На главную
Карта сайта
Написать письмо в АСПЕКТ СПб
Главная /  Направления деятельности /  Информационная безопасность / Персональные данные vs «удалёнка»

Персональные данные vs «удалёнка»

Сергей Городилов, руководитель отдела информационной безопасности АСПЕКТ СПб

6 апреля 2020 года

Приведенные в статье рассуждения и трактовки не являются истиной в последней инстанции и научно выверенной публикацией, а лишь отражают частное экспертное мнение и опыт автора. Автор не наделен полномочиями трактовать законодательство. Решения необходимо принимать в каждом конкретном случае индивидуально после подробного изучения условий обработки персональных данных.

Сергей Городилов - АСПЕКТ СПб

Цифровая трансформация в части перехода на удаленную работу в последний месяц сильно ускорилась, а освоение новых навыков пошло в массы. При этом перед организациями начали вставать вопросы о том, как при удаленной работе («удалёнке») правильно защитить права субъектов персональных данных (ПД).

Далее буду приводить действительные для всех отраслей требования с креном в отрасль образования. Уже длительное время ей занимаюсь, и даже готовил 2 года назад курс из семи семинаров/вебинаров для школ и детских садов региона. Образование — одна из отраслей, где есть потенциал для перевода части обучения в дистанционную форму. Для обучения могут использоваться сервисы электронной почты, онлайн-чаты, системы управления онлайн-обучением, системы для проведения видеоконференций, вебинаров и другие. Кое-что простое, типа электронных дневников, массово существует давно, но и здесь зачастую есть вопросы, которые обозначены ниже.

Изложим подробнее проблему и решения. 152-ФЗ, как и европейское законодательство, требует, чтобы персональные данные обрабатывались на законной основе, в объеме, который соответствует целям, и защищались. При этом такие условия должны быть заранее установлены операторами персональных данных. 

Несмотря на то, что вопрос витает в воздухе, официальных методических рекомендаций от Минкомсвязи и Роскомнадзора пока не появилось. Надеюсь, они выйдут, и это позволит внести коррективы в данную заметку. Хотя по большей части перечисленных ниже ситуаций специалисты по privacy ранее могли услышать устные ответы на конференциях Роскомнадзора.

Выделю несколько аспектов вопроса:

  1. Основания для обработки персональных данных.
  2. Сервисы на стороне оператора.
  3. Передача (поручение обработки) персональных данных в сторонние сервисы.
  4. Итоговый набор документов.

 

Основания для обработки персональных данных

Следует рассматривать вопрос в двух аспектах — удалёнка для работников и удалёнка для клиентов. Правовые тонкости здесь весьма различные.

Во-первых, разница в способах доведения требований по безопасности (а информационная безопасность — это требования, а не осязаемый объект). Для работников действует трудовое законодательство, возможность приказать, довести до работника организационно-распорядительные документы, обеспечить дисциплинарную ответственность. Для клиентов — гражданско-правовое законодательство: гражданско-правовой договор и нормативные документы ведомств, которыми должно быть оговорено, как доводятся до клиента требования по безопасности и как они контролируются.

Во-вторых, разница в способах обеспечения оснований. Для клиентов, если обработка не подпадает под особые случаи (биометрия, специальные категории, общедоступные источники, трансграничная передача в неадекватные* страны и др.), то требования к тому, в каком объеме условия обработки доводятся до них (в договоре ли, в согласии ли), не оговорены. В статье 9 п.1. закона 152-ФЗ оговорен лишь ряд принципов. Согласие должно быть конкретным, информированным и сознательным. Но при этом сложно сказать, какой набор слов точно отразит то, на что дано согласие. Думаю, что в случае облачных сервисов на сегодня достаточно говорить о web-адресе или общеизвестном имени сервиса. Набираем в поисковике, заходим, знакомимся с соглашениями и пользуемся или нет. Здесь обеспечивается и информированность, и осознанность, и соблюдение интересов. Хотя существует и такая точка зрения, что согласие всегда должно быть в письменной форме (ст. 9 п. 3), с которой я не согласен.

