В Евросоюзе (с которым у нас много общего в части законодательства о персональных данных) есть такой орган European Data Protection Supervisor (EDPS). Задачи его во много схожи с задачами Минкомсвязи (Роскомнадзор) в части ПДн: контроль обработки ПДн в организациях, мониторинг того что соблюдаются права граждан и безопасность данных.
Но кроме схожих задач EDPS делает ещё некоторые полезные активности, которые хорошо было бы перенять Минкомсвязи или Роскомнадзору:
· Организация активного сообщества лиц ответственных за организацию обработки и защиты данных (Data Protection Officers, DPO) в гос. органах. Они хорошо друг друга знают, тесно общаются, проводят встречи 2 раза в год с полезными тренингами без воды и продаж (уже 41-ая встреча по плану). Ну и граждане знают своих героев.
· Разрабатывают руководства , инструкции, некоторые шаблоны документов, которые необходимо применять в гос. органах, но могут применяться и в других компаниях.
Из недавнего: Руководство по обеспечению безопасности персональных данных получаемых при запросах гос. органами; Руководство по обеспечению безопасности персональных данных при их обработке на web сайтах или в мобильных приложениях; Типовое положение об ответственныхза организацию обработки и защиты данных (DPO).
Рекомендую почитать, хотя некоторые нормы законодательства у нас расходятся, поэтому полезно было бы увидеть подобные рекомендации от российских регуляторов.
· Для Data Protection Officers есть отдельный раздел , где для них четко и понятно, с инструкциями и шаблонами, объясняется с чего им начинать и что необходимо делать.
· Помимо основных проверок в рамках гос. контроля, EDPS проводит также дополнительный анализ и консультации (без наказаний):
- при получении уведомления о начале обработки данных, EPDS может сразу запросить дополнительную информацию и проверить законность обработки. Операторы данных перед запуском каких-то критичных сервисов по обработке данных должны предварительно согласовать с EPDS ( Opinions Prior Check , OpinionsNon Prior Check )
- организация может обратиться за консультацией к EDPS, задать вопрос, отправить на согласование политики безопасности данных ( Consultations , AdministrativeMeasures ).
При этом многие ответы, которые имеют общественное значение – публикуются на сайте.
Not all of our replies to consultations are made public; those that we believe are useful for other institutions and the persons affected are published on this website.
В результате имеется хорошая база, в которой многие операторы могут найти интересующий их ответ или пример, не обращаясь за помощью к консультантам или регулятору (что в итоге повышает эффективность)
Несколько недавних примеров:
- Office for Infrastructure and Logistics in Brussels проинформировали что обрабатывают данные в системе 360° tool - feedback and leadership competencies, указав меры и политики. EDPS дали рекомендации что ещё необходимо предпринять и просили в течении 3х месяцев сообщить о принятых мерах.
- European Ombudsman отправил на согласование свежую политику обработки данных. EDPS рекомендовали лучше адаптировать политику к конкретным условиям обработки данных (была не учтена одна из ИС – CMS, просили более подробно описать принципы защиты и права субъектов, принципы взаимодействия с субъектом и т.п.) и предоставить свидетельства выполнения в течении 3х месяцев
- EDPS спросили, законно ли обрабатываются данные чиновников на портале EU Whoiswho Directory (публичный телефонный справочник), какие права есть у субъектов и какие меры защиты должны быть приняты. Тут просто дали публичный ответ.
В целом, среди этой информации можно найти достаточно много полезной и для российских операторов, но лучше накапливать локальные практики и регулятору не стесняться публично доносить свою позицию по тем или иным вопросам обработки ПДн.
PS: Про другие практики из Евросоюза: NIS Directive