РКН и GDPR в 2020 году

РКН и GDPR в 2020 году

Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных ( the Data Protection Ombudsman ) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН , который прошел 26 ноября 2020.

Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:

1. GDPR к деятельности российских компаний может применяться в исключительных случаях. 

2. Российский оператор, который обрабатывает ПДн европейских граждан, находясь на территории РФ, обрабатывая ПДн в целях, которые предусмотрены законом о персональных данных [152-ФЗ], под действия GDPR в данном контексте НЕ подпадает.

3. Если говорить о случаях, когда положения GDPR распространяются на российского оператора, то их можно определить как два основных и один вспомогательный. Основной: когда российский оператор имеет филиальную сеть, и она находится на территории ЕС. Вторая составляющая: это когда российские операторы действуют по поручению европейской компании и, соответственно, несут ответственность перед европейской компанией, и организация деятельности в рамках этого поручения осуществляется в соответствии с GDPR. 

4. Третий момент (вспомогательный), который может отнести деятельность российских компаний под действие GDPR - это направленность на европейского потребителя. В первую очередь это касается интернет-сайтов, оказывающих услуги по продаже товаров и предоставлению услуг. В этом случае есть ряд условий: наличие предложения на официальных языках стран ЕС и расчет в национальной валюте (например, евро). Эти критерии должны действовать одновременно.

Не много, но важно. А вот про совершенствование и гармонизацию российского законодательства с европейским (с учетом подписания протокола Конвенции 108) ничего конкретного не сказали... Ждем.

Ну, а, в целом, РКН дал много полезной информации и комментариев. Это, традиционно, аналитика про основные нарушения и жалобы субъектов, много комментариев про реестр операторов ПДн, формы согласия, договоры поручения, биометрические ПДн и локализацию баз данных. Крайне рекомендую посмотреть!

А теперь я хочу остановиться на тех моментах, на которые обратил внимание, сравнивая выступления российского и европейского (финского) надзорных органов.

1. Оба надзорных органа говорят про права субъектов ПДн, а не только про защиту и обработку ПДн. И это хорошо и правильно!

2. Европейский надзорный орган много говорит про прозрачность обработки (transparency) и выбор обоснованного основания для обработки. А вот РКН меня печалит своим подходом "берем согласие практически при любой обработке ПДн". РКН хоть и дает вполне зрелые рекомендации по сбору согласий, но своими комментариями дает операторам ложный посыл о главенстве согласия над другими формами основания для обработки ПДн. Напомню, что в ЕС согласие рассматривается скорее как самая рискованная для организации форма и его рекомендуется брать только в случае крайней необходимости, когда другие основания для обработки не применимы. 

3. Европейский надзорный орган фокусирует внимание на необходимости дополнительной защиты номера социального страхования (ID) субъектов ПДн и, зачастую, отсутствие необходимости в его сборе и обработке. А российские коллеги ничего не видят предосудительного в сборе номеров паспортов, ИНН и других уникальных идентификаторов...

4. Европейский DPA напоминает о важности DPIA (Data Protection Impact Assessment, оценка воздействия на защиту данных) и, вообще, много говорит о рисковом подходе при обработке и защите данных. А РКН, на мой взгляд, уже забыл про "оценку вреда, который может быть причинен субъектам ПДн" (152-ФЗ ст.18.1). Это важное требование никогда не обсуждалось, не комментировалась и, видимо, не проверялось...

5. РКН много и часто говорит про реестр операторов ПДн и необходимость актуализации данных, а европейский коллега даже ни разу не напомнил о необходимости передавать ему контакты DPO.

6. Европейский DPA планирует в ближайшее время выпустить ПО для самооценки соответствия требованиям GDPR для малых и средних компаний (SME). РКН про нужды SME, на моей памяти, никогда и не говорил... Но, что приятно и полезно, РКН планирует в следующем году опубликовать некий "методический портфель", содержащий шаблоны документов, актов и типовых форм по ПДн, которые смогут использовать российские операторы.

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Andrey Prozorov

Информационная безопасность в России и мире