Для работников же вопрос оснований более проблематичный, так как статья 88 Трудового кодекса РФ требует любую передачу персональных данных третьим лицам вести на основании согласия в письменной форме, установленного п. 3 статьи 9 152-ФЗ. Такая форма, в частности, требует определения перечня ПД, цели (одна цель на одно согласие) обработки ПД, действий, способов обработки ПД, наименования и адреса лица, которому поручена обработка ПД. Таким образом, это значительно усложняет работодателю оформление согласий.

 

Сервисы на стороне оператора

Удалёнка для работников

Представляет собой в определенной мере первый шаг цифровой трансформации.

Тема весьма давно существующая и сложностей не вызывавшая. При том надо понимать, что такой способ работы должен быть отражен в трудовом договоре, в обязанностях, в способах управления рабочим процессом. Помимо того, должна быть обеспечена безопасность рабочего места работника, то есть включение его в контур под внимание службы безопасности. Рабочее место расположено дома (на даче или еще где-то) вне контролируемой зоны оператора, а какие на нем применяются средства безопасности — вопрос. Эти вопросы нужно решить. Ключевое место здесь играют модель угроз и способность оператора обеспечить все необходимые меры на стороне удаленного рабочего места, в том числе и нормативные требования. Известно, что такие места уже являются целью атакующих для проникновения в объекты критической инфраструктуры, в государственные информационные системы.

На сегодня вышло уже много материалов по новым рискам для информационных систем. Рекомендации ФСТЭК, ФСБ, НКЦКИ, ЦБ дают разъяснения, хотя не без вопросов (вот вопросы Алексея Лукацкого). При этом почти все производители решений удаленного доступа выпустили материалы, проводят вебинары и дают бесплатные лицензии.

 

Удалёнка для клиентов

Это по сути второй шаг цифровой трансформации, так как в процесс оказания услуги вовлекается клиент.

Здесь рассмотрим сценарий, когда клиент подключается к серверам на территории и во владении оператора. Правовые вопросы здесь минимальны. По сути данный способ работы нужно предусмотреть договором, допсоглашением или заявлением клиента. Заявление, в частности, возможно, если существенная часть услуги, предусмотренная договором или законом, управляется внешними требованиями, принимаемыми в соответствии с законодательством. Так дело обстоит в образовательной сфере, где приказом Минпросвещения установлена необходимость перехода процесса в дистанционную форму. Также имеются методические рекомендации. При этом оператору нужно обеспечить защиту собственных ресурсов от атак и актуальных угроз, а также предъявить клиенту обязанность по обеспечению безопасности: хранить учетные данные в тайне, обеспечивать антивирусную защиту, защиту подключения к Интернет (межсетевой экран, защита от атак, веб-контроль), родительский контроль (для детей).

 

Передача (поручение обработки) персональных данных в сторонние сервисы

Здесь рассматривается распространенная ситуация. Организации начали активно привлекать готовые внешние сервисы для реализации своих услуг. У некоторых сервисов количество клиентов выросло в десятки и сотни раз, подросла капитализация даже, и они сейчас усиленно трудятся над тем, чтобы обеспечить нагрузку.

Степень привлечения, конечно, разная, и правовая сторона тоже. Выделим ситуации, границы между которыми могут быть условными.

