В заметках «Сага о персональных данных» анализируется сам закон №152-ФЗ «О персональными данных». Но наиболее неприятные проблемы несет неприметный пункт о необходимости соответствия «требованиям Правительства РФ» — он тянет за собой невообразимую череду инструкций из арсенала спецслужб по защите данных.

Вставка-примечание. 5.2.2010 продолжились продуктивные коррективы в страшные инструкции: издан приказ №58, заменяющий несколько инструкций, затем с 15.02.2010 были отменены 2 тяжелые инструкции. Таким образом, изложенные ниже письма Рособразования, которое тоже уже упразднено, описывают заметно более сложную ситуацию, чем она существует сейчас (март 2010). Тем не менее, знакомство с текстом ниже все равно полезно, т.к. он выделяет только ключевые точки проблемы без углубления в дебри инструкций.

Письма Рособразования «Об обеспечении защиты персональных данных» стали некоторым путеводителем по этим инструкциям. Правда, это не слишком упростило ситуацию, но дало надежду, что школы не бросят тонуть в океане чуждых ей задач:

• от 29.07.2009 N 17-110 (.pdf - 400KB, Консультант) несколько облегчило подготовку локальных нормативных актов в области ПД. Оно систематизировало задачу по сведению воедино требований Правительства РФ по "обеспечению безопасности персональных данных ...".

  Важным фрагментом письма является классификация необходимых процедур по сертификации информационных систем в зависимости от их класса защищенности:

  • для информационных систем 1 и 2 класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации);
  • для информационных систем 3 класса соответствие требованиям безопасности подтверждается путем сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;
  • для информационных систем 4 класса оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных

  Поскольку большинство внутришкольных систем соответствуют классу 3, для нераспределенных систем можно было бы обойтись самостоятельно подготовленной декларацией. К сожалению, самая актуальная часть работы - подготовка такой декларации - прописана в тексте явно недостаточно. Пример или типовая форма такой декларации существенно облегчили бы жизнь администрации ОУ. 

Следует отметить, что такая декларация нужна для каждой информационной подсистемы, т.к. рекомендации ориентируют на их разведение: в противном случае придется их все аттестовывать по самой сложной подсистеме из единого комплекта. Поскольку ИТ начинают использоваться весьма интенсивно по всем направлениям работы школы, подготовка таких деклараций обещает быть весьма трудоемкой. 

Если система распределенная (например, подключена к Интернет), "операторы обязаны в установленном порядке получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации". 

Поэтому изложенный ранее подход, основанный на общедоступности данных (приведение требований к классу 4), остается весьма привлекательным, пока не сочтут возможным на федеральном уровне упростить правила работы с персональными данными в школе. 

Как минимум, это следовало бы сделать по наиболее очевидным группам данных: ФИО, пол, дата рождения, принадлежность классу и школе, отметки, контактные данные. С другой стороны, при таком ограниченном списке остается непонятным,

• как школы могут заполнять списки на сдачу ЕГЭ, ГИА - эти базы требуют указания паспортных данных? 
• зачем школе заниматься аттестацией ИС на основе этих БД?
• куда должен идти ученик для регистрации на ЕГЭ в 2010 году, если школа откажется заполнять эти БД в связи с отсутствием предусмотренной законом сертификции (аттестации)?

• от 22.10.2009 №17-187

  Данное письмо дополняет предыдущее рекомендациями по тем вопросам, которые оставались непроясненными. Тем не менее, практические последствия исполнения их даже по минимальной схеме трудозатрат изрядно впечатляют. Прежде всего, тяжелым ударом по организации работы с Интернет, за который было сломано столько копий. Авторы понимают это, поэтому во втором письме снова звучит акцент на класс защиты К4:

  "Наилучшим результатом является обезличивание и обоснование соответствия ИСПДн классу К4, для которого все персональные данные относятся к категории 4 и являются обезличенными или общедоступными. При этом необходимо иметь ввиду, что объявить персональные данные общедоступными только внутри организации даже с согласия субъектов ПДн нельзя."

  Далее по тексту письма в качестве обоснования этого утверждения приводится определение понятия "общедоступные данные", данное в законе. Со своей стороны, хочу обратить внимание, что, на самом деле, это определение не может являться таким доказательством:

  • Во-первых, нельзя рассматривать данное утверждение как запретительное, т.к. субъект ПДн по закону праве принять любое решение, независимо от мнения Рособразования.

  • Во-вторых, нельзя пугать субъекта ПДн определением темина "общедоступность", т.к. по закону любой оператор ПДн обязан иметь согласие субъекта или доказательства общедоступности его ПДн. Поскольку факт отношений субъекта с другим оператором ПДн не является таким доказательством, согласие на общедоступность будет замкнуто внутри структур хранения ПДн того оператора, которому согласие дано, пока и если он не распространит эти данные шире. Но даже в этом случае нельзя забывать, что субъект вправе в любой момент отозвать свое согласие, включая общедоступность, - в этом случае другой оператор может попасть в очень непростое положение.

  Таким образом, данное утверждение может служить только предупреждением о необходимости думать, кому стоит давать согласие на общедоступность данных и к чему может привести легкомысленное отношение к этому. 

Любопытные ссылки о тех же инструкциях и законе в целом:

• Ссылки Роскомнадзора по поводу ответственности за нарушения оператором требований Федерального закона «О персональных данных».

• Откровения Роскомнадзор о необходимости внесения изменений

• Обнадеживающие тезисы Вифлеемского