Статья

Как уберечь ПДн: рецепты для энергосбыта

Безопасность Интеграция Инфраструктура Стратегия безопасности Новости поставщиков
мобильная версия

Относительно недавно в России была принята новая редакция закона "О персональных данных". Сегодня осталось определить некоторые специфические моменты охраны приватности, дождаться выхода постановлений Правительства, наделения им полномочиями ФСБ и ФСТЭК России по проверке негосударственных систем, и понять, какие технические меры следует принять, чтобы системы персональных данных соответствовали закону. Решение этих вопросов важно для всех отраслей, которые работают в сфере обслуживания физических и юридических лиц. Есть свои особенности и в области энергосбыта.

Новая редакция закона "О персональных данных" принята, все точки над i расставлены, правила определены. Остается лишь ждать документов Правительства, которые завершат процесс "вписывания" проблем охраны приватности в реалии российской жизни: определения уровней защищенности персональных данных (ПДн), требований к защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн), исполнение которых обеспечит установленные уровни защищенности, полномочий ФСБ и ФСТЭК по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных в ИСПДн, не являющихся государственными, и тех видов деятельности, где с учетом значимости и содержания обрабатываемых ПДн необходим контроль этих ведомств.


Михаил Емельянников, управляющий партнер консалтингового агентства "Емельянников, Попова и партнеры"

Крайне важным представляется то, каким образом будут реализовываться положения части второй ст. 4 Федерального закона "О персональных данных" (далее – №152-ФЗ), в соответствии с которыми государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты (НПА), касающиеся обработки ПДн. Новая редакция №152-ФЗ, к сожалению, фактически сводит на нет возможности отраслевого регулирования, которое совсем еще недавно казалось единственным возможным направлением для учета специфических особенностей деятельности в различных сферах. Полномочия различного рода отраслевых объединений операторов персональных данных в таких отраслях, как страховое дело, телекоммуникации, медицина, ЖКХ и других, сведены к определению дополнительных угроз безопасности плюс к тем, что предложат ФСБ, ФСТЭК и отраслевые министерства.

Не являются исключением в этом процессе и энергосбытовые компании. Весь набор проблем, присущих крупным операторам персональных данных, в наличии и у них. Попробуем разобраться, какие подводные камни возникают на пути реализации законодательства о персональных данных у энергетиков, и как их можно было бы решить.

Первые шаги

Представляется, что первым шагом, который в условиях фактически нового федерального закона должна сделать любая компания – это назначить лицо (физическое или юридическое), ответственное за организацию обработки ПДн. Эта новая норма закона, обязательная для всех юридических лиц, продекларирована, но плохо проработана в №152-ФЗ, в то время как у ответственного лица весьма сложные обязанности. В сферу его влияния входит, в первую очередь, осуществление внутреннего контроля над соблюдением оператором и его работниками законодательства РФ о ПДн, в том числе требований к их защите. Затем, он должен доводить до сведения работников оператора положения законодательства РФ о ПДн, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, а также организовывать прием и обработку обращений субъектов ПДн и осуществлять контроль приема и обработки таких запросов.

При этом следует учитывать, что в соответствии с новой статьей 22.1 закона, лицо, ответственное за организацию обработки персональных данных, должно получать указания непосредственно от исполнительного лица организации (чаще всего – генерального директора) и подотчетно только ему. Поэтому вряд ли стоит перекладывать эту проблему на системного администратора, инженера отдела автоматизации или инспектора по кадрам, как это часто делают в российских компаниях.

Ответственным за организацию обработки персональных данных может быть назначено и юридическое лицо, с которым необходимо будет заключить соответствующий договор.

ИСПДн для энергетиков

Следующий шаг на пути достижения соответствия требованиям законодательства – инвентаризация информационных систем, систематизированных собраний и картотек энергосбытовой компании, содержащих сведения о субъектах. Обработка ПДн именно в этих базах регулируется новой редакцией закона.

К информационным системам, содержащим и обрабатывающим персональные данные, помимо учетной системы, выполняющей функции биллингования предоставленной потребителям электроэнергии, должны быть отнесены системы кадрового и бухгалтерского учета; сайты, на которых созданы личные кабинеты клиентов-физических лиц, а также почтовые серверы компании.

Если обработка жалоб и обращений потребителей электроэнергии ведется с использованием средств вычислительной техники, эти компьютеры и офисные приложения также должны рассматриваться как ИСПДн, так как в соответствии с законом в них входят обеспечивающие обработку ПДн информационные технологии и технические средства.

В энергосбытовой компании имеются персональные данные работников компании, клиентов-физических лиц, акционеров и аффилированных лиц, субъектов, которые являются работниками предприятий-контрагентов (потребителей-юридических лиц, партнеров, сервисных организаций и т.д.) и представителей органов власти, с которыми взаимодействует компания (надзорных органов, органов власти и муниципального управления, регуляторов и т.д.).

Обработка эти сведений производится, как правило, в различных целях, на различных основаниях и в различных информационных системах.