  1. Привлекается готовый сервис, реализующий процесс с наполнением (Учи.ру, Skyeng, ЯКласс, Яндекс.Учебник, РЭШ, МЭШ и другие). В этом случае, поскольку платформы имеют самостоятельную оценку результатов обучения, то интересен сам статус такой оценки учебной платформы в системе образования (правомочность, лицензионность). При этом понятно, что если на платформе обучение организует учитель, то он и валидирует результаты, поскольку несет полную ответственность за ученика. Нужно иметь в виду, что принятие решений, влекущих юридические последствия, в исключительно автоматизированной форме, требует согласия в письменной форме. Это очень важный момент! Отмечу, что под понятием «исключительно автоматизированное принятие решений» скорее всего законодатель понимал «автоматическое принятие решений» — разница существенная.
  2. Привлекается сервис-платформа для запуска своих процессов (Teams, Русский Moodle, Zoom, Mirapolis, Trueconf Online и много других). В этом случае организации выделяется ненаполненное виртуальное пространство, в котором она сама настраивает свои онлайн-материалы, организует процесс обучения и, конечно же, полностью отвечает за результаты.
  3. Закупается хостинг сервера, на котором оператор сам размещает и ПО, и контент. В этом случае организация сама разрабатывает/устанавливает систему, в которой будет реализовывать процессы. Она может выбрать доступный на рынке или в форме свободного ПО продукт и поставить его. Она же будет отвечать и за безопасность всего ПО, которое находится в её ведении, и за устранение уязвимостей. У широко известных веб-серверов, СУБД, веб-платформ постоянно обнаруживаются уязвимости, и требуется постоянное их обновление, устранение уязвимостей. Существуют и решения по виртуальному патчингу – Web Application Firewals, которые существенны в цене, но снимают в определенной мере данную проблему (при защите от атак извне).

Интересно посмотреть с правовой точки зрения на обработку ПД в этих сервисах. Понятно, что во всех случаях операторы передают ПД в облако и используют сервисы в своих целях. Фактически, на первый взгляд (специалиста по privacy), речь идет о поручении обработки ПД, которое должно соответствовать пункту 3 статьи 6 152-ФЗ. Это главный критерий соответствия таких сервисов требованиям. Но есть нюансы.

Честно говоря, на сегодня почти нет сервисов и провайдеров, которые полностью бы соблюдали это требование. Кто-то говорит, что не обрабатывает ПД, хотя они и крутятся на его мощностях и хранятся. Кто-то принимает факт обработки, но отказывается прописывать обязательство о конфиденциальности, мотивируя это тем, что ему сложно разграничить ответственность. Это и правда сложно. И на рынке реально немного практики по этой части. В описанных выше трех ситуациях границы ответственности существенно отличаются.

Самая простая — первая. Сервисы в этой группе предоставляются юридическими лицами, и большинство из них размещают на сайте документы, обеспечивающие наиболее полные правовые условия для обработки ПД как для организаторов (школ, учителей), так и для учеников и родителей:

  • политика конфиденциальности (в том числе политика обработки персональных данных);
  • пользовательское соглашение;
  • договор-оферта (иногда включен в пользовательское соглашение).

По сути это трехсторонняя схема работы, в которой реализуются отношения попарно между всеми сторонами на гражданско-правовой основе. Это гипотеза, и мне интересно мнение юристов, правовиков. Важно! Нужно смотреть эти вопросы в каждом сервисе. Приведенные выше в первом сценарии сервисы не обязательно могут иметь достаточный объем правовых решений.

Это обстоятельство может существенно облегчить операторам решение правовых вопросов и свести вопрос только к организации использования площадки работниками и клиентами (учителями и учениками). То есть, например, учитель сам создает класс, организует заведение в него данных об учениках. В этом случае, в обязанностях учителя необходимо легитимировать использование им таких сервисов, а со стороны родителей (представителей учеников) взять согласие на организацию школой таких сервисов, причем с возможностью выбора ею аналогичных сервисов. Здесь и правда глаза разбегаются, а завтра могут появиться новые более интересные сервисы.

Важным моментом может быть то, каким образом финансируется сервис. Если сервис бесплатный, то почти наверняка в нем будет реклама. Если сервис требует приобретения подписки или лицензий, то будет без рекламы. Но такой договор в итоге может не потребовать наличия условий о поручении обработки ПД.

Во втором и третьем случае сложнее ситуация (как и в части сервисов 1 типа), и надо смотреть внимательно на имеющиеся соглашения. В каких-то случаях, не требующих наполнения (видеконференции, чаты), также работает трехсторонняя схема, где сервис берет на себя ответственность. В случаях же, где оператор сам наполняет сервис и на не самых крупных площадках, зачастую политики конфиденциальности ограниченны узким набором целей обработки ПД, в который, конечно же, не входят цели оператора. А раз они не входят, значит, об этом нужно заботиться самому оператору.

