СЗПДн. Проверки. Систематический контроль операторов ПДн часть 2

СЗПДн. Проверки. Систематический контроль операторов ПДн часть 2
Продолжаю предыдущую статью про переход РКН к систематическому контролю  операторов ПДн рассмотрением возможных видов такого контроля.

Напомню основную идею систематического контроля на данный момент: проводить проверки без выезда (с минимальными трудовыми затратами) сразу для большого количества компаний, собирая информацию через сайт или путем переписки с оператором.

Что сейчас проверяет РКН таким способом:
·      запрос уведомления об обработке ПДн. Пример .

·        наличие на сайте (оператора который взаимодействует с субъектами ПДн через сеть Интернет) публичной политики обработки ПДн. Пример 1 . Пример 2 .

·        наличие на сайтах ПДн в открытом виде. Пример .

·         наличие на сайте (галочки) согласия на обработку ПДн. Пример .


Давайте подумаем какие ещё проверки в принципе может проводить РКН удаленно:
·         РКН может запросить любые данные приведенные в части 3 статьи 22 152-ФЗ, а также любую другую информацию, необходимую для реализации полномочий РКН.  Особенно сейчас стоит ожидать запросов по месту расположения БД с ПДн. Предоставить информацию необходимо в течении 30 дней. Подробнее тут .

·         РКН может искать сайты на которых осуществляется сбор ПДн (сайты личными кабинетами пользователей) и проверять месторасположение webсерверов.
Сайтов с расположением за границами РФ ещё хватает: пример 1   пример 2   пример 3

В первую очередь могут проверять организации указавшие в уведомлении трансграничную передачу.
Для первичного определения адреса сайта и даже пути можно множество доступных гео сервисов


·         РКН может сравнивать информацию, указанную в (реестре Операторов ПДн, публичной политике, согласия на обработку ПДн с сайта, места расположения webсайтов) и выявлять несоответствия. Из данного несоответствие можно в любом случае выйти на одно из нарушений: некорректная информация в уведомлении РКН = отсутствие уведомления, некорректная информация в политике = отсутствие политики, некорректная информация в согласии = отсутствие согласия.

·         РКН может пройтись по топовым зарубежным ЦОД-ам и хостингам (amazon, azure, …) и посмотреть какие российские сервисы на них размещаются. Например, так можно посмотреть истории успеха amazon и найти там лабораторию Касперского, на сайте которой также имеются личные кабинеты пользователей

·         РКН может собирать информацию об информационных системах, которыми пользуется оператор (с сайта оператора или с сайтов партнеров) и сравнивать с реестром (а в последней онлайн версии уведомления РКН необходимо указывать перечень ИС)

·         РКН может собирать информацию об изменении адресов центрального офиса и филиалов Оператора (новости об изменении адресов офисов легко ищутся на сайте оператора или получаются по СМЭВ) и сравнивать с реестром


Что можно посоветовать в таком случае: обеспечить чтобы информация на сайте, в политике, реестре операторов, согласии – была актуальна и соответствовала друг другу. Возможно с применением промежуточной системы, куда все изменения вносятся только один раз.

Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться