Ранее статья имела название "Психометрические данные, ИСПДн и манипуляция сознанием"

Уважаемые читатели!

В прошлых статьях автора[1] говорилось о том, что в рамках различного рода международных программ научно-технического содействия значительная часть государственных служащих прошла стажировку за рубежом.

Ход перестроек/ реформ/ модернизаций/ разрушений в России показывает, что иностранные геополитические интересы реализуются непосредственно российскими кадрами, прошедшими зарубежные стажировки.

«Кадры решают всё», в том числе, используя административный ресурс, привносят в нашу жизнь чуждые, не апробированные временем и не адаптированные к российским национальным особенностям, иностранные модели, стандарты и другие «заморские сливки». При этом редко кто из этих самых кадров понимает или обращает внимание на исходные и промежуточные процессы, приводящие к получению «сливок», как к конечному продукту.

Одним из привнесённых новшеств в области гражданских прав и свобод является уже успевшая набить оскомину обработка персональных данных и обеспечение их безопасности.

Действия «инициаторов» новшеств зачастую оказываются несогласованными. Одни вводят порядок обработки и защиты персональных данных, а другие, не обращая на него внимания или даже не зная о существовании такого порядка, - иностранные модели и стандарты.

Обязанность по поиску выхода из возникающих при этом правовых коллизий, как показывает практика, возлагается не на юристов, не на службы безопасности, не на «инициаторов», а на не имеющих административного ресурса специалистов по технической защите информации.

Обработка персональных данных в системах подбора персонала

В деятельности кадровых служб (отделы кадров предприятий, кадровые агентства, хэд-хантинговые компании, тренинговые компании) активно используется метод психологического тестирования[2] персонала. Психологическое тестирование (psychological testing) — термин зарубежной психологии, обозначающий процедуру установления и измерения индивидуально-психологических отличий. В отечественной психологии чаще употребляется термин «психодиагностическое обследование». Правила организации и проведения психологического тестирования описываются в рамках соответствующей области психологии — психологической диагностики.

«Практика тестирования кандидатов при приёме на работу, широко распространенная на Западе, имеет там уже полувековую историю и используется при найме практически любого персонала. Выходя на наш рынок, иностранные компании привнесли в российские реалии эту методику отбора соискателей»[3].

С целью сокращения времени, обработка и интерпретация результатов тестирования выполняются с использованием информационных систем. В информационные системы вносятся общедоступные персональные данные тестируемых граждан и результаты их ответов на заданные в опросниках вопросы.

Российское законодательство в области персональных данных основывается, в том числе на международных договорах Российской Федерации. Директивой Европейского Парламента и Совета Европейского Союза от 24.10.1995 № 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» определено, что «персональные данные» означают любую информацию, относящуюся к определенному или определяемому физическому лицу («субъекту данных»); определяемым является лицо, которое может быть определено, прямо или косвенно, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

В соответствии с данной формулировкой установление и измерение индивидуально-психологических отличий субъекта персональных данных, является определением признаков, характерных для психологической идентичности данного субъекта. Соответственно результаты тестирования – это признаки психологической идентичности или персональные данные.

Попробуем классифицировать такие персональные данные.

Опросники для личностной оценки персонала - это эффективная психодиагностическая методика[4], позволяющая определить наличие и выраженность определенных личностных особенностей и качеств у оцениваемого сотрудника, в том числе:

- психологический тип личности;

- склонность человека к проявлению определенного типа поведения;

- основные мотивы и ценности, влияющие на поведение человека;

- добропорядочность (в целях предотвращения хищений, воровства и прочих противоправных действий);

- поведение в реальных ситуациях и проявленные качества.

Таким образом, использование методики для оценки персонала – это диагностическое обследование конкретного объекта с целью получения знаний об индивидуальных психологических особенностях психической деятельности, психического состояния, межличностных и личностно-социальных отношений.

Психодиагностика определяется как область психологической науки, разрабатывающая методы выявления и измерения индивидуально-психологических особенностей личности. Она измеряет определенные качества, ставит диагноз и на этой основе определяет положение диагностируемого среди других, исходя из выраженности изучаемых особенностей. Психодиагностические методы достаточно быстро и надежно обеспечивают сбор данных для формирования психологического диагноза. Они предполагают обязательное сравнение, сопоставление получаемых данных, на основе которого и может быть сформулировано заключение о выраженности психологических или психофизиологических особенностей одного испытуемого или групп[5].

