15 ноября, четверг 08:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

"1С: ЗП и упр-ие персоналом" - автоматизированная обработка - есть решение суда

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • "1С: ЗП и упр-ие персоналом" - автоматизированная обработка - есть решение суда

    Добрый день господа!

    Случайно наткнулся на одно интересное судебное дело
    Решение суда (док)

    Суть решения в том, что суд признал обработку ПДн в «1С: Зарплата и управление персоналом» автоматизированной обработкой.

    Рекомендую всем ознакомится.
    Но некоторые момент мне непонятны, например:

    1) при анализе нормативно-правовых актов по обработке ПДн, суд вообще не рассматривает ПП687. Речь о нем есть, но в конце, но не в анализе суда об автоматизированной обработке.

    2) Из решения: «Заявитель, ссылаясь на пункты 1 и 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687, полагает, что такие действия с персональными данными, как использование, уточнение, распространение, уничтожение в отношении каждого субъекта персональных данных, осуществляются оператором при непосредственном участии человека, в связи с чем обработка персональных данных, не может быть признана Управлением Роскомнадзора по Иркутской области, как осуществляемая с использованием средств автоматизации.
    Суд считает указанные доводы несостоятельными, поскольку целью операций с персональными данными является не внесение и получение персональных данных в базу данных, а получение обработанной информации при использовании соответствующих программ.»


    «поскольку целью операций с персональными данными является не внесение и получение персональных данных в базу данных, а получение обработанной информации»

    Простите меня, а где в ПП687 сказано что обработка будет неавтоматизированной, когда помимо всего прочего, ПДн должны только вносится или получаеться в/из базы данных??

  • #2
    ИМХО действительно, в постановлении ссылаются неопределнность и выяснение термина "автоматизированная" обработка ПДн
    "Указанный Федеральный закон не раскрывает понятие обработки персональных данных с использованием средств автоматизации (автоматизированная).
    В соответствии с пунктом «с» статьи 2 Конвенции о защите личности в связи с автоматизированной обработкой персональных данных, принятой Советом Европы 28 января 1981 г. (ратифицирована Федеральным законом от 19 декабря 2005 года № 160-ФЗ) «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение."

    а о том что есть определение неавтоматизированная обработка в ПП687 скромно умалчивают
    1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
    2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
    и ссылка в законе п3. ст.4 152 ФЗ на подзаконные акты для неавтоматизированной обработки
    Статья 4. Законодательство Российской Федерации в области персональных данных
    3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
    но с другой стороны в этой статье есть и пункт 4
    4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора. так что смотря какие юристы с той и с другой стороны- те и докажут свою правоту))
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      Сенкс.

      Как говориться "сами нарвались (с)"
      Раз уж отправляете уведомление - то думайте, что отправляете...

      Ошибки оператора:
      1. Уведомление действительно подано не правильно:
      1.1. Уведомление не обязательно при обработке ПДн без использования средств автоматизации (п.8 ч.2 ст.22)
      1.2. Уведомление не обязательно при обработке ПДн относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения (п.1 ч.2 ст.22)
      1.3. Уведомление не обязательно при обработке ПДн полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п.2 ч.2 ст.22)
      2. Алгоритм работы банком не откорректирован для подведения под ПП687 - не прописана ручная проверка произведенных автоматизированных действий.
      3. Акт проверки действтиельно незачем было оспаривать. Оспаривать следовало только предписание.

