Уровни защиты персональных данных в е-поселок

Ежегодно, особенно весной или осенью, среди недовольных улучшением прозрачности в финансовых делах товариществ и усилением требовательности поселков к своевременной оплате взносов и начислений возникают нездоровые инициативы дисредитировать рациональный и прозрачный учет собираемости средств в поселках. Поскольку опротестовать собственные долги еще и опубликованные в разделе Наш поселок - Наши должники такие граждане не могут, то они нередко пытаются распорстранять слухи и домыслы о незаконности избрания своих председателей, нарушениях, допущенных в ходе проведения собраний или в якобы незаконном использовании информационных систем, для выявления и изобличения должников - в частности системы Е-поселок.

Мы регулярно рассказываем председателям и всем интересующимся о правовых основаниях и принципах работы системы Е-поселок, в том числе в части соблюдения 152 ФЗ о защите Персональных данных. Но тема сложная, а обилие малограмотных садоводов  с агрессивными претензиями достаточно велико, поэтому мы решили опубликовать доступную таблицу, которая поможет разобраться в принципах разделения зон ответственности и механизмах организации защиты данных. Для адекватных и посвященных в правовое регулирование вопроса читателей эта таблица будет содержать все ответы, ну а всех прочих мы убедить, увы, не сможем никакими силами.

Основная идея:

1. Данные бывают публичные, конфиденциальные и персональные. Все они должны защищаться и все они защищаются.
2. Персональные данные бывают 1, 2, 3 категорий угроз. Данные с ФИО, базовыми контактными и идентификационными данными (т.е. те, которые могут быть в Е-поселок) относятся к 3 категории угроз, неименее защищаемой и наименее опасной категории. И хотя массивы данных в системе е-поселок и близко не подходят к пороговому значению в 10 000 записей (нет столько садоводов ни в одном садоводстве), данные 3 категории тоже нуждаются в минимальной защите. И она реализована в полном объеме.
3. Данные защищаются на разных уровнях. Дата-центр защищает от внешних атак и физического нападения, разработчик программного обеспечения разграничивает доступ разных поселков к разным базам данных, обеспечивает их независимое существование в раздельных зашифрованных областях, а сами администрации поселков для разных категорий пользователей - администраторов и рядовых пользователей - устанавливают режимы доступа в соответствии с собственными политиками  по обработке данных.
4. Организационно-программная архитектура системы Е-поселок построена таким образом, что поселок, который осуществляет обработку своих данных в  т.ч. персональных, не передает их на обработку третьим лицам. Товарищество или иное юр.лицо в соответствии с требованиями закона вправе самостоятельно определять способ обработки доверенных ему персональных данных. Оно может обрабатывать их на листочке, в блокноте, в Excel, в облачной 1С или в облачной системе Е-поселок. Е-поселок предоставляет Товариществу защищенную изолированную среду, содержимое которой (данные) находится в собственности Товарищества. Только само Товарищество имеет доступ к своим данным и определяет самостоятельно - кому включить доступ, а кому не включать. Даже техподдержка не может зайти и посмотреть на данные поселка просто так. Платформа Е-поселок выступает в качестве провайдера вычислительной среды и программного обеспечения с возможностями консультационной поддержки и автоматизированного обновления программ, устраняясь в общем случае от доступа к самим данным организации.
5. Помимо защиты данных, реализованной на уровне программно-аппаратного комплекса Е-поселок, администрация Товарищества также должна предпринять ряд действий по внутреннему регулированию режима работы с данными. И это так не потому, что Товарищество подключилось к Е-поселку, а потому, что согласно действующему законодательству любое СНТ - это оператор персональных данных. Поэтому минимум - СНТ надо встать на учет в Роскомнадзоре. А также подготовить ряд документов - в т.ч. положение об обработке персональных данных. Что будет, если этого не делать? Теоретически - штраф, на практике таких случаев мы не знаем, даже когда местные "доброжелатели" пишут жалобы в различные инстанции. Максимум - из этих инстанций приходят рекомендации и отписки.
6. Какое право Товарищество или Управляющая компания имеет обрабатывать данные собственников? Все просто: два основания. Первое связано с требованиями 217 ФЗ (реестр собственников), Второе - связано с учетом собственников как участников договоров, в которых они выступают выгодоприобретателями (на электричество, уборку снега, пользование общим имуществом и т.п.), в т.ч. - публичных договоров-оферт, не требующих подписания. Это указано в 152 ФЗ.
7. Чтобы ничего не нарушать, следует, конечно, внимательно следить за законодательством и комментариями к нему. Но также следует своевременно оформить все необходимые документы.

Файл со схемой

Мы продолжим серию публикаций и будем сообщать  о новых требованиях законодательства в этой сфере применительно для жизни садоводств.

* для фотографии "паспорта" использован фрагмент кадра из к.ф. Идентификация Борна с целью продемонстировать, как важно следить за достоверностью хранимых персональных данных.