Заметим, что отклонение психического состояния от заданных методиками пределов, позволяет судить о психическом расстройстве тестируемого субъекта.

Закономерности нарушения психической деятельности являются предметом исследования общей психиатрии, как области медицины. Законом РФ от 02.07.1992 № 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании» установлено, что в психиатрическую помощь включены обследование психического здоровья граждан и диагностика психических расстройств.

Другими словами, обследование психического здоровья и диагностика психических расстройств относится к области медицины. Психическое здоровье рассматривается значительно шире здоровья в общеупотребимом медицинском смысле слова[6].

ФЗ РФ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» установлено, что сведения, полученные при медицинском обследовании граждан, являются врачебной тайной. В контексте российского законодательства в области персональных данных такие сведения рассматриваются как сведения о состоянии здоровья. ФЗ РФ от 27.07.2006 № 152-ФЗ «О персональных данных» относит сведения о состоянии здоровья к специальным категориям персональных данных.

Таким образом, результаты тестирования могут быть классифицированы как сведения о состоянии здоровья или персональные данные специальных категорий. Информационные системы, в которых выполняется обработка сведений о состоянии здоровья субъектов персональных, являются информационными системами персональных данных (ИСПДн). В соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 такие ИСПДн могут быть классифицированы как специальные ИСПДн, методы и способы защиты персональных данных в которых соответствуют типовым ИСПДн класса «К1». Нарушение заданной характеристики безопасности обрабатываемых персональных данных в такой ИСПДн может привести к значительным негативным последствиям для субъектов персональных данных.

Практика показывает, что психологическое тестирование с использованием информационных систем может выполняться непосредственно кадровой службой или же сторонней организацией, оказывающей такие услуги.

Одним из лидеров среди организаций, предоставляющих в России услуги по тестированию персонала, является ООО «ОнТаргет» («OnTarget Psihological», далее - «OnTarget»), которая предоставляет для государственных и бизнес-структур неисключительное право использования компьютерного сервиса www.genesysonline.net.

Демо-версия сервиса, которую предлагает ООО «ОнТаргет» на своём сайте, выглядит иначе.

И видимо именно на «боевой» вариант этой версии, а не на компьютерный сервис www.genesysonline.net получено свидетельство об официальной регистрации программы для ЭВМ от 13.08.2004 № 2004611874.

Генерируемые сервисом отчёты по результатам тестирования являются «строго конфиденциальными». Полный отчёт занимает 12 страниц и с «лихвой» выдаёт данные о психологических особенностях тестируемого.

Компания ООО «ОнТаргет» зарегистрирована 5.03.2004 Межрайонной инспекцией Министерства Российской Федерации по налогам и сборам № 46 по г. Москве[7].

Основной вид деятельности: Деятельность, связанная с использованием вычислительной техники и информационных технологий (деятельность по созданию и использованию баз данных и информационных ресурсов). Обращает внимание, что ни о каких услугах по тестированию персонала речь не идёт. Мало того, на сайте компании говорится о том, что «профиль ООО «ОнТаргет» разработка и адаптация к использованию в России зарубежных методик оценки персонала, таких как тесты профессиональных способностей, личностные опросники, мотивационные опросники, опросники по оценке компетенций и др.»

Вид собственности: частная собственность. (Прим. – интересно кому же принадлежит контрольный пакет акций компании).

ОГРН: 1047796142382;

ИНН: 7706526447;

Адрес (местонахождение) юридического лица[8] претерпевал изменения:

119049, Москва, ул. Б. Якиманка, 39/20, стр.1;

123290, Москва, ул. 2-я Магистральная, 8 «а», стр.1.

На момент написания статьи ООО «ОнТаргет» размещено по адресу: Москва, ул. Бутырская, д. 75/74, стр. 1 , оф. 224.

Телефон: +7 (495) 663-20-82;

Сайт: http://www.ontarget.ru (www.psytech.com/RU).

Сведения о лицензиях ООО «ОнТаргет» на сайте не представлены.

По адресу Москва, ул. Бутырская, д. 75 также размещается компания «Development Technologies» («DeTech»)

Телефон: +7 (495) 663-20-62; +7 (495) 663-20-82

E-mail: info@detech-group.com

Сайт: www.de-tech.ru (http://www.detech-group.com/).

