Можно ли считать лукавством, когда говорят, что защитили права субъектов персональных данных (ПДн), подразумевая только отдел кадров, бухгалтерию и комплект документов? В реальности картина намного глубже. Многие поражаются, узнав о подводной и неформальной части этого айсберга.
Начинающим делать эту работу свойственны типичные ошибки:
- инвентаризация ПДн проводится слишком поверхностно;
- ответственными за организацию обработки ПДн назначаются лица, не связанные с самими бизнес-процессами;
- непосредственные руководители не вовлекаются в эту работу.
Поэтому мы отводим важное место двум первым шагам в этом непростом процессе. Они еще не приводят к конкретным защитным мерам, но, как показывает опыт, являются чуть ли не самыми важными во всём деле.
Выполнив их, руководитель организации определит 100% ситуаций обработки персональных данных. И компетентность ключевых руководителей станет достаточной для выполнения мероприятий.
Шаг 1. Инвентаризация персональных данных
Цель инвентаризации — видеть, что все персональные данные охвачены вниманием руководства. Традиционно ПДн инвентаризуются по отделам (функциональный подход). Частая ошибка состоит в том, что инвентаризируются только очевидные функции — кадры, бухгалтерия и продажи.
Мы рекомендуем инвентаризацию по видам деятельности (процессный подход). Многие организации позитивно его воспринимают. Достоинство процессов в том, что они имеют четкие границы, основания и цель, и тем самым обосновывают используемую в них информацию.
В малых организациях с 1-3 отделами могут протекать одновременно от 15-20 процессов; в средних, до 10 отделов, — от 30. В крупных организациях существуют сотни процессов. Объективность достигается при охвате перечнем 100% деятельности. Лучше, если его составит сам руководитель.
Важно для каждого процесса уже на этом этапе обозначить:
- Обрабатываются ли в рабочем процессе персональные данные?
- Подпадает ли характер обработки ПДн под действие Закона?
Закон не ставит границы между частной и общественной жизнью человека. Поэтому персональными данными можно считать всё, что содержит ФИО или связанные с человеком результаты деятельности. Любые документы, доступ в Интернет, электронная почта, видеонаблюдение, графики транспорта, таблицы телефонов и т.п.
Не существует деятельности без человека и не для человека. А это означает, что ПДн есть во всех процессах — во всех 15-20-30-ста!
Крайне важно для каждого вида деятельности определить, кто его владелец — сотрудник, являющийся организатором этого вида деятельности. Именно с него должен быть спрос за реальное состояние защиты прав субъекта ПДн. К сожалению, такие сотрудники сегодня проявляют малый интерес к теме.
Шаг 2. Классификация персональных данных
Цель классификации — определить четкие требования к обработке ПДн и защите прав субъектов ПДн. Выполняется для каждого вида деятельности. При классификации выявляются цель процесса, его границы, состав, основания, внутренние требования, а также внешние требования. Итогом классификации является конкретизация дальнейших шагов.
Читатель здесь помножит число 15-20-30 на объем требований, которые нужно проанализировать, и с круглыми глазами скажет: «Зачем мне всё это делать? И как это осилить одному единственному назначенцу?».
Причина этих вопросов — перечисленные выше ошибки. Главное наше предложение состоит в том, чтобы эту работу курировали сами владельцы процессов. А чтобы они не задавали таких же вопросов, считать эту работу повышением компетентности.
Преимущества в следующем:
- На классификацию условий владельцу процесса потребуется 2 часа вводного общения и еще 2 часа для составления акта, всего 4 часа!
- Если же он не компетентен (что, к сожалению, не редкость!), или всплывают серьезные вопросы, то в его прямых обязанностях затратить еще 4-16 часов, чтобы изучить законодательство, контракты, стандарты и др., всего 8-20 часов.
- Если и этого не достаточно, то нужно делать выводы, и это тоже результат.
- Утвержденный акт классификации — свидетельство компетентности владельца процесса в вопросах 152-ФЗ.
- Уверенность в следующих шагах обеспечена!
Сравним с традиционным подходом. Затраты назначенного крайним — 72 часа на обучение на курсах, плюс 20-40 часов на беглое изучение каждого процесса, о котором он не знает и не может знать многого. Очень часто такой процесс превращается в долгострой.
Поэтому организации, осознающие, что уважение прав субъектов персональных данных — дело каждого сотрудника, создают собственный центр компетенции или привлекают консультантов. Хорошей практикой на Западе считается выделение позиции директора по Privacy, отдельной от информационной безопасности. Разделение Privacy и Security — современная тенденция, которая пока не нашла отражения в отечественном опыте.
Источник: Журнал «Меркурий», № 159, июль 2012 г.