      Ошибки суда:
      1. Как уже отмечалось не учтено определение ПП687, но уехали в международные нормы - а там действительно так.
      2. Но раз полезли в международные нормы, то по ПОД/ФТ, передаче в ПФ (а по ИСПДн ПФ уже есть решение суда о неавтоматизированности обработки) и ФНС банк не оператор, а обработчик (не наделен полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться - это уже решено) и соответственно не должен подавать уведомление
      3. Использование обработчиком СКЗИ никак не влияет на автоматизированность обработки
      4. Мнение ФСТЭК здесь при чем. Аргументация ФСТЭК не указана.
      5.
      Суд считает указанные доводы несостоятельными, поскольку целью операций с персональными данными является не внесение и получение персональных данных в базу данных, а получение обработанной информации при использовании соответствующих программ.
      Этого вообще не понял

      Комментарий


      • #4
        Сообщение от Toparenko Посмотреть сообщение
        1. Как уже отмечалось не учтено определение ПП687...
        Не совсем. ПП-687 было исследовано по существу, более того, в решении проведено исследование операций с ПД, и из него действительно следует, что некоторые операции выполняются без участия человека. Вот, напhимер:

        В ходе проведения проверки Управлением Роскомнадзора по Иркутской области установлено, что формирование расчетного документа по заработной плате после подачи команды рассчитать (путем нажатия на соответствующую опцию специалистом банка) осуществляется автоматически системой «1С: Зарплата и управление персоналом», при этом она без участия человека обращается к своей базе данных, хранящих соответствующие персональные данные субъектов, систематизирует и выдает по установленному алгоритму результат расчета. Только после этого соответствующий специалист распечатывает расчетный документ, который в дальнейшем порождает юридические последствия для субъекта.
        Т.е., в акте проверки четко прописана последовательность действий:
        1. Формирование документа, порождающие юридические последствия, начинается ПОСЛЕ действия человека
        2. Документ формуируется без участия человека
        3. После формирования документа действия человека ограничиваются его распечатыванием (о проверке или каких-то других действиях человека со сформированным документом по существу выполненной автоматически операции речь в акте не идет)
        4. Распечатанный документ порождает юридические последствия.

        Налицо использование ПД без непосредственного участия человека. А поскольку заявитель не утверждал, что проверяющий исказил последовательность действий, у суда не было оснований сомневаться в этом описании. О чем и говорится в смутившей вас фразе: "То, что бухгалтер вводит данные, вовсе не означает, что он участвует в их последующем использовании"

        Сообщение от Toparenko Посмотреть сообщение
        2. Но раз полезли в международные нормы...
        Собствено, нормы (обязательные к использованию правил) тут не применялись. Применялось отсутствующее в российском законодательстве определение - с тем, чтобы потом перейти к изучению вопроса, использовались ли в обработке ПД средства автоматизации.

        Следовательно, под автоматизированной обработкой персональных данных следует понимать действия (операции) с персональными данными включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, с использованием полностью или частично средств автоматизации
        С этим как бы никто и не спорит. А дальше в решении фигурирует процитированый мной пример операции, в которой использование ПД осуществляется "с использованием полностью средств автоматизаци" (c) - и ПП-687 действительно оказывается неприменимым.

        Так что оператор оказался сам себе злобным Буратино, а вот РКН и судья сраобтали корректно.

        Комментарий


        • #5
          В ходе проведения проверки Управлением Роскомнадзора по Иркутской области установлено, что формирование расчетного документа по заработной плате после подачи команды рассчитать (путем нажатия на соответствующую опцию специалистом банка) осуществляется автоматически системой «1С: Зарплата и управление персоналом», при этом она без участия человека обращается к своей базе данных, хранящих соответствующие персональные данные субъектов, систематизирует и выдает по установленному алгоритму результат расчета. Только после этого соответствующий специалист распечатывает расчетный документ, который в дальнейшем порождает юридические последствия для субъекта.
          На мой взгляд "нажатие на соответствующую опцию специалистом банка" и есть "непосредственное участие человека", неотделимое от процесса обработки, поскольку убери специалиста - и расчётный документ получить на выходе будет невозможно.

          Естественно они играют на определениях, в ПП РФ №687 имелась ввиду "неавтоматическая обработка".

          Далее, если продолжить взятую ими ссылку на Конвенцию, то следует задать вопрос - где там определение "автоматизированных средств"? В английском тексте закона постоянно меняются местами "automated" и "automatic". Я могу понять автоматизированные средства и в общепринятом в РФ смысле, и в смысле "средства, осуществляющие автоматическую (без участия человека) обработку".

