СЗПДн. Анализ. Контактные ПДн

СЗПДн. Анализ. Контактные ПДн
В любой организации обрабатываются контактные ПДн: логин, ФИО, должность, отдел, рабочий телефон, сотовый телефон, адрес электронной почты. При этом ПДн могут принадлежать как сотрудникам Организации, так и партнерам, клиентам, кандидатам на работу и т.п.
Контактные ПДн как содержатся в телефонных справочниках, корпоративных справочных порталах, в базе пользователей AD, в корпоративной почтовой системе и вообще почти в любой информационной системе Организации (так как в любой ИС есть база пользователей, в которой заполняются логин, ФИО, должность, отдел).
В связи с этими ПДн возникает 2 группы проблемных задач:
·обеспечить безопасности ПДн, необходимыми мерами.
1.Обеспечить соблюдение принципов обработки ПДн, определенных 152-ФЗ
В части ПДн сотрудников всё хорошо.
Во-первых, такая обработка попадает в исключение п. 5) части 1 статьи 6 из 152-ФЗ и соответственно согласие на такую обработку собирать не требуется.
«5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;»
Во-вторых сотрудники находятся недалеко, с них можно и письменное согласие собрать при необходимости.
А вот партнеры, клиенты, кандидаты – пишут нам письма, дают между делом визитки и собрать с них согласие в письменном виде никак не представляется возможным.
Собственно, что мы можем сделать?
·отказаться от контактов с потенциальными партнерами и клиентами.
·обрабатывать общедоступные ПДн, попадающие в исключение п. 10) части 1 статьи 6 из 152-ФЗ. Но общедоступными ПДн могут стать только с письменного согласия субъекта в соответствии с частью 1 статьи 8 из 152-ФЗ. Такой вариант нам тоже не выполнить.
И тут на выручку нам приходит п. 7) части 1 статьи 6 из 152-ФЗ, который дает основания обрабатывать контактные ПДн для осуществления прав и законных интересов Организации.
Альтернативным вариантом может являться принятие факта отправки вам письма или передачи визитки за заключение договора в форме устной сделки. Что будет подходить под исключение п. 5) части 1 статьи 6 из 152-ФЗ.
2.Обеспечить безопасности ПДн, необходимыми мерами.
Основной проблемой в данной задаче является тот факт, что контактные данные обрабатываются на всех 100% АРМ и серверов. А ставить использовать СЗИ, прошедшие оценку соответствия, на всех 100% АРМ не хотелось бы.
Собственно, что мы можем сделать?
·Отказаться от использования, каких либо корпоративных систем или справочников на этом АРМ или сервере. Тогда зачем он вообще нужен этот АРМ?
·Обезличить ПДн обрабатываемые на большинстве узлов и как следствие получим возможность не защищать такие ПДн.
Если речь идет о контактных ПДн сотрудников – то необходимо будет выделить базу с полной контактной информацией (ФИО, должность,телефон) и удалить эту информацию из всех систем оставив только логины или табельные номера.
Если говорить об ADи различных корпоративных приложениях – то проблем нет.
Если говорить об электронной почте и телефонных справочниках – то ими будет невозможно пользоваться, потому что невозможно будет найти нужного нам сотрудника.
Ещё хуже с контактной информацией партнеров, клиентов, кандидатов. Если информацию обезличить – то использовать контактную информацию будет невозможно, что приведет к невозможности контактов с этими лицами.
·Сделать ПДн общедоступными и как следствие получим возможность не защищать такие ПДн.
Как уже упоминалось выше, собрать согласия на общедоступность в письменном виде с внешних лиц не представляется возможным. С сотрудников вполне можно собрать такое согласие при устройстве на работу.

Таким образом, мы приходим к выводу, что единственным нормальным вариантом оптимизации является: выделение сотрудников которым по должностным обязанностям необходимо взаимодействовать с партнерами, сотрудниками и кандидатами. На их АРМ контактные данные не могут быть обезличенными или общедоступными и подлежат защите.
На остальных АРМ и серверах останутся только контактные данные сотрудников, которые объявляются общедоступными в соответствии с собираемым согласием.
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться