OCS Distribution автоматизировала сбор согласий на распространение персональных данных через 1С

1 марта 2021 в основной закон о персональных данных 152-ФЗ были внесены несколько изменений. Основное из них – это вынесение понятия «Распространение персональных данных неограниченному кругу лиц» в отдельную статью. Если раньше было понятие «обработка», в которое входило все, от создания документов до их распространения и удаления, то теперь появился пункт закона 10.1, который обязал собирать дополнительный вид согласий с сотрудников и внешних лиц, чьи персональные данные компании публикуют на своих порталах. О том, как OCS Distribution удалось автоматизировать сбор согласий на публикацию данных, рассказывает Андрей Климов, сотрудник службы информационной безопасности.

В чем сложность?
«Распространение неограниченному кругу лиц» - это публикация данных на всех сайтах, на которых невозможно контролировать входящий трафик. Грубо говоря, это все ресурсы, куда можно зайти без регистрации и авторизации.

В OCS таких источников много: это и основной сайт компании, и площадка ZubrIT, где публикуются анонсы мероприятий и интервью, и соцсети. Первая мысль была организовать сбор согласий по-старинке, в бумажном виде. Но бегать по компании, собирать с каждого подпись на бумаге, рассказывать про изменения в законодательстве и то, зачем именно собираются соглашения, мягко говоря, неудобно. Тем более, что OCS – огромная компания с офисами в 26 городах России и Казахстане, более 2000 сотрудников, при этом многие сотрудники вовсе работают удаленно

Поэтому встал вопрос: как же исполнять требования закона?

Выход есть
Вначале мы решили продумать процесс получения согласий с сотрудников компании, протестировать его, и уже затем перенести на внешних лиц. К решению проблемы подошли специалисты из трех отделов: информационной безопасности, юридического департамента и HR. В качестве альтернативы была предложена электронная форма сбора согласий. Чтобы она соответствовала законодательству, потребовался аналог собственноручной подписи. В OCS есть возможность реализовать это при помощи простой электронной подписи: в ней в качестве открытого ключа выступает персональный логин сотрудника, а в качестве закрытого – пароль.

В качестве инструмента, в котором создавался данный функционал, была выбрана платформа 1С. Причин несколько, но основная - в 1С числятся все сотрудники компании, поэтому на ее базе легко создать базу простых электронных подписей. И в целом сделать именно такую форму проще всего.

Данные по согласиям всех сотрудников собраны в одной системе и проверяются «в один клик»

Этапы проекта
В изначальном проекте в личном кабинете было лишь две вкладки: согласие на обработку и согласие на распространение. Но после обсуждений приняли решение оставить только согласие на распространение.
Текстовку согласия утвердили сперва на бумаге с учетом требований законодательства (формулировки, возможность постфактум отказаться от предоставления разрешения), и уже потом передали в разработку.

1. Доработка типового механизма. Первым шагом разработки стала доработка типового механизма учета согласий на обработку персональных данных в конфигурации Зарплата и управление персоналом 3.1 (ЗУП).

2. Создание веб-формы. Второй этап - разработка веб-формы, которая содержит текст согласия и непосредственно таблицу с пунктами и дополнительными условиями и запретами на распространение данных. Помимо этого, для удобства мы добавили такие вещи, как:

история изменения согласий;
инструкция по использованию личного кабинета;
приложение с актуальными информационными ресурсами, на распространение персональных данных в которых предоставляется согласие.

3. Вывод печатной формы в виде pdf файла. Механизм предпросмотра позволяет сотруднику перед отправкой документа увидеть, как он будет выглядеть, и проверить его еще раз: все ли нажал, все ли отметил

4. Создание кабинета оператора. Задача оператора проста – проверять наличие согласия у того или иного пользователя и при необходимости предоставлять информацию проверяющим органам.

5. Тестирование. «Опробирование» личного кабинета происходило в несколько этапов. Сначала работу личного кабинета проверил консультант проекта. Он воспроизводил в кабинете различные «жизненные» ситуации и выявлял недочеты и моменты, которые требовали доработки. После этого к тестированию подключилась фокус-группа из PR-отдела.

Пример заполненной формы согласия с дополнительными условиями использования персональных данных

После того, как личный кабинет был сформирован в первой итерации, встала задача реализовать механизм подписания. Была разработана форма штампа и личный кабинет ушел на тестирование. Параллельно шла доработка визуальной составляющей, и в конечном итоге кабинет приобрел такой вид:

Шапка с указанием персональных данных пользователя, которые подгружаются напрямую из базы пользователей 1С (ЗУП). Доступ происходит через указание ключевых данных пользователя.
Таблица с видом персональных данных, которые субъект предоставляет для распространения с учетом требований законодательства (с возможностью разрешать использование только определенных данных, отзывать согласие полностью, добавлять особые условия).
Основной перечень открытых ресурсов компании, чтобы человек знал, согласие на распространение на каких сайтах и ресурсах он дает. Для удобства он был вынесен в приложение и в подписанном файле приложение идет как дополнение к основному согласию.

Итоги

1. Любой сотрудник имеет доступ к истории предоставленных согласий и может при необходимости обновлять их.
2. Контролировать предоставление соглашений легко - сервис из 1С передает данные по всем заполненным согласиям в Power BI, где формируется удобный для пользователей отчет.

Отдельная благодарность за помощь как в реализации проекта, так и в подготовке данной статьи выражается консультанту 1С Патимат Саидовой и инженерам-программистам 1С.