От РКН:
1. По GDPR. Заявлено, что «Требования вступающего в силу в мае 2018 года Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России. На них распространяется действие российских законов в этой сфере». Это полностью совпадает с формулировками Регламента ЕС. Под действия GDPR попадают российские компании, оказывающие услуги на территории ЕС, вне зависимости от их фактического местонахождения (бронирование гостиниц, билетов, экскурсий, интернет-магазины, логистика, банковские и почтовые услуги..). В GDPR установлены признаки данной деятельности:
– использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке;
– упоминание потребителей или пользователей, которые находятся в Евросоюзе.
Платность/бесплатность оказываемой услуги не имеет значения.
РКН имеет четко обозначенные полномочия и сферу действия, контроль за выполнением GDPR в нее не входит. До заключения соответствующих международных договоров и соглашений, российские компании окажутся «один на один» с европейским правосудием. При этом надо учесть, что кроме общеевропейских штрафов может быть наложено наказание любым членом ЕС по ст.84 GDPR «Государства-члены могут установить нормы относительно иных санкций, применимых за нарушения настоящего Регламента, в том числе за нарушения, которые не подпадают под административные штрафы в порядке Статьи 83, а также принять все меры, для того, чтобы обеспечить их применение. Такие санкции должны быть эффективными, соизмеримыми и должны оказывать сдерживающее воздействие».
Если же наши государственные органы займут выжидательную и пассивную позицию по взаимодействию с ЕС, то есть риск «передача данных указанной третьей стране или международной организации должна быть запрещена кроме случаев, когда соблюдаются требования настоящего Регламента в отношении передачи данных в соответствии с надлежащими гарантиями, включая обязательные корпоративные правила, и изъятия в конкретных ситуациях.». Есть вероятность и применения подобного решения Еврокомиссии как «санкции», по политическим мотивам (очень своеобразные критерии используются - каким образом третья страна соблюдает принципы правового государства, обеспечивает доступность правосудия, так же, как и соблюдает нормы и стандарты международного права человека, равно как и его общего и отраслевого законодательства, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, наряду с публичным порядком и уголовным правом).
Хотелось бы видеть результат работы МИД и Минкомсвязи /РКН в виде оформленного решения Еврокомиссии в отношении всего ЕС о том, что РФ предлагает адекватный уровень защиты данных, обеспечивая тем самым правовую определённость и единообразие на территории ЕС в отношении РФ. В таких случаях передача персональных данных в РФ может осуществляться без необходимости получения какого-либо дополнительного разрешения.
2. Конкретизировано требование к операторам ПДн, о том, что если оформляется письменное согласие, то в этом письменном согласии должна указываться только одна цель обработки. На каждую цель свое согласие.
3. Информация о судимости субъекта в объема «Да/НеТ» не относится к специальным ПДн. Можно безбоязненно включать в анкетирование при приеме на работу. Не забывая про тонкости обработки таких данных (отсутствие договорных отношений с субъектом).
4. Привели правоприменительную практику по ст.13.11 КоАП
От ФСТЭК/ФСБ:
1. Модели угроз не соответствуют требованиям. Основное замечание: не используется банк данных угроз безопасности информации ФСТЭК, не все угрозы рассматриваются (например, при использовании технологии виртуализации не рассматриваются угрозы, связанные с данной технологией), не обоснованное указание категории нарушителей или их исключение, ошибки в определении класса СКЗИ. Актуальность угроз не подтверждается описательной частью в МУ (отсутствует описание ИС, не приведено обоснование актуальности угроз).
2. В ОИВ необходим выпуск НПА, в которых определяют угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности. Как пример реализации этого требования в Минюсте https://rg.ru/2017/10/27/minjust-prikaz208-site-dok.html. В НПА угрозы могут быть как приведены в виде перечня, так и сгруппированы по типам. Первый случай может использоваться в случае однотипных систем, второй – для не типовых..
3. Отдельное требование про актуализацию МУ и НПА. Так как ФСТЭК требует учитывать при моделировании и составлении перечня угроз БДУ, то возникает необходимость в переоформлении и утверждении актуальных МУ. После каждого обновления БДУ – выпускай новый приказ.
4. Отсутствие МУ –нарушение.
Тенденции: изменение ФЗ-152 по несовершеннолетним, разработка закона по БПД.
1. По GDPR. Заявлено, что «Требования вступающего в силу в мае 2018 года Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России. На них распространяется действие российских законов в этой сфере». Это полностью совпадает с формулировками Регламента ЕС. Под действия GDPR попадают российские компании, оказывающие услуги на территории ЕС, вне зависимости от их фактического местонахождения (бронирование гостиниц, билетов, экскурсий, интернет-магазины, логистика, банковские и почтовые услуги..). В GDPR установлены признаки данной деятельности:
– использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке;
– упоминание потребителей или пользователей, которые находятся в Евросоюзе.
Платность/бесплатность оказываемой услуги не имеет значения.
РКН имеет четко обозначенные полномочия и сферу действия, контроль за выполнением GDPR в нее не входит. До заключения соответствующих международных договоров и соглашений, российские компании окажутся «один на один» с европейским правосудием. При этом надо учесть, что кроме общеевропейских штрафов может быть наложено наказание любым членом ЕС по ст.84 GDPR «Государства-члены могут установить нормы относительно иных санкций, применимых за нарушения настоящего Регламента, в том числе за нарушения, которые не подпадают под административные штрафы в порядке Статьи 83, а также принять все меры, для того, чтобы обеспечить их применение. Такие санкции должны быть эффективными, соизмеримыми и должны оказывать сдерживающее воздействие».
Если же наши государственные органы займут выжидательную и пассивную позицию по взаимодействию с ЕС, то есть риск «передача данных указанной третьей стране или международной организации должна быть запрещена кроме случаев, когда соблюдаются требования настоящего Регламента в отношении передачи данных в соответствии с надлежащими гарантиями, включая обязательные корпоративные правила, и изъятия в конкретных ситуациях.». Есть вероятность и применения подобного решения Еврокомиссии как «санкции», по политическим мотивам (очень своеобразные критерии используются - каким образом третья страна соблюдает принципы правового государства, обеспечивает доступность правосудия, так же, как и соблюдает нормы и стандарты международного права человека, равно как и его общего и отраслевого законодательства, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, наряду с публичным порядком и уголовным правом).
Хотелось бы видеть результат работы МИД и Минкомсвязи /РКН в виде оформленного решения Еврокомиссии в отношении всего ЕС о том, что РФ предлагает адекватный уровень защиты данных, обеспечивая тем самым правовую определённость и единообразие на территории ЕС в отношении РФ. В таких случаях передача персональных данных в РФ может осуществляться без необходимости получения какого-либо дополнительного разрешения.
2. Конкретизировано требование к операторам ПДн, о том, что если оформляется письменное согласие, то в этом письменном согласии должна указываться только одна цель обработки. На каждую цель свое согласие.
3. Информация о судимости субъекта в объема «Да/НеТ» не относится к специальным ПДн. Можно безбоязненно включать в анкетирование при приеме на работу. Не забывая про тонкости обработки таких данных (отсутствие договорных отношений с субъектом).
4. Привели правоприменительную практику по ст.13.11 КоАП
От ФСТЭК/ФСБ:
1. Модели угроз не соответствуют требованиям. Основное замечание: не используется банк данных угроз безопасности информации ФСТЭК, не все угрозы рассматриваются (например, при использовании технологии виртуализации не рассматриваются угрозы, связанные с данной технологией), не обоснованное указание категории нарушителей или их исключение, ошибки в определении класса СКЗИ. Актуальность угроз не подтверждается описательной частью в МУ (отсутствует описание ИС, не приведено обоснование актуальности угроз).
2. В ОИВ необходим выпуск НПА, в которых определяют угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности. Как пример реализации этого требования в Минюсте https://rg.ru/2017/10/27/minjust-prikaz208-site-dok.html. В НПА угрозы могут быть как приведены в виде перечня, так и сгруппированы по типам. Первый случай может использоваться в случае однотипных систем, второй – для не типовых..
3. Отдельное требование про актуализацию МУ и НПА. Так как ФСТЭК требует учитывать при моделировании и составлении перечня угроз БДУ, то возникает необходимость в переоформлении и утверждении актуальных МУ. После каждого обновления БДУ – выпускай новый приказ.
4. Отсутствие МУ –нарушение.
Тенденции: изменение ФЗ-152 по несовершеннолетним, разработка закона по БПД.
Комментариев нет:
Отправить комментарий