Читатель возможно обратил внимание на указанные в скобках сайты и у «ОнТаргет» и у «Detech». Независимо от домена *.ru или *.com интернет-браузер открывает один и тот же сайт соответствующей компании, что говорит о связанности сайтов. Не исключено, что сервис "ОнТаргет" и "Генезис" - это одно и тоже.

«Detech» является представителем в России и странах СНГ компании «Assessment and Development Consultants ltd» [9] («A&DC»), Великобритания, и «Psytech International»[10] («Psytech»), Великобритания[11]. В своей работе «Detech» использует как собственные разработки, так и технологии своих западных партнеров компаний «A&DC» и «Psytech», в том числе онлайн-решения по оценке и развитию персонала (On-line Assessment & Development Solutions). Как сообщается на сайте группы «Detech» она была создана в 2004 году для представления международных практик оценки и развития персонала.

Автором не смог найти в сети «Интернет» данные о включении «DeTech» в Единый государственный реестр юридических лиц Российской Федерации.

«Detech» предлагает своим клиентам большой выбор как стандартных, так и специально разработанных под потребности клиента инструментов и программ, среди которых — Центры оценки и развития, управление эффективностью работы, моделирование компетенций, управление карьерой и планирование человеческих ресурсов, программы по обучению и развитию.

«Detech» с целью внедрения новых продуктов проводит исследования в области социальной психологии, организационной психологии и психометрики.

ООО «ОнТаргет» входит в состав группы «DeTech», адресные и телефонные данные «DeTech» и ООО «ОнТаргет» совпадают. Поиск информации о группе показал, что директором по развитию группы «DeTech» [12], управляющим партнёром «DeTech»[13] и генеральным директором ООО «ОнТаргет» является одно и тоже лицо - Светлана Симоненко.

Фактически это означает, что ООО «ОнТаргет» является подразделением группы «DeTech», через которое производится продажа в России психометрических методов оценки персонала и онлайн-тестирования, разработанных « A&DC» и «Psytech».

В Украине с 2003 года эксклюзивным представителем « A&DC» и «Psytech» является компания «HR Technologies Ltd» («HRT»).[14] По мнению автора, в отличие от сайта ООО «ОнТаргет», сайт компании «HRT» более правдиво отвечает на возникающие вопросы. В частности только на этом сайте сказано следующее: «GeneSys — это экспертная интернет-система для проведения оценки и развития персонала организации с помощью профессиональных тестов способностей и профессиональных личностных опросников, разработанных компанией Psytech International. Электронная система GeneSys, предоставляет возможность полностью автономно пользоваться данными инструментами оценки в режиме он-лайн».

Анализ ресурсов www.genesysonline.net и http://www.psytech.com с использованием сервиса www.2ip.ru (whois) показал, что они размещены в г. Клаустер, Великобритания.

Таким образом, теми, кем в буквальном смысле «насаждается» практика тестирования персонала должно быть учтено следующее:

В отношении он-лайновой интернет-системы «GeneSys»:

- Система находится за пределами Российской Федерации, на сервере в Великобритании, что предполагает трансграничную передачу персональных данных;

- Система разработана и принадлежит иностранному юридическому лицу «Psytech International». Выполняются ли данной компанией требования по организационной и технической защите ПДн в ИСПДн «GeneSys», а также степень ответственности компании за нарушение обработки ПДн возможно только после изучения законодательства Великобритании в области персональных данных и после получения русскоязычных копий необходимых документов;

- в системе обрабатывается фамилия, имя, пол, год рождения тестируемого и результаты пройденных им тестов, интерпретация которых позволяет судить о состоянии психического здоровья тестируемого. Работники конкретного юридического лица однозначно идентифицируются в системе. Система является специальной ИСПДн, методы и способы защиты персональных данных в которой должны соответствовать типовой ИСПДн класса «К1»;

- сведения об обеспечении безопасности персональных данных, обрабатываемых в ИСПДн «GeneSys», на сайте компании ООО «ОнТаргет», продающей услуги по он-лайн тестированию, не представлены;

- на сайте Роскомнадзора, в «Реестре операторов, осуществляющих обработку персональных данных» [15], сведения о компании ООО «ОнТаргет» отсутствуют. Компания ООО «ОнТаргет» является не только эксклюзивным представителем иностранного юридического лица, но и фактически его подразделением. С учётом этого возникают явные сомнения в легитимности деятельности компании и в выполнении требований законодательства в области персональных данных, как этой компанией, так и иностранным юридическим лицом, делегировавшим ей полномочия по предоставлению доступа к ИСПДн.

