В двух шагах от персональных данных

Можно ли считать лукавством, когда говорят, что защитили права субъектов персональных данных (ПДн), подразумевая только отдел кадров, бухгалтерию и комплект документов? В реальности картина намного глубже. Многие поражаются, узнав о подводной и неформальной части этого айсберга.

Начинающим делать эту работу свойственны типичные ошибки:

• инвентаризация ПДн проводится слишком поверхностно;
• ответственными за организацию обработки ПДн назначаются лица, не связанные с самими бизнес-процессами;
• непосредственные руководители не вовлекаются в эту работу.

Поэтому мы отводим важное место двум первым шагам в этом непростом процессе. Они еще не приводят к конкретным защитным мерам, но, как показывает опыт, являются чуть ли не самыми важными во всём деле.

Выполнив их, руководитель организации определит 100% ситуаций обработки персональных данных. И компетентность ключевых руководителей станет достаточной для выполнения мероприятий.

Шаг 1. Инвентаризация персональных данных

Цель инвентаризации — видеть, что все персональные данные охвачены вниманием руководства. Традиционно ПДн инвентаризуются по отделам (функциональный подход). Частая ошибка состоит в том, что инвентаризируются только очевидные функции — кадры, бухгалтерия и продажи.

Мы рекомендуем инвентаризацию по видам деятельности (процессный подход). Многие организации позитивно его воспринимают. Достоинство процессов в том, что они имеют четкие границы, основания и цель, и тем самым обосновывают используемую в них информацию.

В малых организациях с 1-3 отделами могут протекать одновременно от 15-20 процессов; в средних, до 10 отделов, — от 30. В крупных организациях существуют сотни процессов. Объективность достигается при охвате перечнем 100% деятельности. Лучше, если его составит сам руководитель.

Важно для каждого процесса уже на этом этапе обозначить:

1. Обрабатываются ли в рабочем процессе персональные данные?
2. Подпадает ли характер обработки ПДн под действие Закона?

Закон не ставит границы между частной и общественной жизнью человека. Поэтому персональными данными можно считать всё, что содержит ФИО или связанные с человеком результаты деятельности. Любые документы, доступ в Интернет, электронная почта, видеонаблюдение, графики транспорта, таблицы телефонов и т.п.

Не существует деятельности без человека и не для человека. А это означает, что ПДн есть во всех процессах — во всех 15-20-30-ста!

Крайне важно для каждого вида деятельности определить, кто его владелец — сотрудник, являющийся организатором этого вида деятельности. Именно с него должен быть спрос за реальное состояние защиты прав субъекта ПДн. К сожалению, такие сотрудники сегодня проявляют малый интерес к теме.

Шаг 2. Классификация персональных данных

Цель классификации — определить четкие требования к обработке ПДн и защите прав субъектов ПДн. Выполняется для каждого вида деятельности. При классификации выявляются цель процесса, его границы, состав, основания, внутренние требования, а также внешние требования. Итогом классификации является конкретизация дальнейших шагов.

Читатель здесь помножит число 15-20-30 на объем требований, которые нужно проанализировать, и с круглыми глазами скажет: «Зачем мне всё это делать? И как это осилить одному единственному назначенцу?».

Причина этих вопросов — перечисленные выше ошибки. Главное наше предложение состоит в том, чтобы эту работу курировали сами владельцы процессов. А чтобы они не задавали таких же вопросов, считать эту работу повышением компетентности.

Преимущества в следующем:

1. На классификацию условий владельцу процесса потребуется 2 часа вводного общения и еще 2 часа для составления акта, всего 4 часа!
2. Если же он не компетентен (что, к сожалению, не редкость!), или всплывают серьезные вопросы, то в его прямых обязанностях затратить еще 4-16 часов, чтобы изучить законодательство, контракты, стандарты и др., всего 8-20 часов.
3. Если и этого не достаточно, то нужно делать выводы, и это тоже результат.
4. Утвержденный акт классификации — свидетельство компетентности владельца процесса в вопросах 152-ФЗ.
5. Уверенность в следующих шагах обеспечена!

Сравним с традиционным подходом. Затраты назначенного крайним — 72 часа на обучение на курсах, плюс 20-40 часов на беглое изучение каждого процесса, о котором он не знает и не может знать многого. Очень часто такой процесс превращается в долгострой.

Поэтому организации, осознающие, что уважение прав субъектов персональных данных — дело каждого сотрудника, создают собственный центр компетенции или привлекают консультантов. Хорошей практикой на Западе считается выделение позиции директора по Privacy, отдельной от информационной безопасности. Разделение Privacy и Security — современная тенденция, которая пока не нашла отражения в отечественном опыте.