Наднях довелось поучаствовать в обсуждении результатов проверки одного операторас Управлением Роскомнадзора по КК. Впечатление об этом органе у меняиспортилось. До этого считал и надеялся, что к логичным и аргументированнымдоводам они прислушиваются.
Наосновании того, что у оператора обрабатываются ксерокопии паспортов, Роскомнадзорсделал вывод что оператор обрабатывает биометрические ПДн и выкатил предписаниео нарушениях при подаче уведомления и отсутствии согласия на обработкубиометрических ПДн.
Основным аргументом Роскомнадзора, объясняющимтакую позицию был “мы получили от руководства четкие указания категорироватьфотографии паспорта и все их копии как биометрические ПДн. Если не согласны –можете оспорить в суде”. Дополнительным озвученным аргументом было “Фотографияможет использоваться только для идентификации человека. Соответственно либо Выиспользуете и тогда это биометрия, либо вы не используете и тогда этоизбыточные данные”.
Когдаоператор, желая не вступать в конфликт и устранить нарушения малой кровью, решилуничтожить все обрабатываемые фотографии – Роскомнадзор сделал ещё более хитрыйход. Потребовали приказ и акте назвать “об уничтожении биометрических ПДн” и потексту написать соответственно. Вот такРКН подстраховывается делая спорные выводы.
Вдополнение к этому уже мелочи:
· Еслив рамках проверки был предоставлен перечень лиц допущенных к обработке ПДн, ноРоскомнадзор считает что перечень не полный, то пишут не стесняясь – “не былипредоставлены документы …, не установлен перечень лиц …”.
· Роскомнадзортак и не разобрался в термине Лицо ответственное за обработку ПДн по поручениюоператора (ЛООПДППО). Приходят к ЛООПДППО и пишут в акте нарушение – “вдоговоре с …отсутствует существенное условие об обеспеченииконфиденциальности и безопасности персональных данных при их обработке”.