В оношении оператора ИСПДн «GeneSys»:

Внесение ПДн в ИСПДн «GeneSys» осуществляется лицом, получившим доступ к системе по логину и паролю. В соответствии с ФЗ РФ от 27.07.2006 № 152-ФЗ «О персональных данных» это лицо и будет являться оператором системы, которое поручило обработку ПДн другому лицу. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ РФ от 27.07.2006 № 152-ФЗ, и нести ответственность перед оператором. Оператор несёт ответственность перед субъектом персональных данных за действия указанного лица.

Мягко говоря с учётом возникающих сомнений, принятие риска ответственности перед субъектами персональных данных и перед надзорными органами выглядит неоправданным.

Автор считает, что инициатива о проведении он-лайн тестирования своих сотрудников во многом показательна для организаций, в которых Система защиты персональных данных либо не создана, либо находится в стадии формирования, а также для организаций, которые не учитывают риски нарушения законодательства в области персональных данных. Академик Российской академии естественных наук Игорь Викторович Смирнов — человек, которого на Западе окрестили «отцом психотронного оружия» — по поводу практики тестирования сказал следующее: «Сама идея подобных тестов нелепа — ведь вопросы пропускаются через сознание испытуемого, и выходит ложь. Такого рода опросники при тестировании одного человека гарантированно и всегда дают разный результат». Корректность тестов проверить никак нельзя [16].

Вне всякого сомнения, вопросы, связанные с полезностью и надежностью методов тестирования, должны решаться людьми, профессионально занимающимися психиатрией, психологией и психотроникой. Автор же считает, что для проверки персонала «на вшивость» и лояльность более эффективно использование методов «психозондирования».

Знание психологических особенностей человека, позволяет корректировать его поведение в направлении, заданном тем, кто имеет такое знание. Это и есть основная цель психологического тестирования.

И если сведения о состоянии физического здоровья возможно использовать для воздействия на здоровье больного пациента, то сведения о психологических особенностях тестируемого уже возможно применить для манипулирования сознанием здорового человека. И поверьте, настоящим специалистам своего дела, в том числе подготавливающих различного рода тестовые опросники, не составит труда в дальнейшем использовать возможности такого манипулипрования.

Кто будет манипулировать тестируемым: психолог, кадровые службы, конкуренты компании, в которой работает тестируемый, или иностранные разведки в отношении руководителей органов власти, зависит от того, в чьих руках окажутся результаты тестов.

Можно было бы закрыть глаза на факты такого тестирования, если бы российские топ-менеджеры не были задействованы в российских перестройках/реформах/модернизациях/разрушениях.

В Роскомнадзоре же видимо отсутствует единое мнение по поводу обработки результатов психологического тестирования, что выражается в различном отношении к такой обработке со стороны территориальных управлений этого ведомства. На этом основании разумно предположить, что кто-то из российских операторов он-лайн ИСПДн будет привлечён к ответственности.

По мнению автора психометрические ИСПДн должны защищаться гораздо серьёзнее, чем ИСПДн "медицинские", а размещение ИСПДн, в которых обрабатываются результататы психологического тестирования российских граждан, на иностранных серверах является недопустимым.

Ответы территориальных управлений Роскомнадзора на запросы, сделанные Нефедьевым С.Г., будут опубликованы как комментарии к данной статье.

Уважаемые читатели!

Учитывая тенденции навязывания трансграничной передачи персональных данных российских граждан, а также законодательным закреплением такого навязывания, автор сознательно уходит в статье от рекомендаций по выбору законных методов и способов защиты персональных данных, адекватных описанным угрозам, оставляя «грызть эти сухари» инициаторам он-лайн тестирования персонала.

