных систем, две из которых требуют технических мер, и бумажный архив, требующий организационного регламента.

Закон даёт переходный период, детальные подзаконные акты ещё не приняты, регулятор (ФСТЭК и Роскомнадзор в своих частях) только начинает вырабатывать позицию по конкретным требованиям. Но ждать, пока появятся подзаконные акты, с инвентаризацией не стоит - она нужна уже сейчас, чтобы понимать масштаб задачи. Компания, которая сделала реестр сегодня, окажется в значительно лучшей позиции, когда придут чёткие технические нормативы.

Следующий шаг у нашего клиента - технические требования к каждой системе из реестра и разработка шаблона согласия на обработку. Это уже совместная работа с юристом, не только ИТ.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.