В таком случае, как уже было отмечено выше, правовой вопрос решается следующими документами:

  • согласие клиента на организацию обучения на площадке;
  • согласие работника в письменной форме о передаче/поручении обработки ПД;
  • договор поручения между оператором и площадкой (провайдера), соответствующий требованиям пункта 3 статьи 6 152-ФЗ (наличие обязательства со стороны площадки (провайдера) соблюдать конфиденциальность и обеспечивать безопасность ПД, а также наличие требований по защите ПД согласно ст. 19 152-ФЗ).

Есть еще одно обстоятельство, которое не урегулировано законодательством о ПД в отношении облачных сервисов и сложно выполнимо в случаях поручения обработки ПД. Облачный провайдер или владелец сервиса на 99% не является владельцем ЦОДа, в котором размещается сервис. При том он может нанимать третьих лиц для администрирования. В этом залог низкой цены. Таким образом, возникает вопрос, какому числу третьих лиц передаются ПД и для каких целей. И они все должны быть перечислены в согласии в письменной форме работника оператора.

А так как привлекаются сторонние администраторы, мы также натыкаемся на лицензионные требования по части технической защиты конфиденциальной информации, изложенные в постановлении Правительства №1119, приказе ФСТЭК №21. В них указано, что меры ИБ ПД может выполнять оператор ПД или лицо, которому поручена обработка ПД, самостоятельно, либо с привлечением лица, имеющего лицензию на деятельность по технической защите конфиденциальной информации.

 

Итоговый набор документов

Итак, мы провели краткий обзор вопросов обработки ПД при переезде в дистанционный формат работы. В конце следует дать некоторую свертку состава документов, которые должны оформлять перевод работы в дистанционную форму. За это (контроль наличия всех необходимых правовых решений) в соответствии с 152-ФЗ отвечает оператор ПД!

Со стороны клиента:

  • положения договора или заявления, отражающие переход на дистанционную форму, включающие обязательства по безопасности;
  • согласие, удовлетворяющее требованиям пункта 1 статьи 9 152-ФЗ (может быть в договоре);
  • согласие с условиями сервиса.

Со стороны работника оператора:

  • должностные обязанности, ответственность;
  • согласие в письменной форме (отдельно или в составе трудового договора), если происходит оператором передача ПД сервису и нет соглашения работника с сервисом.

Со стороны Оператора (здесь оператором может быть и площадка):

  • приказ, положение и документы об организации дистанционного обучения;
  • приказы о назначении работников, должностные обязанности работников по использованию сервисов или результатов их работы, в том числе ответственных за сервис;
  • приказ и документы по обеспечению безопасности дистанционного обучения;
  • опубликованная политика в отношении обработки персональных данных, включающая в числе целей обучение в дистанционной форме, описывающая круг используемых сервисов, а также принимаемые меры безопасности;
  • в случае использования своего сайта – политика использования Cookies, галочки о согласии с политикой обработки ПД при регистрации или заполнении форм обратной связи;
  • положение по обработке ПД с учетом дистанционной формы во всех её аспектах, внутренние требования по безопасности дистанционной работы;
  • договор поручения с провайдером/владельцем сервиса, соответствующий требованиям пункта 3 статьи 6 152-ФЗ (если такой необходим);
  • договор приобретения подписки на сервис;
  • уведомление в РКН (если организация не подпадает под исключения ст. 22 152-ФЗ), в том числе о размещении ПД на территории РФ.

Со стороны Провайдера/владельца сервиса (не беру внутренние организационные документы, а только правовые):

  • политика конфиденциальности (обработки ПД), содержащая цели и основания;
  • пользовательское соглашение (включая требования по безопасности);
  • договор-оферта (для сервисов, где этого достаточно);
  • договор поручения с провайдером/владельцем сервиса, соответствующий требованиям пункта 3 статьи 6 152-ФЗ (если такой необходим);
  • уведомление в РКН (если организация не подпадает под исключения ст. 22 152-ФЗ), в том числе о размещении ПД на территории РФ.
 
© АСПЕКТ СПб, 2020. Все права защищены.