Если вас каким-нибудь образом коснулось то, о чём было сказано автором, автор предлагает высказаться на уже созданной площадке по адресу http://www.itsec.ru/forum.php?sub=6617&from=0

[1] Статьи опубликованы на портале Sec.ru: http://daily.sec.ru/authorpbls.cfm?aid=80 и на сайте «О вопросах поставки, размещения и использования ИТСНК»: https://sites.google.com/site/ugrozyib/

[2]http://ru.wikipedia.org/wiki/%D0%9F%D1%81%D0%B8%D1%85%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B5_%D1%82%D0%B5%D1%81%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

[3] http://planetahr.ru/publication/1566

[4] http://www.ontarget.ru/questionnaires.html

[5] http://www.psyarticles.ru/view_post.php?id=381

[6] «Независимый психиатрический журнал» (2-2006). Статья «Политика психического здоровья в России и её приоритеты».

[7] http://querycom.ru/company/0150320

[8] http://iskalko.ru/1047796142382

[9] http://www.adc.uk.com/

[10] http://www.psytech.com/

[11] http://www.hrm.ru/db/hrm/35B658C6C5D5A7EAC32575D9004EA4C6/tc_card.html

[12] http://delofon.ru/news/job/news_1459/

[13] http://sochi2014.com/sochi-live/news/43647/

[14] http://hrt.com.ua/contact

[15] http://www.rsoc.ru/personal-data/register/

[16] http://www.pcweek.ru/themes/detail.php?ID=64094

В качестве комментариев мнения территорриальных управлений Роскомнадзора

И где же правда?

Управление Роскомнадзора по Республике Татарстан

Нефедьев Сергей Геннадьевич Посетитель сайта 16.rsoc.ru оставил сообщение

Здравствуйте, .

---------- Пересылаемое письмо ----------

От: Посетитель сайта 16.rsoc.ru <Olsy-2002-11@yandex.ru>

К: ugsn@gsnrt.ru

А также к:

Время создания: Fri, 23 Dec 2011 10:10:12 +0400 (MSK)

Тема: Сообщение с сайта 16.rsoc.ru

Прикрепленные файлы: <none>

Посетитель сайта 16.rsoc.ru оставил сообщение:

=========================================

Здравствуйте!

В последнее время подбор персонала осуществляется с использованием информационных систем, которые позволяют осуществлять интерпретацию результатов тестирования и накопление так называемых психометрических данных.

Исходные данные:

Система, в которой происходит интерпретация психометрических данных, находится на онлайн-интернет сервисе.

Доступ к сервису предоставляется фирмой, зарегистрированной в Российской Федерации.

Сервис находится на сервере за границей Российской Федерации и принадлежит иностранному владельцу российской фирмы.

Вход в систему осуществляется под логином и паролем, однозначно определяющим юридическое лицо, заключившее договор на предоставление услуг.

Это юридическое лицо вводит в систему: Фамилия, имя, отчество, пол и результаты тестирования своих работников. Дальнейшие действия с введёнными данными (обработка) юридическому лицу фирмой не поясняются. Юридическое лицо получает сформированный информационной системой отчёт с результатами психометрического тестирования своих сотрудников в электронной форме, которую в дальнейшем распечатывает.

Прошу Вас подтвердить или опровергнуть следующее утверждение, результатом чего станет возможность выполнения необходимых требований по обеспечению прав и свобод субъектов персональных данных и по обеспечению защиты персональных данных в ИСПДн.

«Российское законодательство в области персональных данных основывается, в том числе на международных договорах Российской Федерации. Директивой Европейского Парламента и Совета Европейского Союза от 24.10.1995 № 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» определено, что «персональные данные» означают любую информацию, относящуюся к определенному или определяемому физическому лицу («субъекту данных»); определяемым является лицо, которое может быть определено, прямо или косвенно, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Опросники для личностной оценки персонала - это эффективная психодиагностическая методика, позволяющая определить наличие и выраженность определенных личностных особенностей и качеств у оцениваемого сотрудника, в том числе: психологический тип личности; склонность человека к проявлению определенного типа поведения; основные мотивы и ценности, влияющие на поведение человека; добропорядочность (в целях предотвращения хищений, воровства и прочих противоправных действий); поведение в реальных ситуациях и проявленные качества.

Таким образом, использование методики для оценки персонала – это диагностическое обследование конкретного объекта с целью получения знаний об индивидуальных психологических особенностях психической деятельности, психического состояния, межличностных и личностно-социальных отношений. Полученные знания позволяют спрогнозировать дальнейшее поведение объекта и принять решение о возможностях воздействия на это поведение в желательном направлении.

