ADG Оставить заявку
Блог Регуляторика 5 мин чтения

152-ФЗ: встаём на учёт в Россвязьнадзор как операторы персданных

Требования к уведомлению Россвязьнадзора вступают в силу. Помогаем клиенту составить реестр ИС, написать положение об обработке и пройти процедуру уведомления первым.

Контекст момента

Федеральный закон № 152-ФЗ «О персональных данных» подписан 27 июля 2006, требования к уведомлению Россвязьнадзора вступают в силу

Когда в январе мы читали 152-ФЗ вместе с юристом и составляли первый реестр обработчиков для производственного клиента, вопрос об уведомлении Россвязьнадзора звучал как что-то абстрактное - «будет потом, разберёмся». Потом наступило. Требования к уведомлению вступают в силу, и те же клиенты, которые осенью спрашивали «обязательно ли это вообще», теперь звонят с другим вопросом: «Как это сделать?»

Мы прошли процедуру полностью с одним клиентом - торговая компания, около шестидесяти человек, смешанная инфраструктура, 1С плюс самописная CRM. Это был первый раз, когда мы доводили всё до финала: реестр систем - положение об обработке - само уведомление. Делимся тем, что получилось.

Откуда взять список систем

Казалось бы, мы уже делали реестр в январе. Оказалось, что реестр «для понимания» и реестр «для РКН» - немного разные вещи. Регулятор хочет знать по каждой информационной системе с персданными: цель обработки, категории субъектов, категории самих данных, правовое основание, срок хранения, наличие трансграничной передачи, меры защиты.

На это клиент смотрел с выражением человека, которому только что объяснили, что его кот требует лицензии.

Мы прошлись по инфраструктуре заново - уже с этой сеткой вопросов. Что нашли:

  • 1С:Зарплата и кадры - здесь всё понятно, правовое основание это трудовой договор и ТК, субъекты сотрудники, данные полные вплоть до паспортных.
  • Самописная CRM - тут интереснее. Цель обработки - «продажи», но формально это «выполнение договора». Данные только имя и телефон. Согласия при регистрации нет, клиенты его никогда не подписывали. Проблема.
  • Сайт с формой заявки - имя, телефон, e-mail. Данные улетали на почту менеджера, нигде не хранились структурированно. Формально - тоже ИС с персданными, потому что данные собирались.
  • Папки на файловом сервере - сканы паспортов, договоры. Это не «система» в обычном понимании, но 152-ФЗ охватывает любые информационные системы, в том числе файловые хранилища.
  • Почтовый архив - в нём персданные есть, но в неструктурированном виде. Отдельная история о том, нужно ли его включать отдельной строкой или достаточно упомянуть в описании почтовой системы.

Последние два пункта стали предметом обсуждения с юристом. В итоге файловый сервер включили отдельной строкой, почту оставили в описании инфраструктуры. Позиция спорная, но логика есть: в почте персданные сопутствующие, не систематизированные.

Согласия как отдельный головняк

Ещё в январе было понятно, что согласие на обработку - обязательный элемент. Но подготовить шаблон и встроить его в процессы оказалось нетривиально.

Для сотрудников - относительно просто: согласие включается в трудовой договор или оформляется отдельным приложением. У клиента трудовые договоры были типовые, взятые из интернета в 2002 году. Положения о персданных там не было вообще. Юрист подготовил дополнительное соглашение, которое надо подписать с каждым действующим сотрудником. Шестьдесят человек - это ещё не катастрофа, но несколько дней работы кадровика.

Для клиентов - сложнее. CRM ведётся без каких-либо соглашений с покупателями. Часть контрактов физлиц - там согласие можно добавить в договор. Но значительная часть контрагентов - юрлица, и их сотрудники, чьи контакты хранятся в системе, никаких бумаг вообще не подписывали. Чёткого ответа на этот вопрос ни у нас, ни у юриста не было - трактовки закона в этой части пока расходятся.

Положение об обработке персональных данных

Это документ, который должен быть у оператора - внутренний регламент, описывающий политику компании в части персданных. По факту это что-то среднее между процедурным документом и публичной декларацией.

Структуру мы взяли из рекомендаций, которые к тому моменту стали появляться от юридических фирм. В положении получились разделы: общие положения, цели обработки, категории данных и субъектов, права субъектов, меры защиты, порядок уничтожения данных, ответственный за обработку.

Написали сами, согласовали с юристом. Примерно полтора дня работы - не столько на текст, сколько на то, чтобы убедиться, что написанное соответствует тому, как всё устроено реально. Несколько мест пришлось переделать: в первой версии меры защиты были описаны слишком оптимистично для того, что есть в действительности.

Положение утвердил директор приказом. Это тоже требование - документ должен быть официально введён в действие.

Само уведомление

Уведомление подаётся в территориальный орган Россвязьнадзора по форме, которую регулятор опубликовал. Форма заполняется на каждую информационную систему - или на несколько, если их удобно объединить по цели обработки.

Мы заполнили восемь уведомлений - по числу выделенных систем. Это заняло один рабочий день, включая согласование формулировок с юристом по телефону. Физически уведомления отправляются почтой с уведомлением о вручении. Квитанции надо хранить.

Самый неудобный вопрос в форме - «меры по обеспечению безопасности персональных данных». Это отсылка к техническим требованиям, которые пока существуют в виде базовых принципов, но без детальных нормативов. Мы описали фактическое состояние: антивирус, резервное копирование, разграничение доступа по ролям AD, физическая защита серверной. Без лирики о том, чего нет.

Что в итоге

Клиент в реестре операторов. Уведомление принято. Это первый раз, когда мы проходим такую процедуру от начала до конца с одним клиентом, и она оказалась менее страшной, чем выглядит со стороны, но более трудоёмкой организационно, чем технически.

Основная работа в таких проектах - не IT. Это инвентаризация, переговоры с кадровиками и юристами, согласование формулировок, подписание допсоглашений с сотрудниками. Технической части - настройка прав доступа, проверка шифрования на ноутбуках, порядок в файловом хранилище - по объёму меньше, но она тоже есть.

Если смотреть на аудит как на точку входа, то 152-ФЗ добавил к нему новый слой: не только «какие уязвимости в системах», но и «где вообще персданные и на каком основании они там лежат». Вопрос, который до принятия закона никто не задавал системно.

У нас сейчас ещё два клиента в очереди на аналогичную процедуру. Посмотрим, насколько каждый раз будет своя история - пока кажется, что у каждого найдётся что-то неожиданное.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.