15.9.14

Доступ в Wi-Fi по паспорту и ФЗ-152

Пока прокуратура начала активные проверки по части использования публичных хотспотов "без паспортов", а многие компании начинают задумываться о том, как эту задачу решить технически, пока все ждут, когда Алексей Волков опубликует продолжение своего опуса (базируясь на ответе Минкомсвязи), а ваши канцелярии думаю, что делать с письмами, аналогичными нижеприведенным, я решил посмотреть, как соотносится пресловутое ПП-758 с законом о персональных данных.


Если посмотреть на возможные сценарии, на которые распространяется ПП-758, то у нас получается, что речь идет только о сотрудниках и посетителях, которые пользуются вашим оборудованием (ПК, ноутбуками, смартфонами, планшетниками). Такие ситуации возникают в корпоративной среде достаточно часто - при организации как обычного, так и гостевого беспроводного доступа. Если выполнять вышеприведенное письмо Вымпелкома, то компании, внедрившие у себя Wi-Fi, должны передавать оператору связи ФИО, место жительства и паспортные данные, а это у нас ПДн, подпадающие под требования ФЗ-152.

Итак, что должна сделать компания, получившая такое письмо:

  • Получить согласие субъекта ПДн на передачу таких данных оператору связи. Цель обработки новая, поэтому при изначально неправильной выбранной цели/целей обработки ПДн, вам придется не только переделывать форму согласия, но и переполучать его заново. Но тут есть три нюанса. Во-первых, согласно ГК "закон обратной силы не имеет" и получать согласия вы должны только с момента вступления в силу ПП-758. Во-вторых, согласно ст.6.1.2 ФЗ-152 получать согласие не надо, в случае выполнения возложенных на оператора ПДн обязанностей. В-третьих, для данной обработки оператором ПДн являетесь не вы, а оператор связи и задача получать согласие лежит на нем. Опираясь на эти нюансы можно согласие не получать и, если РКН или прокуратура будут настаивать на получении такого согласия, отказать им на законных основаниях (если вы готовы спорить с регуляторами).
  • Определить лиц, допущенных к обработке передаваемых ПДн оператору связи. Уточнить, включены они в уже утвержденные приказы или нет?
  • Определить срок хранения указанных ПДн. Для работников этот срок может быть равен сроку действия трудового договора + 1 квартал, а для посетителей - 6 месяцам (вы можете и больше указать, если субъект с этим согласится).
  • Для посетителей, пользущихся вашим Wi-Fi с ваших устройств, разработать поправки в положение об обработке ПДн (политику в отношении обработки ПДн), с которыми надо будет посетителей знакомить.
  • Определить порядок передачи ПДн оператору связи. Тут возникает один нюанс. Согласно 378-му приказу ФСБ, эти данные должны шифроваться с помощью сертифицированных СКЗИ. Это если следовать буквально приказу и признавать нарушение конфиденциальности серьезной угрозой. Правда, тут есть очередной нюанс. Хотя данные это ваши, оператором ПДн этих данных является оператор связи. Именно он устанавливает порядок и цели обработки ПДн, так как это определено ПП-758. Иными словами, и модель угроз должны определять не вы, а оператор связи. И если оператор связи решит, что конфиденциальность данных обеспечить надо, то тут увы - надо что-то решать. Правда, решать будет тоже оператор связи - если он от вас что-то требует, то и обеспечить СКЗИ тоже должен он (или предложить иной способ обеспечения конфиденциальности). На вашем месте, при получении такого запроса, я бы направил встречное письмо с просьбой уточнить механизмы защиты передаваемых по открытым каналам связи данных (e-mail у нас пока еще механизм открытый). Ну и как подсказка - посмотрите как поступают сами госорганы, чтобы уйти от применения СКЗИ.
  • Если в договоре между вами и оператором связи нет ни слова про обработку ПДн и обязанности сторон по данному направлению, то стоит задуматься, наконец-то, об обновлении договорных отношений. Как минимум, для выполнения ст.6.3 ФЗ-152.
  • Обновите порядок реагирования на запросы субъектов (а они точно будут).
  • Обновите порядок уничтожения (обезличивания или архивирования) собираемых данных.
  • Скорее всего вам не понадобится обновлять свое уведомление в РКН, но вдруг... Проверьте.
  • Передача указанных ПДн осуществляется с помощью уже известной ИСПДн, для которой определен уровень защищенности и защитные мероприятия? Если да, то хорошо. Если нет, то стоит решить и этот вопрос.

Я понимаю, что для данного вида обработки оператором ПДн будет являться оператор связи, а не вы. Но регуляторы в лице прокуратуры или РКН не очень любят это деление на оператора и обработчика и поэтому лучше исходить из худшего сценария развития событий.

9 коммент.:

Евгений комментирует...

Алексей, при чем здесь вообще согласие, если данные необходимо передавать в соответствии с нормативными актами? пункт 2 часть 1 статья 6 ФЗ-152

pushkinist комментирует...

Евгений, какие-то нормативные акты обязывают предоставлять работнику инет?

Андрей комментирует...

Зачем получать согласие на передачу оператору связи, если обработка ПДн осуществляется для целей исполнения законадательтсва РФ?

Unknown комментирует...

Получается если доступ в wi-fi осуществляется с устройств принадлежащих работникам или клиентам, то думать об этом не нужно?

Amalgama комментирует...

Если внутри ЛВС интернет раздается сотрудникам посредством Kerio, wi-fi НЕ используется, то нужно ли передавать данные сотрудников оператору связи?

Сергей Городилов комментирует...

Алексей, а если организация опубликовала в Интернет сайт, почтовый сервер, SIP-шлюз, средства конференцсвязи, то кто пользователи пользовательского (оконечного) оборудования? Я пока не обнаружил рассмотрения этого сценария. При этом пользователи сайтов такие же отправители запросов и получатели ответов, но перечислить их невозможно же!?

r1j1k комментирует...
Этот комментарий был удален автором.
r1j1k комментирует...

Согласно текущим договорам пользователем оконечного оборудования оператора связи от имени Предприятия является Генеральный директор.

Алексей К. комментирует...

И я бы все-таки попросил перестать привязываться только к Wi-Fi. С одной стороны понятно что обычно гостевой доступ по Wi-Fi предоставляется, с другой стороны речь в документе о доступе в Интернет вообще. Ну то есть например интернет-кафе, проводной доступ с оборудования, не принадлежащего конечному пользователю.