В соответствии с ГОСТ Р 52143-2003 «Социальное обслуживание населения. Основные виды социальных услуг» при предоставлении социально-психологических услуг требуется обеспечивать конфиденциальность и неразглашение информации личного характера, а также получение добровольного согласия граждан, относя результаты тестирования к профессиональной тайне. Данные требования также закреплены в «Этическом кодексе психолога-консультанта» и соответствуют контексту российского законодательства в области персональных данных.

Закономерности нарушения психической деятельности являются предметом исследования общей психиатрии, как области медицины. Законом РФ от 02.07.1992 № 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании» установлено, что в психиатрическую помощь включены обследование психического здоровья граждан и диагностика психических расстройств. При этом «Независимым психиатрическим журналом» (2-2006) психическое здоровье рассматривается значительно шире здоровья в общеупотребимом медицинском смысле слова. ФЗ РФ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» установлено, что сведения, полученные при медицинском обследовании граждан, являются врачебной тайной.

Таким образом, результаты тестирования, составляющие профессиональную тайну, конкретизированы до врачебной тайны.

Исходя из этого, результаты тестирования могут рассматриваться как сведения о состоянии здоровья.

На порядок обработки и защиты таких сведений распространяются требования российского законодательства в области персональных данных. ФЗ РФ «О персональных данных» относит сведения о состоянии здоровья к специальным категориям персональных данных. Из определений, приводимых в этом законе, следует, что ИС, обрабатывающие психометрические данные являются ИСПДн.

В соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 такие ИСПДн могут быть классифицированы как специальные ИСПДн класса «К1». Нарушение заданной характеристики безопасности обрабатываемых персональных данных в такой ИСПДн может привести к значительным негативным последствиям для субъектов персональных данных.

С уважением, Нефедьев С.Г.

Добрый день Сергей Геннадьевич!

Направляем Вам ответ на заданный Вами вопрос.

С уважением и наилучшими пожеланиями Нафис Гишкуллович Талипов,

начальник отдела по защите прав субъектов персональных данных

и надзора в сфере информационных технологий

Управления Роскомнадзора по Республике Татарстан (Татарстан).

Т./ф.: (843) 228-59-06

E-mail: onopd@gsnrt.ru

Ответ Нефедьеву Сергею Геннадьевичу

На заданный Вами вопрос сообщаем следующее.

Согласно законодательству Российской Федерации в области персональных данных обязанности оператора в области персональных данных прописаны в главе 4 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» (с изменениями от 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г.; далее - Федеральный закон «О персональных данных»).

Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных определены в статье 16 Федерального закона «О персональных данных».

Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом «О персональных данных» определены статьей 18.1.

Согласно части 2 статьи 18.1 Федерального закона «О персональных данных» оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Согласно части 4 статьи 18.1 Федерального закона «О персональных данных» оператор обязан представить документы и локальные акты, указанные в части 1 статьи 18.1, и (или) иным образом подтвердить принятие мер, указанных в части 1 статьи 18.1, по запросу уполномоченного органа по защите прав субъектов персональных данных.

Меры по обеспечению безопасности персональных данных при их обработке определены статьей 19 Федерального закона «О персональных данных».

Согласно части 4 статьи 19 Федерального закона «О персональных данных» состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 статьи 19 требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий (до 1 июля 2012 года ожидается выход новых нормативных правовых актов ФСТЭК и ФСБ России).

Согласно части 8 статьи 19 Федерального закона «О персональных данных» контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Особенности обработки биометрических персональных данных и трансграничной передачи персональных данных определены соответственно статьями 11 и 12 Федерального закона «О персональных данных».

Согласно части 1 статьи 15 Федерального закона «О персональных данных» обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

В настоящее время законодательством Российской Федерации не определен(ы) оператор(ы), на которого(ых) возложены функции по обработке психометрических данных без уведомления уполномоченного органа по защите прав субъектов персональных данных, не определены полномочия, обязанности и ответственность в области обработки психометрических данных. По инициативе государственных органов, органов местного самоуправления, заинтересованных министерств и ведомств (в пределах своих полномочий) должны быть разработаны предложения в области обработки психометрических данных, соответственно должны быть внесены изменения в действующее законодательство Российской Федерации установленным порядком (федеральным законом).

Обработка психометрических данных физических лиц в ИСПДн с возможностью принятия решения, порождающего юридические последствия в отношении субъекта персональных данных с нарушением вышеперечисленных требований, может привести к значительным негативным последствиям для субъекта (субъектов) персональных данных.

