Спецпроекты

Как уберечь ПДн: рецепты для энергосбыта

Безопасность Интеграция Инфраструктура Стратегия безопасности Новости поставщиков
Относительно недавно в России была принята новая редакция закона "О персональных данных". Сегодня осталось определить некоторые специфические моменты охраны приватности, дождаться выхода постановлений Правительства, наделения им полномочиями ФСБ и ФСТЭК России по проверке негосударственных систем, и понять, какие технические меры следует принять, чтобы системы персональных данных соответствовали закону. Решение этих вопросов важно для всех отраслей, которые работают в сфере обслуживания физических и юридических лиц. Есть свои особенности и в области энергосбыта.

Затем необходимо определить цели обработки персональных данных и все те категории персональных данных, которые обрабатываются в ИСПДн, и оценить правомерность их обработки. №152-ФЗ очень жестко требует, чтобы операторы обрабатывали только те персональные данные, которые отвечают заранее сформулированным целям. Может оказаться, что некоторые сведения о гражданах, собранные оператором, являются излишними по отношению к определенным целям, а их обработка является неправомерной. Так, требует тщательного обоснования обработка сведений о лицах, проживающих совместно с владельцем жилья или ответственным квартиросъемщиком, практикуемая некоторыми энергосбытовыми компаниями. На тарификацию отпущенной электроэнергии эти данные, как правило, влияния не оказывают, и их истребование может быть оспорено в суде.

После уточнения правомерности обработки сведений может потребоваться некоторая корректировка бизнес-процессов, связанных с обработкой персональных данных.

Когда все эти подготовительные процессы будут завершены, необходимо проведение классификации ИСПДн в соответствии с трехсторонним приказом ФСТЭК, ФСБ и Минкомсвязи от 13.02.2008 г. №55/86/20 и документальное (в форме актов) оформление ее результатов. До выхода постановления Правительства, которое определит уровни защищенности, по разъяснениям регуляторов следует руководствоваться именно этим приказом. Перед классификацией также стоит продумать о снижении класса ИСПДн, например, за счет обезличивания данных (для этого достаточно, например, вместо ФИО потребителя в биллинговой системе использовать номер лицевого счета) или сегментирования ИСПДн на несколько частей с использованием сертифицированных межсетевых экранов, что в некоторых случаях позволяет каждой из подсистем присвоить более низкий класс и снизить затраты на их защиту.

Для каждой ИСПДн необходимо определить угрозы безопасности в соответствии с методическими документами ФСБ и ФСТЭК и оформить результаты в виде модели (моделей) угроз.

Новым требованием №152-ФЗ является необходимость разработки и опубликования политики оператора в отношении обработки персональных данных. Причем закон требует, чтобы к документу, определяющему политику оператора и сведениям о реализуемых требованиях к защите персональных данных, был обеспечен неограниченный доступ, причем, если сбор персональных данных осуществляется оператором с использованием информационно-телекоммуникационных сетей (ИТКС), например, Интернета, политика и сведения о предпринятых мерах защиты должны быть опубликованы в этой сети.

Поэтому эти документы должны быть доступны в тех помещениях, где энергосбытовая компания ведет прием населения, а если сведения потребителей-физических лиц она получает через вэб-формы своих сайтов (например, личные кабинеты или системы формирования платежных документов), то политику необходимо выложить и на сайте, как это уже сделали некоторые компании.

Взаимоотношения с субъектами

У энергосбытовых компаний есть несколько особенностей, связанных с наличием законных оснований на обработку ПДн определенных категорий субъектов.

Первая заключается в том, что во многих случаях между предприятием и его клиентами отсутствуют договоры о предоставлении услуг. В то время как основанием для обработки ПДн физических лиц, помимо их согласия, могут быть только договор, стороной которого является субъект, или выполнение возложенных законодательством на оператора функций, полномочий и обязанностей.

Тем не менее, даже при отсутствии договоров между сбытовыми компаниями и клиентами-физическими лицами или согласий субъектов, их персональные данные обрабатываются поставщиками энергии. При этом некоторые компании идут по пути заключения договоров на энергообеспечение непосредственно с потребителями, но сталкиваются с нормой ч.7 ст.155 Жилищного кодекса, предусматривающей, что собственники помещений в многоквартирном доме, где нет ТСЖ или ЖСК, и управление которым осуществляется управляющей организацией, должны вносить плату за коммунальные услуги этой управляющей организации, а не поставщику ресурсов.

Также не стоит забывать о праве доступа субъекта к своим персональным данным и сведениям, имеющим значение для обеспечения его законных интересов, и особенностях раскрытия информации об акционерах и аффилированных лицах акционерных обществ. С одной стороны, необходимо обеспечить выполнение положений закона, касающихся раскрытия и обязательного опубликования сведений, с другой – не распространять те категории ПДн, которые законами не предусмотрены.

Серьезные сложности вызывает обоснование обработки ПДн представителей контрагентов, которые должны быть уведомлены о начале обработки их данных оператором или своим работодателем.

Особую проблему создает использование энергосбытовыми компаниями биллинговых систем для тарификации потребленной электроэнергии. №152-ФЗ обуславливает принятие решений исключительно на основании автоматизированной обработки персональных данных рядом обязательных условий, главным из которых является наличие согласия субъекта персональных данных в письменной форме, установленной законом. Оператор персональных данных также должен разъяснить порядок принятия такого решения и возможные юридические последствия, порядок защиты субъектом ПДн своих прав и законных интересов, а также предоставить субъекту возможность заявить возражение против такого решения. Вряд ли удастся найти большое количество энергосбытовых компаний, именно таким образом урегулировавших свои отношения с клиентами.

Еще один сложный вопрос – обеспечение конфиденциальности ПДн. В конце января этого года за рассылку счетов в открытом виде был привлечен к административной ответственности один из топ-менеджеров "Воронежской энергосбытовой компании". Результат не заставил себя ждать. Уже с августа 2011 года все счета доставляются потребителям в запечатанном виде, для чего было закуплено и установлено соответствующее оборудование. Спрос рождает предложение. Одна из крупнейших мировых компаний, специализирующихся на полиграфическом оборудовании для оформления расчетов, предложила российскому рынку специальные технологии бесконвертной упаковки, больше знакомые по счетам, выставляемым банками, операторами связи и расчетными центрами ЖКХ.


Профиль месяца

Банки должны переходить на односкоростную архитектуру

Дмитрий Гарбар

управляющий директор компании «Новая Афина»

Технология месяца

NVMe: что нужно знать о новом интерфейсе?

«Датаемкие» решения требуют быстрых протоколов передачи данных.