Персональные данные в сфере ЖКХ нуждаются в защите
Вчера в Чебоксарах прошел семинар «Защита персональных данных-2013: угрозы и решения» для управляющих компаний Чебоксар и Новочебоксарска. Организатор мероприятия — компания «Информатика» при поддержке компании «Код безопасности», Госжилинспекции и Роскомнадзора.
Федеральный закон № 152-ФЗ «О персональных данных», вступивший в силу летом 2006 года, уже стал неотъемлемой частью работы практически каждой организации или предприятия. В 2010-м году по России прокатилась волна внеплановых проверок управляющих компаний. В нарушение закона, УК вывешивали в общедоступных местах списки должников по квартплате с указанием Ф.И.О. В 2013 году в плановые проверки Роскомнадзора в каждом регионе включена хотя бы одна управляющая компания. В Чувашии это МУ «УК ЖКХ» (Канаш). Однако внеплановые проверки могут пройти в любой из действующих в республике предприятий сферы ЖКХ. Управляющие компании не только работают с персональными данными (ПДн) сотрудников, но и имеют дело с ПДн собственников жилья. Так что в данной сфере надо быть особенно внимательными.
Чтобы обезопасить себя от плановых и внеплановых проверок, а также минимизировать или исключить неприятные последствия, нужно неукоснительно соблюдать букву закона. Штрафы, кстати, в ближайшее время могут существенно увеличиться (сейчас порядка 10 тысяч рублей). Однако провести в организации комплекс организационных и технических мер — дело нетривиальное. Нужно разобраться в ворохе документации, знать техническую сторону вопроса, правильно вести документацию и т. д. Разумеется, управляющая компания (либо любое другое предприятие) может сделать это самостоятельно. А можно отдать этот вопрос на аутосорсинг. В Чувашии несколько организаций занимаются защитой ПДн. В числе прочих «Информатика». Опыт в этой сфере накоплен достаточный. Несколько компаний, которых ведет «Информатика», успешно прошли проверки Роскомнадзора. Услугами уже пользуются две чебоксарские УК: УК «Сфера» и «УК «Удача».
«Информатика» предлагает следующие виды работ. Сначала происходит анализ и оценка ситуации, создается модель угроз, проверяется готовность технических и информационных систем (ИСПДн), осуществляется помощь в подаче уведомления или письма о внесении изменений в Роскомнадзор. Параллельно разрабатывается организационно-распорядительная документация, включающая в себя десятки различных документов. Есть годовая поддержка в виде вебинаров и трехмесячная бесплатная гарантия на случай внезапных изменений в законодательстве.
«Информатика» гарантирует сопровождение возможных проверок, помощью в общении с сотрудниками Роскомнадзора. Также в договоре прописана ответственность. В случае вины «Информатики», компания возместит затраты. Стоимость пакета для управляющей компании до 15 февраля составит около 50 тысяч рублей. При этом через один-два месяца УК будет надежно защищена. Руководство сможет спать спокойно.
После выступления представителей «Информатики», о продукции компании «Код безопасности» рассказал ее Андрей Степаненко. «Код безопасности» — это разработчик сертифицированных программных и аппаратных средств, обеспечивающих безопасность информационных систем. Более подробно: http://www.securitycode.ru/. Данные продукты теперь можно приобрести и через «Информатику».
В завершение на вопросы собравшихся ответил Леонид Иванов, начальник отдела Управления Роскомнадзора по Чувашии. В частности он разъяснил, что нельзя в общедоступных местах выкладывать номера квартир с указанием долга. Это нарушение закона о ПДн. Делать это можно лишь в случае получения письменного согласия собственников. Также Леонид Петрович рекомендовал на порталах типа jkh.cap.ru более аккуратно относиться к открытой переписке с гражданами. Ответы, требующие публикации персональных данных (даже если они указаны в вопросе), желательно сообщать по почте или при личном обращении собственников.
В частности он разъяснил, что нельзя в общедоступных местах выкладывать номера квартир с указанием долга. Это нарушение закона о ПДн. Делать это можно лишь в случае получения письменного согласия собственников.
Является ли интернет-страничка УК, которая содержит сведения о должниках в том или ином доме, местом общедоступным?
Не понятно тогда действие судебных приставов, которые выкладывают персональную информацию тех или иных должников. В связи с этим вопрос: Почему, если судебные приставы занимаются должником, они имеют право выкладывать персональную информацию должника УК на общий доступ, а само УК не имеет право выкладывать сведения по своему же должнику. Или надо будет в правило ввести практику, что обязанность по работе по взыскиванию долга абонента УК относиться к компетенции судебных делопроизводителей?
aminpetrovich, для судебных приставов выпустили отдельный нормативный акт, позволяющий им разглашать информацию о должниках, у УК таких полномочий нет.
--------------------
Регулярная установка обновлений безопасности защищает ваш компьютер от кариеса. Следуй за пенгвином
Это все хорошо и тема актуальная. Но вопрос в том, что деятельность по защите в данном контексте лицензируемая. Лицензии выдает ФСТЭК России. На сайте данного ведомства имеется перечень лицензиатов. Что-то в данном перечне я не увидел ООО "Информатика".
Конечно же никто не запретит инициативному человеку заниматься важной деятельностью. Но если этим заниматься непрофессионально, то какой будет результат и последствия для клиентов. Можно уточнить - какие лицензии есть у ООО "Информатика" по защите конфиденциальной информации?
aminpetrovich, для судебных приставов выпустили отдельный нормативный акт, позволяющий им разглашать информацию о должниках, у УК таких полномочий нет.
Я ж о чем: толк от того , что для одних приставо прописали эти права, не решит проблему с неплательщиками. Теперь УК-шкам, видимо придется расклеивать бумагу содержащую разъяснение: "Уважаемые жильцы дома № такой-то! Мы искренне хотели бы с Вами сотрудничать и далее по управлению Вашим домом, но в связи с тем, что в Вашем доме имеются неплательщики по предоставленным им услугам ЖКХ, мы не можем полностью удовлетоврить Ваши потребности в горячей и холодной воде, отоплению и электроснабжению, так как нам запрещено на основании такого-то закона Вам открыто предоставлять сведения о тех неплательщиках Вашего дома из-за которых возникают подобные проблемы.
Inform-2011, наличие лицензии на техническую защиту информации (ТЗИ) не гарантия качественного выполнения работ. Услуги по разработке нормативных документов, даже по теме защиты ПДн - нелицензируемый вид деятельности. В договорах может быть указано оказание информационно-консультационных услуг и поставка оборудования.
Ранее, по требованиям законодательства, наличие лицензии у оператора ПДн (читать "у всех юрлиц") было необходимым , либо оператор должен был заключить договор на ТЗИ с лицом, обладающим такой лицензией. Сейчас этого требования нет, но некоторые интеграторы пользуются неосведомленностью заказчиков и используют наличие лицензии у них как "козырь".
--------------------
Регулярная установка обновлений безопасности защищает ваш компьютер от кариеса. Следуй за пенгвином
Milli, в блоге Лукацкого была информация о возможном изменении в КоАП в 2-3 квартале 2013 года. Сейчас 10 т.р. максимальный штраф за нарушение требований законодательства по обработке ПДн.
--------------------
Регулярная установка обновлений безопасности защищает ваш компьютер от кариеса. Следуй за пенгвином