Управление Роскомнадзора по Нижегородской области

Вопрос:

Здравствуйте!

В настоящее время проводится психометрическое тестирование госслужащих, сотрудников правоохранительных органов, сотрудников коммерческих организаций с целью оценки личностно-деловые качества работника, типа поведения в рабочих ситуациях, в команде, направления развития карьеры, а также оценки способностей работника понимать и интерпретировать числовую и вербальную информацию.

Психометрическое тестирование выполняется с использованием стационарных средств автоматизации или "онлайн". При тестировании указывается ФИО работника, его год рождения.

Прошу Вас официально проинформировать меня по следующим вопросам:

1. Являются ли результаты тестирования сведениями о здоровьи или косвенно позволяют выявить такие сведения;

2. Будет ли являться ИСПДн, автоматизированная система, в которой обрабатываются психометрические данные;

3. Кто будет являться оператором ИСПДн, в которой сведения обрабатываются "онлайн";

4. Будет ли входить в состав "онлайн"-ИСПДн клиентская ПЭВМ, с которой производится тестирование;

5. Требуется ли разработка Модели угроз для "онлайн"-ИСПДн;

6. Какие требования необходимо предъявить к юридическому лицу, предоставляющему сервис "онлайн"-ИСПДн (http://www.ontarget.ru/), если оно предоставляет возможность использования сервиса www.genesysonline.net.

Сообщение более общего содержания было мною адресовано также в ЦА Роскомнадзора, г. Москва.

Для справки:

http://www.npar.ru/pub/argreg/2.htm;

http://www.dvabop.narod.ru/public/erofeev/erof_32.htm

С уважением, Нефедьев С.Г.

Ответ:

Комментарии оппонентов и ответы автора на форуме http://www.itsec.ru/forum.php?sub=6617&from=30

Malotavr

Прочитал вашу статью. Покритикую осторожно, ибо в этой области мы все неспециалисты.

IMHO, вы делаете две ошибки:

а) смешиваете психологию и психиатрию;

б) забываете про цели обработки ПД;

в) забываете о принципе добросовестности.

Если посмотреть на разделы, которые включает в себя предмет психологии, то только клиническая психология, и то только косвенно имеет отношение к здравоохранению и здоровью. Все остальное (тот же уровень IQ, профпригодность и т.п.) к здоровью человека никак не относится.

Но, что более важно - это заявленная цель психометрии. Например, если заявленной целью психологического тестирования является нечто, отличное от диагностики психических заболеваний, и применяемые тесты не имеют применения в психиатрии - нет никаких оснований утверждать, что в ходе подобной психометрии обрабатываются сведения о здоровье.

Ну и про "отмазки" - это не вы будете доказывать, что вы не верблюд, а проверяющий должен доказать, что вы оборабатываете сведения о здоровье. При этом он не является обладателем специальных знаний, и не имеет права самостоятелдьно делать подобные выводы. А привлечение к проверкам специалистов предметной области - пока что экзотика.

«Знание психологических особенностей человека, позволяет корректировать его поведение в направлении, заданном тем, кто имеет такое знание. Это и есть основная цель психологического тестирования».

Пруфинк, пожалуйста.

Нефедьев С.Г.

1. http://ru.wikipedia.org/wiki/%D0%9F%D1%81%D0%B8%D1%85%D0%BE%D0%B4%D0%B8%D0%B0%D0%B3%D0%BD%D0%BE%D1%81%D1%82%D0%B8%D0%BA%D0%B0

Варианты использования психодиагностических данных:

• Данные используются психодиагностом (например, для психокоррекционной работы)

2. http://ru.wikipedia.org/wiki/%D0%9F%D1%81%D0%B8%D1%85%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D0%BA%D0%BE%D1%80%D1%80%D0%B5%D0%BA%D1%86%D0%B8%D1%8F

Психологическая коррекция (Психокоррекция) — один из видов психологической помощи (среди других — психологическое консультирование, психологический тренинг, психотерапия); деятельность, направленная на исправление особенностей психологического развития, не соответствующих оптимальной модели, с помощью специальных средств психологического воздействия.

3. http://ru.wikipedia.org/wiki/%D0%9F%D1%81%D0%B8%D1%85%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C

Виды психологической помощи:

• Психотерапия (направлена на решение глубинных личностных проблем и глубинную трансформацию личности), бывает клиническая и неклиническая.

