И вновь о Роскомнадзоре и его мнении

И вновь о Роскомнадзоре и его мнении
В пятницу выступал на конференции в Ижевске. Как всегда в последнее время - по теме персданных. После меня выступала представительница Роскомнадзора. Классическое выступление, но несколько интересных высказываний я позволю себе привести тут: РКН не может направить дело в суд по ст.13.11 - это прерогатива только прокуратуры. А РКН, в свою очередь, обычно направляет дела только по статье 19.7 (непредоставление данных по запросу надзорного органа).У РКН нет задачи помогать операторам правильно защищать права субъектов. Представительница РКН заявила, что они по максимуму стараются доводить все дела до суда, чтобы наработать судебную практику.РКН не проверяет правильность классификации ИСПДн - это не его прерогатива.Несмотря на наличие в 687-м Постановлении указания, что обработка без средств автоматизации не означает отсутствие информационной системы, РКН все-таки считает, что 687-е касается только бумажной обработки.По мнению РКН существует только одна форма согласия - письменная. Ни устной, ни конклюдентной. Причем представительница РКН сама путалась в показаниях (заодно путая и аудиторию). Свою позицию (про только письменное согласие) она обосновывала следующим фрагментом ФЗ-152 "В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных" (ст.9.4). На мое замечание, что этих случаев всего 5 и они описаны в ФЗ-152, она заявила, что все наоборот - либо согласия не надо (согласно ст.6) либо согласие только в письменной форме. На мой вопрос - как РКН относится к тому, что в Европе практика применения Евроконвенции совершенно иная и она противоречит мнению РКН, представитель РКН ответила, что она это понимает, но официальная позиция РКН именно такая и никакой другой.Подисскутировали на тему "оператор - обработчик". РКН, как всегда, считает, что института обработчика у нас нет. В ситуации, когда одно юрлицо передает другому юрлицу обработку ПДн,второе юрлицо должно уведомлять субъектов ПДн о том, что их ПДн обрабатываются. Такова позиция РКН. На замечание, что это второе юрлицо может вообще не иметь информации о способах контакта с субъектом, было проигнорировано ;-( Как и замечание о том, что Евроконвенция оперирует и понятием "оператор" и понятием "обработчик". На упоминание судебной практики не в пользу РКН (суды нередко разделяют понятия оператор и обработчик ПДн) представительница регулятора заметила, что есть и другие прецеденты (правда, не назвала какие). Вот такие дела творятся ;-( ЗЫ. По дороге в Ижевск пролистывал журнал, полученный в самолете. В нем один ижевский интегратор по ИБ утверждает, что аттестация объекта информатизации, обрабатывающего ПДн, это обязательное требование к любому оператору ПДн. И начать делать это надо было еще в 2006-м году. А ведь на дворе уже октябрь 2010-года и 58-й приказ уже как полгода выпущен. ЗЗЫ. Сегодня выступаю в Казани с той же темой. Планируется выступление и РКН. Может тоже, что интересное прозвучит ;-)
Роскомнадзор персональные данные
Alt text

Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!