26 Июня, 2015

СЗПДн. Общее. Круглый стол Роскомнадзора по персональным данным в Краснодаре

Сергей Борисов
22 июня 2015 г. управление РКН по ЮФО провело круглый стол с операторами персональных данных. В отличие от других мероприятий Роскомнадзора, в этот раз не было никаких докладов и соло выступлений. Двухминутное вступление и перешли к вопросам, ответам и обсуждению.

Собралось порядка 25 человек, из которых 2 представителя РКН, пара интеграторов и остальные -  операторы. С одной стороны – участников немного. С другой – помещение и не позволяло принять больше участников - стулья стояли на проходе и т.п. Небольшое помещение обещали компенсировать регулярностью мероприятий (раз в 2 месяца).

Основной огонь взяла на себя Долакова Е.В., также на вопросы отвечал врио руководителя управления Рахвалов А.Ю. Большую часть вопросов задала активная половина операторов, остальные пришли просто послушать. Обсуждали вопросы простые, типа:
·         как относиться к недавно вышедшему научно-практическому комментарию к 152-ФЗ? (как к мнению группы экспертов, с большим практическим опытом. Всем операторам рекомендуют ознакомится)
·         что делать, если мнение местных специалистов РКН при проверке будет отличаться от научно-практического комментария к 152-ФЗ? (такого не может быть, по ключевым вопросам, от которых зависят результаты проверок у них не может быть расхождений)
·         должны ли относится к ПДн фамилия + инициалы + плюс любая информация как указано в научно-практическом комментарии к 152-ФЗ? (не будем комментировать комментарий)
·         как попасть / не попасть в план проверок? (сейчас подход такой – те, кто подал уведомления, как правило провели комплекс работ и у них минимум нарушений. те кто пишут что попадают под исключения и не подают уведомления, как правило мероприятия выполнили не комплексно и у них много нарушений. в плане проверок 95% будет операторов не подавших уведомления)
·         какие нарушения чаще всего встречаются?
·         можно ли обрабатывать данные о судимости? что делать со справкой об отсутствии судимостей?
·         нужно ли собирать согласия с кандидатов на работу? что делать с этим, когда устраиваем сотрудника на работу?
·         можно ли обрабатывать резюме, загруженные с сайтов? (можно – общедоступный источник, сохраняем скриншот)
·         можно ли обрабатывать ПДн на личных АРМах дома или на смартфоне?
·         всегда ли нужно придерживаться формы согласия указанной в статье 9 части 4? (кроме случаев, когда нужно в письменной форме, можно собирать согласие в любой форме, лишь бы субъекту было понятно для чего)
·         при передаче третьим лицам, нужно ли указывать в согласии каким именно? (нужно указывать кому именно будем передавать, фразы типа “передача третьим лицам” не подходит, в крайнем случае используем “передача кредитной организации в целях реализации зарплатного проекта”)
·         можно ли хранить ПДн в помещении архива, а при необходимости использования, брать документы из архива? будет ли проверятся помещение архива?
·         какие требования к помещениям в которых хранятся ПДн?
·         нужно ли обезличивать ПДн? как определить, что ПДн обезличенные? (после отмены обязательности обезличивания им поступило указание не проверять процессы обезличивания и поэтому без комментариев)
·         проводятся ли совместные проверки с ФСБ Р, ФСТЭК Р? (сейчас такие не проводятся, было несколько проверок 2-3 года назад, но были сложности с согласованием времени проверки и отсутствием регламента совместной проверки)
·         привлекаются ли независимые эксперты к проверкам? (в ЮФО никогда не привлекали, в московском РКН раньше привлекали, сейчас уже нет)
·         что отправлять при изменении уведомления? придет ли ответ от РКН? (отправлять информационное письмо. никакой ответ не предусмотрен если всё ок. если нужны гарантии доставки – отправляем заказным письмом или приносим лично)
·         с какими обычно жалобами обращаются субъекты ПДн, какая статистика удовлетворения? (низкое качество жалоб, 90% в корзину, субъекты не знают прав и правил, не собирают свидетельства типа письменного отказа предоставить информацию об обработке ПДн, не могут доказать, что ПДн обрабатываются оператором, не могут доказать нарушения)

·         нужно ли уведомлять субъекта об окончании обработки ПДн? (нет, прекращаем обработку, уничтожаем данныеи всё)
Модных тем типа переноса данных в РФ (242-ФЗ) не обсуждали, видимо это не актуально для краснодарских операторов ПДн. В целом операторы плохо подготовились, а половина пришедших просто молчала, так что мероприятие закончилось раньше отведенного на него времени.


Предлагаю к следующей встрече с РКН подготовится более основательно и прийти каждому как минимум с тремя вопросами для публичного обсуждения. Если не сможете посетить мероприятие, оставляйте вопросы в комментариях, постараюсь их озвучить.