• Психиатрия (медицинский вид помощи, использование медикаментов, либо гуманистическая психиатрия, которая рассматривает человека не как больного, а как человека с другим мировоззрением, использует медикаменты ограниченно, следовательно, идет по психотерапевтическому пути).

• Психокоррекция (восстановление нормы, как с т.з. эмоционального состояния, так и с т.з. личностных черт).

Тем не менее, я не из головы взял такое жесткое определение. Приведу, конечно же. На всякий пожарный, посмотрите всё-таки 12-и страничный отчет по результатам тестирования. "Там пахнет" не только профориентацией.

http://intelligence.su/lib/00019.htm

Тесты интеллекта - это не просто набор заданий на раскрытие значений слов, решение арифметических примеров и сложение узоров из кубиков. Это — при определенных условиях - мощное средство манипулирования жизнью общества, блокирующее одно из важнейших прав личности - право быть умным (добавим: быть умным на свой манер).

Malotavr

Я не спорю с тем, что психолог может влиять на обследуемого. Но это, согласитесь, недостаточное основание, чтобы утверждать, что такое возхдействие непременно является целью психологического тестирования.

Нефедьев С.Г.

Если есть возможность влияния, то нельзя исключать, что те, кто непосредственно работают с сервером за пределами РФ, не используют такую возможность.

Поэтому цель у тестируемого одна - пройти тест и получить работу (как минимум);

Цель у работодателя другая, и он как оператор её декларирует.

Цель того, кто предлагает услугу - получить бонус;

Цель того, кто непосредственно способен бесконтрольно интерпретировать полученные результаты - нигде и никем не офишируется. И это может быть опасно.

Статья является своего рода предупреждением об использовании такой возможности в срезе ИТР/ИСПДн/Психология/Манипуляция сознанием/ Психотроника.

Для сокращения темы пришлось не рассматривать весь спектр целей, а "сгустить" краски, выделив главную проблему. В целом, замечание о корректности считаю правильным.

"Ну и про "отмазки" (это не вы будете доказывать, что вы не верблюд, а проверяющий должен доказать, что вы оборабатываете сведения о здоровье. При этом он не является обладателем специальных знаний, и не имеет права самостоятелдьно делать подобные выводы. А привлечение к проверкам специалистов предметной области - пока что экзотика").

Лучший контролер - это совесть пассажира))).

Если законы не описывают какой-либо порядок или явление - это не означает, что такой порядок или явление отсутствует. До некоторого времени и вопросы ПДн в законодательстве "провисали". Всему своё время. Законы пишут люди, и как показывает практика, эти люди не всегда хорошо ладят друг с другом.

Если существует угроза, но чиновники её не оценили и не систематизировали, это не значит, что о существовании такой угрозы говорить нельзя. Мало того, если не предусмотрен механизм защиты от такой угрозы - это не значит, что от угрозы ненужно защищаться.

Кратко - итог.

Таким образом, Государство в лице РКН, признавая, что при обработке психометрических данных могут быть нарушены права и свободы граждан, говорит о том, что если будет инициатива государственных органов, органов местного самоуправления, заинтересованных министерств и ведомств (в пределах своих полномочий), то значит будут внесены соответствующие поправки в законодательство и это даст возможность соблюдения прав и свобод.

Страна подсела на аромосмеси. ФСКН - ноль внимания, не прописаны в законах аромосмеси, как прекурсоры и наркосодержащие вещества. Не хотите аромосмеси - получите глазные капли. Реакция ФСКН - мало ли что колят в вену, в законе не прописано - вопрос не наш. Люди умирают? Угроза реализуется? Противодействие? - ноль.

Вопросы ИТСНК? Противодействие формальное, в рамках "закона".

Психометрические данные? Противодействие - ноль. Будет закон - "будем оказывать услугу по противодействию".

Проект "Универсальная электронная карта"? Угроза "слива" персональных данных граждан России за границу. Противодействие - ноль.

Предпосылки «чипизации» населения. Угроза? Противодействие - ноль.

Как там говорится?, что на зеркало пенять, коль рожа крива? Если не можете защитить население - не возмущайтесь тем, что население требует на митингах от власти реальных действий, а не оприходывания денежных средств на бестолковые прожекты.