          Теперь, в Конценции нет и определения "неавтоматизированной обработки", а в ПП №687 есть, так почему суд пользуется ГОСТом, и что выше, ГОСТ или ПП РФ?

          Комментарий


          • #6
            Сообщение от alexmib Посмотреть сообщение
            На мой взгляд "нажатие на соответствующую опцию специалистом банка" и есть "непосредственное участие человека", неотделимое от процесса обработки, поскольку убери специалиста - и расчётный документ получить на выходе будет невозможно.
            Судья принимает решение, оценивая приведенные доказательства на основании собственого внутреннего убеждения.

            1. Ответчик представил в качестве доказательства акт проверки, в котором сделаго заключение, что обработка производится ПОСЛЕ того, как нажата кнопка. Если процесс начался после того, как вы закончили свое действие, то как вы можете утверждать, что ваше действие является частью этого процесса?
            2. Заявитель даже не пытался оспорить эту формулировку и доказать, что действие человека является неотъемлемой частью этого процесса. Фактически заявитель признал, что после нажаьтия на кнопку человек участие в использованиии ПД не принимает.
            3. Не берусь делать выводы о внутренних убеждениях судьи, но я, например, не считаю нажатие на кнопку действием, существенно влияющим на результат обработки. Из описания процесса следует, что человек инициирует процесс и больше никак в нем не участвует, более того, он не предпринимает никаких действий, чтобы предотвратить негативные последствия возможных ошибок. В этих условиях я бы принял точно такое же решение, что и судья, и признал бы ваше уьверждение необоснованным.

            Отсюда мораль:
            1. Для того, чтобы применять в отношении своих систем ПП-687, нужно подготовить обоснование, из которого следует, что человек принимает участие во всех существенных операциях.
            2. Это обоснование должно демонстрировать, что участие человека достаточно для того, чтобы последнее слово в результате обработке, имеющем правовые последствия для субъекта или затрагивающем его законнве интересы, принадлежит этому человеку.
            3. Это обоснование должно быть готово и документировано до того, как придет проверка.

            В этом случае обсуждаемая ситуация была бы невозможна: проверяющему впришлось бы доказывать, что ваше обоснование ложно, а это проблематично

            Комментарий


            • #7
              Сообщение от alexmib Посмотреть сообщение
              Естественно они играют на определениях, в ПП РФ №687 имелась ввиду "неавтоматическая обработка".
              В том-то весь и фокус, что ничего подобного в ПП-687 не имелось в виду!

              Какой-то альтернативно лдаренный человек использовал в ПП-687 сорврсрчетание "без использования средств автоматизации", хотя, по существу содержащихся в постановлении норм, речь в нем идет как о ручной обработке, так и об использовании средств автоматизации.

              Сообщение от alexmib Посмотреть сообщение
              Далее, если продолжить взятую ими ссылку на Конвенцию, то следует задать вопрос - где там определение "автоматизированных средств"?
              Именно поэтому из конвенции взято только "использжование полностью или частично средств автоматизации", а эти понятия исследуются на основе ГОСТ 34.003.

              Сообщение от alexmib Посмотреть сообщение
              В английском тексте закона постоянно меняются местами "automated" и "automatic". Я могу понять автоматизированные средства и в общепринятом в РФ смысле, и в смысле "средства, осуществляющие автоматическую (без участия человека) обработку".
              Не можете. Им, конечо, следовало использовать "automated" вместо "automatic", но это не имеет ни малейшего значения. Конвенция оодинаково распространяется и на автоматическую обработку ("полностью осуществляются с применением автоматизированных средств"), и на автоматизированную обработку ("чатично осуществляются с применением автоматизированных средств")

              Сообщение от alexmib Посмотреть сообщение
              Теперь, в Конценции нет и определения "неавтоматизированной обработки", а в ПП №687 есть, так почему суд пользуется ГОСТом, и что выше, ГОСТ или ПП РФ?
              Определение в ПП-687 использует не имеющее определения в законодательстве понятие "средство автомтизации". Это понятие определено в ГОСТ 34.003, поэтому он и исследуется. Но в ГОСТ 34-003 определения связаны друг с другом, и исследовать цепочку приходится от корня - от понятия "автоматизаированная система".

