День открытых дверей в РКН - 2019.

День открытых дверей в РКН - 2019.

   Прошел традиционный День открытых дверей для операторов персональных данных в Роскомнадзоре.
Организация мероприятия несколько изменилась, но в лучшую сторону. Проведено в два дня (30 и 31 июля 2019), проход  по спискам и отдельная секция ответов на заранее заданные вопросы. Но вот содержательная часть огорчила.
name='more'>
    Программа состояла из двух докладов, секции подготовленных ответов и секции "живого общения".  Презентации РКН
    На вступительном слове прозвучали опять слова о том, что задаются операторами ПДн одни и те же вопросы. И действительно, что же страна никак не поймет с 2006 года как 152-ФЗ выполнять...
    В первом докладе прозвучали некоторые интересные цифры
 
    Серьезное увеличение количество обращений в РКН субъектов ПДн. С 17884 до 25768 обращений. В основном жалобы на соцсети и банки. Но по банкам минимальное количество подтверждений нарушений при проверке РКН. Вообще, РКН заявил о 7,6% подтверждения нарушений и составлении 61 протокола по 13.11 КоАП. Цифры печальные, при таком отношении количества обращений к реальному реагированию, особо надеяться гражданам не на кого.
     Второй доклад касался уже деятельности операторов ПДн









    Секция ответов на заранее поданные вопросы



    


   Живое общение


   Итог:
   1. Адрес электронной почты - это ПДн, а электронная почта - это сервис,а не ИСПДн. Что РКН понимает под сервисом не разъяснено. ФСБ вот считает почту органа власти ГИСом и суд поддерживает .
   2. Фото - биметрия, если соответствует требованиям к фотографиям на документах, удостоверяющих личность или ГОСТ. Прозвучало, что цветное цифровое фото -это биометрические пдн.
    3. С видеозаписями вопрос вообще не ясный. Если возможно определить на записи конкретного человека, то биометрия. Цель использования системы видеонаблюдения не влияет на отнесение к биометрии.
    4.  РКН постоянно говорит о "базах данных", но считает ими все (начиная от простейших табличек). Задал вопрос о источнике толкования определения "база данных", ответ - субъективное восприятие работника РКН.
    5.  Любая иностранная организация обязана соблюдать российское законодательство, если обрабатывает ПДн граждан РФ. Но в реестр операторов мы их не включим. Минкомсвязь более конкретно очерчивало границы российской юрисдикции .
   В очередной раз озвучили позицию, что ИНН и СНИЛС это ПДн. Мнение владельца ИНН  игнорируется.
    6. РКН продолжает считать работу с кандидатами на вакантные места оператора как "нетрудовые отношения". И даже решение суда на их позицию не повлияло .
     7.  ФИО - это ПДн.
     8. Архива в электронном виде не бывает.
     9. Возможно указание нескольких целей обработки в одном согласии, но только для клиентов. Для работников "одна цель- одно согласие".
     10. В уведомлении надо указывать полный адрес места хранения базы данных. Если не знаете, где они хранятся оператором ИСПДн, то ваши проблемы.
     11. Владелец "облачных услуг" то же оператор ПДн, если у него в облаке разместил клиент свои ИСПДн. Даже,если клиент не известил, что будет обрабатывать ПДн.
     12. Для РКН индивидуальный предприниматель (ИП), это оператор ПДн. Оператор собственных же ПДн.
     13. Вопрос про наличие "судимости" или "инвалидности"не ПДн, если ответы не несут последствий для субъекта ПДн.
     14. С гендира подрядчика можно требовать скан паспорта при заключении договора в рамках должной осмотрительности.
     15.  Если оператор ПДн пользователь  в чужой ИСПДн, то он в уведомлении эту ИСПДн не указывает (ее указывает владелец ИСПДн), но обязательно указывает место нахождение базы данных этой ИСПДн.

Желающие могут сравнить  с  предыдущей встречей в РКН. Что же  изменилось за полугодие

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности