понедельник, 2 июля 2018 г.

Семинар РКН по ПДН. Отчет за полугодие 2018.

 
    Посетил 28.06.2018 мероприятие от РКН:
    Роскомнадзор провел публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства в первом полугодии 2018 года.
https://rkn.gov.ru/news/rsoc/news59084.htm
   Что отметил существенного?

1. РКН считает единственным правовым основанием для проведения проверок операторов ПДн собственный административный регламент. Очень занимательно, что они сами себе прописали полномочия по доступу в любое помещение и к любому оборудованию оператора ПДн, с угрозой привлечения к административной ответственности за отказ оператора ПДн. Очень удобная позиция для регулятора.
2. Для РКН все организации являются операторами ПДн, вне зависимости от формулировок и казуистики в 152-ФЗ.
3. РКН начинает активно использовать как аргумент в дискуссии судебную практику, но ведь ее сам РКН и сформировал. Думаю, что с ростом компетенции судов в области 152-ФЗ и юридической грамотности операторов судебная практика начнет работать против РКН и они уйдут от ее использования при обсуждениях.
4. Полностью согласен с трактовкой определения «персональные данные» от РКН. Обещали до конца года опубликовать на портале РКН матрицу ПДн, которая должна снять большинство проблем с отнесением информации к ПДн. Но совершенно не согласен с позицией РКН по отнесению к ПДн реквизитов документов (серия и номер паспорта – это реквизиты бланка документа, а не субъекта, СНИЛС и ИНН – реквизиты записи в реестрах, номера телефонов).
5. РКН считает все метаданные, «большие данные» и прочую техническую информацию ПДн. Просто потому, что им так хочется. Пока законодательством этот вопрос не будет конкретно урегулирован, они будут трактовать по своему усмотрению. Рекомендовано уведомлять пользователя сайта оператора ПДн о сборе и обработке его данных (через всплывающее окно).
6. По достижению целей обработки ПДн предусмотрено только уничтожение ПДн, обезличивание для сохранения целостности баз данных не допускается.
7. Заявить процедуру обезличивание в ОРД оператора ПДн не наказуемо, если реально этот процесс не используется. Хотя это и вызывает вопросы при проверке у сотрудников РКН.
8. Нет наказания за отсутствие оператора в реестре, но есть наказание за неверную информацию в реестре.
9. Если у вас базы ПДн территориально разнесены и находятся по разным физическим адресам, то количество информационных систем в одном уведомлении равно количеству адресов ЦОДов, в которых размещены БД. Одна ИС =один адрес.
10. Документ, определяющий политику оператора в отношении обработки ПДн, может называться как угодно, достаточность и соответствие документа требованиям законодательства будет определятся субъективно сотрудником РКН. Яркий пример подобной позиции - https://valerykomarov.blogspot.com/2018/05/152.html
11. РКН считает, что места хранения материальных носителей ПДн (в понимании 687 ПП) так же должны указываться в уведомлении и фиксироваться в реестре.
12. Согласие через «галочку» при сборе ПДн через сайт обязательно (в случаях, предусмотренных законодательством). Но достаточность конкретной процедуры получения согласия субъекта ПДн через сайт будет определятся сотрудником ПДн субъективно. Так же как и проверка подлинности этого согласия (идентификация оператором субъекта). При этом, сотрудник РКН будет субъективно определять моменты: надо ли ему запрашивать подтверждение наличия у оператора процедуры идентификации субъекта при получении согласия и соответствие используемых методов (контрольный звонок, смс, email и т.д.) требованиям законодательства. Как он решит, так и будет в протоколе отражено. РКН рекомендовал приглашать субъекта с паспортом или использовать ГИС по идентификации/биометрической идентификации.
13. У любого оператора есть операции по работе с внешними обращениями (входящая почта). Поскольку корреспондент может в своих письмах оператору написать любую информацию о себе, своих родственниках или третьих лицах (медицинскую информацию, судимости, биометрическую  и т.д.), то оператор ПДн начинает обработку всех этих категорий ПДн, просто по факту регистрации и хранению входящих обращений в системе документооборота. И не важно, что оператору эти данные вообще не нужны. Мало того, что непонятно что же делать оператору с получением согласий на обработку таких категорий ПДн, так еще РКН требует вносить изменения в реестр, если ранее эти категории ПДн не были заявлены оператором. Проблемы оператора, у которого система ЭДО превращается в ИСПДн высокого уровня защищенности, РКН не волнуют. РКН признает остроту проблемы, но ничего предпринимать не собирается. Очень удобный способ сделать серьезную пакость любой организации: сначала пишешь письмо, содержащее специальные и биометрические категории ПДн, а потом заявление в РКН. А уж какой простор для политической, расовой и прочей дискриминирующей информации.
14. На все предложения по актуализации требований 152-ФЗ, РКН отвечает «Мы исполнители и у нас нет права на законодательные инициативы. Все вопросы в МКС».
15. РКН не имеет отношения к инициативе по изменению ст.13 КоАП в части введения ответственности оператора ПДн за ненадлежащий контроль лиц, которым передана обработка ПДн. Позиция РКН по данной инициативе не сформирована.
16. GDPR практически не обсуждался (времени не хватило). Озвучили только позицию, что это вообще не область РКН, а минимум МКС.

