вторник, 6 сентября 2011 г.

Ein Zwei Policy


Много было сказано негатива в отношении принятых к 152-ФЗ поправок, настало время и положительные моменты осветить. Речь пойдет об одном из таких моментов - требовании, указанном в части 2 статьи 18.1, обязывающее оператора опубликовать или иным образом обеспечить неограниченный доступ к Политике в отношении обработки персональных данных и к сведениям о реализуемых требованиях по защите персональных данных, а оператора, осуществляющего сбор ПДн в Интернете - публиковать Политику на своем сайте. После появления поправок именно это требование вызвало некоторую волну возмущения: дескать, все "методы и способы" защиты теперь придется раскрывать, и злоумышленникам даже не надо будет тратить время на сбор информации для осуществления атаки. Давайте попробуем разобраться, так ли это, да и вообще - что это за документ "Политика в отношении обработки ПДн".

Задав поиск в тексте Закона по фразе "политик", мы обнаружим 6 совпадений, 5 из которых будут находиться в одном месте: статье 18.1. Опустим одно совпадение про "государственную политику" в статье 19 и займемся пятью оставшимися. Итак, в соответствии с пунктом 2 части 1 статьи 18.1, оператору - юридическому лицу необходимо разработать или, как сказано, "издать":
  1. Документы, определяющих политику оператора в отношении обработки персональных данных;
  2. Локальные акты по вопросам обработки персональных данных;
  3. Локальные акты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
Выводы напрашиваются сами собой. Во-первых, требование касается только юридических лиц, и операторам - физическим лицам разрабатывать ее не нужно. Во-вторых, Политика здесь представляется набором документов (если буквоедить - минимум 2), однако далее, в части 2, речь идет о неограниченном доступе "к документу, определяющему его политику в отношении обработки персональных данных", а это означает, что буквоедство здесь неуместно: Политикой может быть и один документ.

Наконец, в третьих - Политика и локальные нормативные акты по вопросам обработки, внутреннего контроля и устранения последствий, как говорится, две большие разницы: если второй и третий пункты предназначены исключительно для оператора и регламентируют его внутренние процессы, технологии обработки и меры защиты, то первый пункт - Политика - предназначен для СУБЪЕКТОВ, чьи данные обрабатывает оператор. Поэтому и писать этот документ нужно соответствующим образом - максимально просто и понятно, кратко, но с достаточной степенью подробности для того, чтобы каждый прочитавший ее гражданин получил ответы на следующие вопросы:
  1. Что за оператор собирает данные (название, адрес и прочие реквизиты, кратко о себе);
  2. Для чего ему нужны ПДн (цели обработки);
  3. ПДн каких категорий граждан собираются (работники, клиенты, посетители, соискатели, кандидаты и т.д.);
  4. Какие виды ПДн собираются (фамилия, имя, отчество, серия и номер паспорта, адрес, ежемесячный доход, сведения о работе) и какие для этого есть основания (согласие субъекта, федеральный закон, договор и т.д.);
  5. Как будут использоваться собранные данные, с помощью каких технологий обрабатываться, кому передаваться (включая "обработчиков", или ЛООПДППО);
  6. Как защищаются собираемые виды ПДн для каждой категории граждан (здесь, по идее, нужно указать уровень защищенности и требования к защите, но чтобы не "раздувать" документ, целесообразно описать общие подходы и указать ссылки на соответствующие "подзаконники");
  7. Каким образом субъект может получить доступ к собственным ПДн, уточнить или удалить их;
  8. К кому субъект может обратиться за дополнительными разъяснениями (контактные реквизиты лица, ответственного за обработку ПДн в организации или иного лица, способного ответить на вопросы граждан).
Очень хорошо, если Политика будет содержать сведения, указанные в ч. 7 ст. 14 152-ФЗ. Таким образом, осветив в Политике указанные вопросы, оператор получит тройную выгоду: во-первых - выполнит требования законодательства, во-вторых - существенно снизит количество вопросов от субъектов ПДн вроде "а зачем вы снимаете копию моего паспорта" и получит level up к имиджу и репутации, и в-третьих - будет сам понимать, что у него происходит с ПДн.

Где взять достойные примеры? На самом деле их великое множество но, поскольку требование это следует из европейского законодательства (Директивы) - практически все они на английском (немецком, французском etc) языке. Чтобы их просмотреть, достаточно зайти на сайт любого западного коммерческого предприятия или ведомства и перейти по ссылке Privacy Policy (вот, например, privacy policy Белого Дома США). Точно такая же политика есть и на сайте Cisco Russia, на русском языке (скажем Алексею Лукацкому спасибо) и, при небольшой доработке (после выхода подзаконников), она вполне подойдет к использованию.

Поэтому, дорогие читатели, пишите Политику, и пишите ее грамотно, четко и правильно: наличие этого документа в качественном виде снимет многие вопросы как субъектов, так и регуляторов.

Комментариев нет :

Отправить комментарий