Роскомнадзор провел публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства в первом полугодии 2018 года.
https://rkn.gov.ru/news/rsoc/news59084.htm
Что отметил существенного?
name='more'>
1. РКН считает единственным правовым основанием для проведения проверок операторов ПДн собственный административный регламент. Очень занимательно, что они сами себе прописали полномочия по доступу в любое помещение и к любому оборудованию оператора ПДн, с угрозой привлечения к административной ответственности за отказ оператора ПДн. Очень удобная позиция для регулятора.
2. Для РКН все организации являются операторами ПДн, вне зависимости от формулировок и казуистики в 152-ФЗ.
3. РКН начинает активно использовать как аргумент в дискуссии судебную практику, но ведь ее сам РКН и сформировал. Думаю, что с ростом компетенции судов в области 152-ФЗ и юридической грамотности операторов судебная практика начнет работать против РКН и они уйдут от ее использования при обсуждениях.
4. Полностью согласен с трактовкой определения «персональные данные» от РКН. Обещали до конца года опубликовать на портале РКН матрицу ПДн, которая должна снять большинство проблем с отнесением информации к ПДн. Но совершенно не согласен с позицией РКН по отнесению к ПДн реквизитов документов (серия и номер паспорта – это реквизиты бланка документа, а не субъекта, СНИЛС и ИНН – реквизиты записи в реестрах, номера телефонов).
5. РКН считает все метаданные, «большие данные» и прочую техническую информацию ПДн. Просто потому, что им так хочется. Пока законодательством этот вопрос не будет конкретно урегулирован, они будут трактовать по своему усмотрению. Рекомендовано уведомлять пользователя сайта оператора ПДн о сборе и обработке его данных (через всплывающее окно).
6. По достижению целей обработки ПДн предусмотрено только уничтожение ПДн, обезличивание для сохранения целостности баз данных не допускается.
7. Заявить процедуру обезличивание в ОРД оператора ПДн не наказуемо, если реально этот процесс не используется. Хотя это и вызывает вопросы при проверке у сотрудников РКН.
8. Нет наказания за отсутствие оператора в реестре, но есть наказание за неверную информацию в реестре.
9. Если у вас базы ПДн территориально разнесены и находятся по разным физическим адресам, то количество информационных систем в одном уведомлении равно количеству адресов ЦОДов, в которых размещены БД. Одна ИС =один адрес.
10. Документ, определяющий политику оператора в отношении обработки ПДн, может называться как угодно, достаточность и соответствие документа требованиям законодательства будет определятся субъективно сотрудником РКН. Яркий пример подобной позиции - https://valerykomarov.blogspot.com/2018/05/152.html
11. РКН считает, что места хранения материальных носителей ПДн (в понимании 687 ПП) так же должны указываться в уведомлении и фиксироваться в реестре.
12. Согласие через «галочку» при сборе ПДн через сайт обязательно (в случаях, предусмотренных законодательством). Но достаточность конкретной процедуры получения согласия субъекта ПДн через сайт будет определятся сотрудником ПДн субъективно. Так же как и проверка подлинности этого согласия (идентификация оператором субъекта). При этом, сотрудник РКН будет субъективно определять моменты: надо ли ему запрашивать подтверждение наличия у оператора процедуры идентификации субъекта при получении согласия и соответствие используемых методов (контрольный звонок, смс, email и т.д.) требованиям законодательства. Как он решит, так и будет в протоколе отражено. РКН рекомендовал приглашать субъекта с паспортом или использовать ГИС по идентификации/биометрической идентификации.
13. У любого оператора есть операции по работе с внешними обращениями (входящая почта). Поскольку корреспондент может в своих письмах оператору написать любую информацию о себе, своих родственниках или третьих лицах (медицинскую информацию, судимости, биометрическую и т.д.), то оператор ПДн начинает обработку всех этих категорий ПДн, просто по факту регистрации и хранению входящих обращений в системе документооборота. И не важно, что оператору эти данные вообще не нужны. Мало того, что непонятно что же делать оператору с получением согласий на обработку таких категорий ПДн, так еще РКН требует вносить изменения в реестр, если ранее эти категории ПДн не были заявлены оператором. Проблемы оператора, у которого система ЭДО превращается в ИСПДн высокого уровня защищенности, РКН не волнуют. РКН признает остроту проблемы, но ничего предпринимать не собирается. Очень удобный способ сделать серьезную пакость любой организации: сначала пишешь письмо, содержащее специальные и биометрические категории ПДн, а потом заявление в РКН. А уж какой простор для политической, расовой и прочей дискриминирующей информации.
14. На все предложения по актуализации требований 152-ФЗ, РКН отвечает «Мы исполнители и у нас нет права на законодательные инициативы. Все вопросы в МКС».
15. РКН не имеет отношения к инициативе по изменению ст.13 КоАП в части введения ответственности оператора ПДн за ненадлежащий контроль лиц, которым передана обработка ПДн. Позиция РКН по данной инициативе не сформирована.
16. GDPR практически не обсуждался (времени не хватило). Озвучили только позицию, что это вообще не область РКН, а минимум МКС.
Фото с презентаций РКН:
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