              Кроме того, еще раз повторяю: в решении приведены основания, из-за которых ПП-687 к данному случаю не - а именно, приведены операции, выполняемые без участия человека.

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                Заявитель даже не пытался оспорить эту формулировку и доказать, что действие человека является неотъемлемой частью этого процесса. Фактически заявитель признал, что после нажаьтия на кнопку человек участие в использованиии ПД не принимает.
                Видимо так и есть. Интересно, изменилось бы решение суда, если бы заявитель настоял на том, что оператор визуально оценивает корректность результатов после завершения обработки?

                Как я понимаю, есть только три вида обработки - ручная, автоматизированная, и автоматическая. Ручная и автоматизированная осуществляется всегда с участием человека. Соответственно, если мы говорим о совокупности "ручная или автоматизированная" - то это тоже самое, что сказать "неавтоматическая", или тоже самое что "обработка с непосредственным участием человека".

                Откуда я это взял:
                Автоматизированный процесс - процесс, осуществляемый при совместном участии человека и средств автоматизации (ГОСТ 24.103-84 Автоматизированные системы управления. Основные положения).
                Автоматика - отрасль науки и техники, охватывающая теорию и принципы построения систем управления, действующих без непосредственного участия человека; в узком смысле — совокупность методов и технических средств, исключающих участие человека при выполнении операций конкретного процесса (Большая советская энциклопедия).
                Не знаю откуда брали определение определение "неавтоматизированной обработки", но приведённое выше определение, мягко говоря, смахивает на определение из Постановления 687. Но вы пишете:
                Сообщение от malotavr Посмотреть сообщение
                В том-то весь и фокус, что ничего подобного в ПП-687 не имелось в виду!
                В чём я не прав?

                Сообщение от malotavr Посмотреть сообщение
                Конвенция оодинаково распространяется и на автоматическую обработку ("полностью осуществляются с применением автоматизированных средств"), и на автоматизированную обработку ("чатично осуществляются с применением автоматизированных средств")
                Конвенция - да, а ПП РФ распространяется на то, что указано в его п.1 и п.2. 687 ПП РФ вводит своё определение "неавтоматизированной обработки", и оно, уж так получилось, не является обратным к "автоматизированной", а является обратным к "автоматической".

                И понятно, что на автоматизированную обработку как бы одновременно действуют и 687, и 781 постановление, но в п.3 687-го чётко прописана приоритетность 687-го ПП РФ. Так почему же суд проигнорировал приоритетную область действия 687 постановления и пошёл от обратного определения, игнорируя область действия постановления 687?

                Комментарий


                • #9
                  Сообщение от alexmib Посмотреть сообщение
                  В чём я не прав?
                  Если на пальцах, то вот в чем.

                  Пусть ваша ИСПД выполняет 2 существенные (в смысле ПП-687) опреации, одну автоматически, а вторую - с участием человека. Система будет автоматизированной, но не автоматической. При этом под ПП-687 она подпадать не будет.

                  Я уже как-то писал:
                  - вся автоматическая обработка подпадает под ПП-781
                  - вся ручная обработка подпадает под ПП-687
                  - автоматизированная обработка разделяется между ПП-687 и ПП-781 в зависимости от того, участвует ли человек по всех сузщественных операциях (ПП-687) или некоторые из них выполняются без его участия (тогда это ПП-781).

                  Сообщение от alexmib Посмотреть сообщение
                  Интересно, изменилось бы решение суда, если бы заявитель настоял на том, что оператор визуально оценивает корректность результатов после завершения обработки?
                  В данном случае - думаю что нет: скорее всего, судья восприняла бы слова заявителя как наскоро придуманную отмазку.

