18.06.2012

Наличие доступа != обработка

Каждая айтишная душонка норовит попутать доступ к персональным данным и их обработку – просто не мыслит в терминах обработки, подставляя вместо нее доступ. А вообще-то она, конечно, мыслит, когда мы не видим.

Это не проблема, если организация функционирует в стиле подводной лодки, и тем более проблема, чем более применен аутсорсинг. Что одна организация арендует помещения у другой, охраняется третьей, подметается четвертой, сервера стоят в пятой, "программисты" ходят из шестой, кадровый учет ведется в седьмой, юридическое сопровождение в восьмой, связь обеспечивает девятая, зарплата идет через десятую, а головным офисом является одиннадцатая – так это нормальное дело, не особо какая экзотика. А цена ошибки при определении, кто из них участвует в обработке персональных данных – это или десятки тысяч лишних согласий субъектов, или незаконная передача без оных.

Почему доступ и обработка - не одно и то же?

Во-первых, персональные данные можно обрабатывать, и не доступаясь. Когда админ наделяет пользователей правами на ресурс, содержащий персональные данные, он увеличивает круг лиц, которым они раскрыты – это предоставление персональных данных, операция по обработке. Можно осуществлять систематизацию персональных данных, выполняя операции с базой, а не непосредственно с данными. Еще проще пример: уничтожение (хранение, передача) носителя персональных данных, не заглядывая в содержимое – это все равно уничтожение (хранение, передача) персональных данных.

Во-вторых, техническая возможность что-то сделать с персональными данными еще не означает обработки персональных данных. Все зависит от наличия формального разрешения это делать. Если внешней уборщице санкционировано производить прекращение обработки персональных данных задеванием швабры за сетевой шнур – со всех субъектов нужны согласия на ее участие в обработке, если не санкционировано – никакие согласия не нужны, а уборщицу надо обрабатывать среди нарушителей (типа К1, если Вы не айтишная душонка). Если кто-то может ознакомиться с персональными данными в системе, имеет такую возможность, но положено ему только обновлять ось – в обработке он не участвует, а участвует в К4.

152ой ФЗ не сводит обработку персональных данных к доступу* и не называет ей возможность что-то осуществить.

Иногда помогает рассказывание анекдота, заканчивающегося на "тогда привлекай и за изнасилование – аппарат-то есть!", иногда ничего не помогает.

* исправлено - спасибо М.Ю.

17 комментариев:

Михаил Юрьевич Емельянников комментирует...

Дал коммент на FB у Лукацкого, но не хочу следовать практике обсуждения постов на других ресурсах. Итак.
Как всегда, зажигательно. Очень хотел бы согласиться, но в определении обработки в ФЗ-152 есть такой способ обработки, как доступ. Не обсуждаю смысл, просто формально. А вообще проблема катастрофически сложна. Надзор стал упорно именовать обслуживание платежной зарплатной карты банком обработкой по поручению оператора и требовать на это договор поручения. ЦОДы и облака - вообще вне закона. Вот где Контролер в терминах европейской конвенции должен развернуться. Но не хочет.

Анонимный комментирует...

Данный пост лично для меня полезен в первую очередь не по причине его содержания, а по типу проблемы и времени его появления на свет для анализа сообществом.
Таких вопросов много и часто я задумываюсь, что они возникают у меня слишком поздно по сравнению с датой выхода той или иной нормы. Молчу про возможность знать о них заранее до даты выхода - её нет.
Но мне казалось чаще всего, что это я такой, а есть люди, которые уже давно всё знают и в сути каждого слова в законе и др разобрались.... Ну типа мне казалось - опытные... Ан нет...
Не возможно быть опытным теоретически (интересно, знают ли об этом в ГНИИПТЗИ)!
А посему радостно, что сообщество постепенно находит и оттачивает язык на конкретике и опыте.
На что нужно время, причем время организационно-проектных масштабов.
Отмечу, что поднятая проблема - проблема не первого порядка, которую с первого прочтения понять можно.
Предложу Ригельзу и сообществу, если созрели опытом, всё-таки начать обсуждать проблему ФЗ-152 более масштабную: разница между целями евроконвенции и закона. Она в одном слове: "уважение прав" против "защита прав". Или проще: "свободное перемещение" против "двухметровых заборов".
В общем, оно определяет всю суть порядка внедрения закона и увеличения его размеров.
С уважением, CI.

Ригель комментирует...

М.Ю.:
Санкционированный доступ - частный случай обработки. Но нет знака равенства между доступом и обработкой: бывает обработка без доступа, бывает доступ без обработки (несанкционированный).