 Фото с презентаций РКН:







































* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

6 комментариев:

  1. По п. 8. Разве нет ответственности за несвоевременное предоставление Уведомления? Уведомление должно быть направлено в РКН до начала обработки, соответственно, если оператор обрабатывает ПДн по основаниям, требующим Уведомления РКН, и до сих пор этого не сделал, то к нему могут применить 19.7 КоАП?
    Конечно, Контемиров, заметил, что РКН стремится не наказывать, а учить, поэтому, я полагаю, оператору дадут разумное время на подготовку и направление Уведомления.

    ОтветитьУдалить
  2. https://10.rkn.gov.ru/news/news112342.htm
    28 января 2017 года

    Управлением Роскомнадзора по Республике Карелия в адрес товарищества собственников недвижимости «Мелентьевой 20» (далее – Организация) был направлен запрос о необходимости обязательного предоставления в течение тридцати дней с даты получения данного запроса уведомления об обработке персональных данных или мотивированного ответа об осуществлении обработки персональных данных без соответствующего уведомления в рамках законодательства Российской Федерации в области персональных данных. В установленный законодательством срок Организацией необходимая информация представлена не была.

    В связи с непредставлением сведений, представление которых предусмотрено законом и необходимо для осуществления государственным органом его законной деятельности, в отношении Организации был составлен протокол об административном правонарушении по статье 19.7 КоАП РФ и направлен по подведомственности мировому судье судебного участка № 1 г. Петрозаводска.

    18.01.2017 мировой судья судебного участка № 7 г. Петрозаводска, временно исполнявший обязанности мирового судьи судебного участка № 1 г. Петрозаводска, признал товарищество собственников недвижимости «Мелентьевой 20» виновным в совершении административного правонарушения, предусмотренного статьей 19.7 КоАП РФ, и назначил административное наказание в виде предупреждения.

    ОтветитьУдалить
  3. То есть, если оператор должен быть в реестре, но не подался и проигнорировал указание РКН устранить это нарушение, то будет наказание/Значит ответственность, за отсутствие в реестре все же есть? Я об этом писал.

    ОтветитьУдалить
  4. Наказание за непредставление в 30 дневный срок ответа на запрос РКН.

    ОтветитьУдалить
  5. "Непредоставление в Роскомнадзор уведомления об обработке персональных данных либо его несвоевременное предоставление (т. е. уже после начала обработки персональных данных), а равно предоставление уведомления, содержащего неполные или недостоверные сведения, образуют состав административного правонарушения по ст. 19.7 КоАП РФ." Научно-практический постатейный комментарий к Федеральному закону "О персональных данных" (Савельев А. И.) ("Статут", 2017).
    Своевременное направление такого Уведомления = включению в реестр операторов ПДн. Отсутствие в этом реестре = непредоставлению Уведомления. Таким образом, регулятор, выявляя отсутствие организации в реестре, обязан составить протокол об административном правонарушении за несвоевременную подачу уведомления, но этой ситуации можно избежать, если организация подала Уведомление и находится в реестре. Нахождение организации в реестре автоматически подтверждает наличие своевременного уведомления.
    Мне представляется, что может быть формальной ответственности именно за отсутствие в реестре нет, но она есть за несвоевременную подачу Уведомления, следствием которой является отсутствие организации в реестре.

    ОтветитьУдалить
  6. Этот комментарий был удален автором.

    ОтветитьУдалить