                  Поэтому и пишу, что обосновывать применение ПП-687 нужно до проверки. В этом случае решение могло бы быть совсем иным: перед судьей стоял бы человек, которые заранее побеспокоидся о правах субъектов и необходимости их защищать, по собственной инициативе предпринял в интересах субъекта определенные меры его защиты, документировал эти меры, и спор идет по существу - правильно ли оцеил эти меры проверяющий, являются ли эти меры достаточными для того, чтобы не причинить субъекту вреда (это нужно для правильного внутреннего убеждения судьи) и являются ди они достаточными, чтобы к работе оператора можно было применить ПП-687 (а это уже формальная сторона вопроса).

                  Комментарий


                  • #10
                    Сообщение от malotavr Посмотреть сообщение
                    Я уже как-то писал:
                    - вся автоматическая обработка подпадает под ПП-781
                    - вся ручная обработка подпадает под ПП-687
                    - автоматизированная обработка разделяется между ПП-687 и ПП-781 в зависимости от того, участвует ли человек по всех сузщественных операциях (ПП-687) или некоторые из них выполняются без его участия (тогда это ПП-781).
                    Да, согласен, так точнее всего. Хотя "что-то подобное" тому, что я писал - всё же имелось ввиду. Путаница теперь возникает в общении с теми, кто эту тему не изучил - получается как бы два вида "неавтоматизированной обработки" - один в соответствии с 687 ПП РФ, второй в соответствии со всеми остальными стандартами и общепринятой практикой. А разница в требованиях к защите хоть и уменьшилась с новым Положением ФСТЭК, но всё же осталась существенной.

                    Комментарий


                    • #11
                      Есть предложения или опыт по тому, как обосновать непосредственное участие человека в операции использования ПДн в 1С или подобных системах?

                      Комментарий


                      • #12
                        Вообще-то получается "вкусное" дело

                        При ведении кадрового учета обязанностью АКБ «Радиан» (ОАО), как страхователя, является составление и своевременное представление соответствующей отчетности в Пенсионный фонд Российской Федерации.
                        В рамках соблюдения требований законодательства по предоставлению данных персонифицированного учета в Пенсионный фонд РФ заявитель на основании заключенного соглашения по электронному документообороту формирует файлы и передает персональные данные своих работников (сведения о застрахованных лицах) по телекоммуникационным каналам связи.
                        При этом оператор использует прикладную систему «1С: Зарплата и управление персоналом» и систему «Контур-Экстерн» (система защищенного электронного документооборота), которая позволяет осуществлять загрузку файлов отчетности из любой специализированной программы, представляющей возможность формирования отчетности в Пенсионный фонд РФ в форматах, утвержденных фондом.
                        Поспрошал СКБ Контур, по его продукту...

                        В результате: нет продукции ЗАО «ПФ «СКБ Контур» в реестрах СЗИ и СКЗИ... Проверки на встраивание чужих СКЗИ также нет... Инвалидность (по их утверждению) не "состояние здоровья"...

                        Плюс, помнится мне, что обработка данных в ПФ признана арбитражным судом "неавтоматизированной"...

                        Т.ч. "чем дальше в лес - тем страшнее (с)"

                        Комментарий


                        • #13
                          Сообщение от kils Посмотреть сообщение
                          Добрый день господа!

                          Случайно наткнулся на одно интересное судебное дело
                          Решение суда (док)

                          Суть решения в том, что суд признал обработку ПДн в «1С: Зарплата и управление персоналом» автоматизированной обработкой.

                          Рекомендую всем ознакомится.
                          По вопросу оказывается "еще не вечер (с)"
                          По решению кассационного суда дело направлено на новое рассмотрение в первую инстанцию
                          Первая инстанция Дата и время судебного заседания 20.09.2010, 11:00, кабинет 416А19-25289/2009 АС Иркутской области

                          Комментарий

                          Пользователи, просматривающие эту тему

                          Свернуть

                          Присутствует 1. Участников: 0, гостей: 1.

                          Обработка...
                          X