Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных ( the Data Protection Ombudsman ) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН , который прошел 26 ноября 2020.
Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:
1. GDPR к деятельности российских компаний может применяться в исключительных случаях.
2. Российский оператор, который обрабатывает ПДн европейских граждан, находясь на территории РФ, обрабатывая ПДн в целях, которые предусмотрены законом о персональных данных [152-ФЗ], под действия GDPR в данном контексте НЕ подпадает.
3. Если говорить о случаях, когда положения GDPR распространяются на российского оператора, то их можно определить как два основных и один вспомогательный. Основной: когда российский оператор имеет филиальную сеть, и она находится на территории ЕС. Вторая составляющая: это когда российские операторы действуют по поручению европейской компании и, соответственно, несут ответственность перед европейской компанией, и организация деятельности в рамках этого поручения осуществляется в соответствии с GDPR.
4. Третий момент (вспомогательный), который может отнести деятельность российских компаний под действие GDPR - это направленность на европейского потребителя. В первую очередь это касается интернет-сайтов, оказывающих услуги по продаже товаров и предоставлению услуг. В этом случае есть ряд условий: наличие предложения на официальных языках стран ЕС и расчет в национальной валюте (например, евро). Эти критерии должны действовать одновременно.
Не много, но важно. А вот про совершенствование и гармонизацию российского законодательства с европейским (с учетом подписания протокола Конвенции 108) ничего конкретного не сказали... Ждем.
Ну, а, в целом, РКН дал много полезной информации и комментариев. Это, традиционно, аналитика про основные нарушения и жалобы субъектов, много комментариев про реестр операторов ПДн, формы согласия, договоры поручения, биометрические ПДн и локализацию баз данных. Крайне рекомендую посмотреть!
А теперь я хочу остановиться на тех моментах, на которые обратил внимание, сравнивая выступления российского и европейского (финского) надзорных органов.
1. Оба надзорных органа говорят про права субъектов ПДн, а не только про защиту и обработку ПДн. И это хорошо и правильно!
2. Европейский надзорный орган много говорит про прозрачность обработки (transparency) и выбор обоснованного основания для обработки. А вот РКН меня печалит своим подходом "берем согласие практически при любой обработке ПДн". РКН хоть и дает вполне зрелые рекомендации по сбору согласий, но своими комментариями дает операторам ложный посыл о главенстве согласия над другими формами основания для обработки ПДн. Напомню, что в ЕС согласие рассматривается скорее как самая рискованная для организации форма и его рекомендуется брать только в случае крайней необходимости, когда другие основания для обработки не применимы.
3. Европейский надзорный орган фокусирует внимание на необходимости дополнительной защиты номера социального страхования (ID) субъектов ПДн и, зачастую, отсутствие необходимости в его сборе и обработке. А российские коллеги ничего не видят предосудительного в сборе номеров паспортов, ИНН и других уникальных идентификаторов...
4. Европейский DPA напоминает о важности DPIA (Data Protection Impact Assessment, оценка воздействия на защиту данных) и, вообще, много говорит о рисковом подходе при обработке и защите данных. А РКН, на мой взгляд, уже забыл про "оценку вреда, который может быть причинен субъектам ПДн" (152-ФЗ ст.18.1). Это важное требование никогда не обсуждалось, не комментировалась и, видимо, не проверялось...
5. РКН много и часто говорит про реестр операторов ПДн и необходимость актуализации данных, а европейский коллега даже ни разу не напомнил о необходимости передавать ему контакты DPO.
6. Европейский DPA планирует в ближайшее время выпустить ПО для самооценки соответствия требованиям GDPR для малых и средних компаний (SME). РКН про нужды SME, на моей памяти, никогда и не говорил... Но, что приятно и полезно, РКН планирует в следующем году опубликовать некий "методический портфель", содержащий шаблоны документов, актов и типовых форм по ПДн, которые смогут использовать российские операторы.