CI:
Тема как у нас / как у них мне не интересна, увы. Мне внутренние конфликты больше нравятся.

Анонимный комментирует...

Ригелю:
Так это и есть внутренний конфликт, т.к. евроконвенция у нас ратифицирована и статусом несколько даже повыше.

Alexey Volkov комментирует...

Доступ - это не частный случай, это элемент множества, неопределенного, ибо "любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая...". Санкционированный - это из другой области, из "защиты".

Вопрос-то ИМХО в другом. Как пример: если сотрудник конторы Б получает доступ к данным обрабатываемым конторой А, означает ли это, что контора Б автоматически становится оператором, их обрабатывающим?

Михаил Юрьевич Емельянников комментирует...

Проблема, как я писал, глобальная. Есть элементарные вопросы, на которые нет даже сложных ответов. Сервак на колокации, дидикейтед или приложение на хостинге - ЦОД является ли ЛООПДППО? И связано это часто как раз с возможностью доступа персонала к данным. Я уже молчу о том, как оператор может нарисовать модель угроз (а он обязан) для аутсорсера, ведущего бухгалтерию (у того таких клиентов сотня)? Ну и т.д.

Анонимный комментирует...

Алексею:
Контора А поручает конторе Б обработку ПДн. В части доступа.

Анонимный комментирует...

Все дыры, которые есть в законодательстве прекрасно затыкаются договором с прописанием процедур или К4. Другой разговор, что завтра закон поменяется и... Такова доля любой инновации, это риск!

Ригель комментирует...

Алексею:
Смотря в каком контексте идет речь о доступе. В контексте обязательных согласий/уведомлений НСД не обработка ;)

crisisidea:
Евроконвенция - это правда не мой уровень. Я и про закон то рассуждаю только потому, что в нем поковырялись те, кто должен подзаконные и ведомственные писать. В соседнем посте вон Trotsky спросил, что это мы такие умные законопроект не вносим - а ему и ответить то нечего.

Alexey Volkov комментирует...

CI: ата-та :) Поручать обработку нужно, когда есть цель и есть результат, непосредственно происходящий из обработки и с ней связанный. Ну, например, единый расчетный центр в ЖКХ. А вот если делается финансовый аудит, например, или (как в посте) решаются технические задачи, связанные с администрированием? Тут далеко не так все просто, Получается, что в каждом таком "побочном" случае конторы вынуждены еще и ПДн приплетать.

Ригелю: ну, а в контексте их отсутствия - обработка что ли? Адвокат тебе скажет, что НСД было осуществлено для личных нужд, а имевшее место нарушение прав субъектов еще доказать надо. Так что п. 1 ст. 2 - и до свиданья. Мутить будут по другой статье - неправомерный доступ к компьютерной информации, это если носители не бумажные. И вообще виноватым сделают оператора, так как мер не принял или принял, но недостаточные. Вуа-ля :)

Ригель комментирует...

Алексей, еще раз: в контексте согласия/уведомления - это при определении необходимости согласия/уведомления, а никак не при разбирательстве по проникновению.

Alexey Volkov комментирует...

А. Так на то он и НСД, вообще-то, чтобы без согласий и уведомлений быть.

msm комментирует...

Уважаемые гуру, возможно несколько дилетантский вопрос.
Сюжет: есть некий сервис по проверке действительности ЭЦП под документом, так вот, сам документ на ресурс загружается но используется только чтобы от него выработать хэш для проверке подписи, всё происходит на пролёте и сам документ ни где не сохраняется. Не исключено, что электронный документ может содержать ПД.
Вопрос: считается ли эта процедура обработкой ПД?

Alexey Volkov комментирует...

msm: если используется исключительно автоматизированная обработка (без участия человека) на стороне, где проверяется подпись, и нет никакой возможности человеку вклиниться в этот процесс - тогда, возможно, при правильном составлении описания технологических процессов и ЧМУ можно попытаться от обработки и защиты отмазаться. Обработка должна преследовать цель, если ее нет - то можно мимикрировать :)

msm комментирует...

Алексей спасибо за ответ, попробую подумать в эту сторону. Кстати у моих партнёров в ЕС именно такие доводы и существуют, только у них это не "попытка", "мимикрировать" и "отмазаться" , а на них просто ни кто не наезжает :-)

Ригель комментирует...

Нельзя так. "Исключительно не/автоматизированная" уже не катит, после того как 1ую статью 152го ФЗ прошлым летом изменили.

msm комментирует...

А не проясните для "не специалиста" что не катит?

Отправить комментарий