« Роскомнадзор в четверг, 20 декабря, провел публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства за II полугодие 2018 года. Мероприятие посетило более 150 представителей организаций, обрабатывающих персональные данные. »
В этот раз мероприятие было менее информативным . Всего два доклада, очень мало конкретной информации на слайдах. Зато было много времени выделено для вопросов из зала.
name='more'>
Что было озвучено на семинаре:
1. Увеличение количества подобных семинаров, переход на ежеквартальные встречи+ в федеральных округах
2. На 52% увеличилось количество протоколов по ст.13.11 КоАП
3. РКН сильно недоволен некачественными консалтинговыми услугами по соблюдению операторами 152-ФЗ
4. РКН стал считать конкретизацию целей обработки ПДн избыточной. Жалуется, что при проверках оператор выдает им толстенные тома согласий
5. РКН относится к плану контрольных мероприятий оператора за соблюдением условий обработки ПДн как к профанации. Требует при выездных проверках реальное подтверждение наличия контроля.
6. РКН планирует внедрить механизм саморегулирующих организаций –операторов ПДн.
7. Согласие субъекта ПДн на «общедоступность данных» не означает «вседозволенность» оператора ПДн.
8. Топ типовых нарушений не изменился за отчетный период.
9. РКН часто выявляет несоответствие оформления типовых форм документов, содержащих в себе ПДн
10. Просто телефонный номер или просто автомобильный номер – не ПДн. Телефонный номер + эл.почта = ПДн. Просто эл. почта = не ответили.
11. ПДн не требует обязательного определения личности субъекта ПДн, достаточно косвенного отношения к субъекту ПДн.
12. РКН определяет системы видеонаблюдения как ИСПДн через «целевое назначение системы», но это один из факторов, влияющих на их решение. Решение будет приниматься в «ручном режиме».
13. Если субъект запросил по 152-ФЗ данные у оператора, в форме заявления с указанием фио, паспортных данных и реквизитов договора, на основании которого обрабатываются его данные, то оператор обязан дать ответ в течении 30 дней. (заявление допускается в виде бумаги или скана к эл.письму, либо с ЭП). Нарушили сроки ответа или дали отписку, будут наказывать по ст.13.11 КоАП. Судя по реакции из зала, это порождает большие проблемы у банков, которые готовы выдавать запрашиваемую информацию исключительно при личном посещении субъектом отделения банка.
14. Генпрокуратура так же хочет и применяет ст. 13.11 КоАП. Аргументируют свои полномочия КоАП Статья 28.4. Возбуждение дел об административных правонарушениях прокурором «При осуществлении надзора за соблюдением Конституции Российской Федерации и исполнением законов, действующих на территории Российской Федерации, прокурор также вправе возбудить дело о любом другом административном правонарушении, ответственность за которое предусмотрена настоящим Кодексом или законом субъекта Российской Федерации.»
15. Если поручаете обработку ПДн третьему лицу, то ФСТЭК требует наличие лицензии на ТЗКИ у третьего лица. Обработка подразумевает выполнение требований по защите ПДн (21 приказ), а это услуги по ТЗКИ.
16. Если в предписании РКН написано привести форму уведомление в соответствие с требованиями законодательства, то отчитаться необходимо приказом об утверждении измененной формы. Доказательств того, что собрали обновленные согласия с субъектов не требуется.
Так как прозвучала информация от РКН, что планируется вносить изменения в 152-ФЗ под европейскую конвенцию, в том числе и с обязательным уведомлением субъектов об «утечке ПДн», обратился с рекомендацией учесть при написании текстов этих изменений требования действующих приказов ФСБ в части обмена информацией субъектов КИИ (Приказ ФСБ России от 24.07.2018 N 368).
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
