Прошел традиционный День открытых дверей для операторов персональных данных в Роскомнадзоре.
Организация мероприятия несколько изменилась, но в лучшую сторону. Проведено в два дня (30 и 31 июля 2019), проход по спискам и отдельная секция ответов на заранее заданные вопросы. Но вот содержательная часть огорчила.
Программа состояла из двух докладов, секции подготовленных ответов и секции "живого общения". Презентации РКН
На вступительном слове прозвучали опять слова о том, что задаются операторами ПДн одни и те же вопросы. И действительно, что же страна никак не поймет с 2006 года как 152-ФЗ выполнять...
В первом докладе прозвучали некоторые интересные цифры
Второй доклад касался уже деятельности операторов ПДн
Секция ответов на заранее поданные вопросы
Живое общение
Итог:
1. Адрес электронной почты - это ПДн, а электронная почта - это сервис,а не ИСПДн. Что РКН понимает под сервисом не разъяснено. ФСБ вот считает почту органа власти ГИСом и суд поддерживает.
2. Фото - биметрия, если соответствует требованиям к фотографиям на документах, удостоверяющих личность или ГОСТ. Прозвучало, что цветное цифровое фото -это биометрические пдн.
3. С видеозаписями вопрос вообще не ясный. Если возможно определить на записи конкретного человека, то биометрия. Цель использования системы видеонаблюдения не влияет на отнесение к биометрии.
4. РКН постоянно говорит о "базах данных", но считает ими все (начиная от простейших табличек). Задал вопрос о источнике толкования определения "база данных", ответ - субъективное восприятие работника РКН.
5. Любая иностранная организация обязана соблюдать российское законодательство, если обрабатывает ПДн граждан РФ. Но в реестр операторов мы их не включим. Минкомсвязь более конкретно очерчивало границы российской юрисдикции.
В очередной раз озвучили позицию, что ИНН и СНИЛС это ПДн. Мнение владельца ИНН игнорируется.
6. РКН продолжает считать работу с кандидатами на вакантные места оператора как "нетрудовые отношения". И даже решение суда на их позицию не повлияло.
7. ФИО - это ПДн.
8. Архива в электронном виде не бывает.
9. Возможно указание нескольких целей обработки в одном согласии, но только для клиентов. Для работников "одна цель- одно согласие".
10. В уведомлении надо указывать полный адрес места хранения базы данных. Если не знаете, где они хранятся оператором ИСПДн, то ваши проблемы.
11. Владелец "облачных услуг" то же оператор ПДн, если у него в облаке разместил клиент свои ИСПДн. Даже,если клиент не известил, что будет обрабатывать ПДн.
12. Для РКН индивидуальный предприниматель (ИП), это оператор ПДн. Оператор собственных же ПДн.
13. Вопрос про наличие "судимости" или "инвалидности"не ПДн, если ответы не несут последствий для субъекта ПДн.
14. С гендира подрядчика можно требовать скан паспорта при заключении договора в рамках должной осмотрительности.
15. Если оператор ПДн пользователь в чужой ИСПДн, то он в уведомлении эту ИСПДн не указывает (ее указывает владелец ИСПДн), но обязательно указывает место нахождение базы данных этой ИСПДн.
Желающие могут сравнить с предыдущей встречей в РКН. Что же изменилось за полугодие?
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
П.9 уточнение. "Одна цель - одно согласие" верно для случаев, когда закон требует получения согласия в письменной форме.
ОтветитьУдалитьПо этому и указано, что для работников. РКН отсылает к ТК.
УдалитьВ вопросе отнесения той или иной информации с ПДн РКН придерживается определения этих самых ПДн, проведенного в 152-ФЗ, к сожалению, это определение несовепшенно, и еще более к сожалению то, что согласно нему ИНН и СНИЛС, как и адрес электронной почты - ПДн, так как полностью в него укладываются (информация, которая прямо относится к субъекту ПДн). Странно, что, если я правильно понял, судимость и инвалидность могут быть не ПДн, хотя эта информация также отлично, по моему, укладывается в определение ПДн. Да и ФОИВ обрабатывает информацию, как ПДн в ИСПДн.
ОтветитьУдалитьА можно ссылку на судебное определение, где опровергается позиция РКН, что работа с кандидатами - "нетрудовые отношения"?
Ссылка по тексту есть, в этом пункте.
Удалитьhttps://valerykomarov.blogspot.com/2018/05/blog-post_25.html?m=1#more
УдалитьК п. 4 комментариев https://its-practice.blogspot.com/2019/07/blog-post_28.html?fbclid=IwAR3jGKcqVnwjdE7ODykHkjyOOkiIG7CNdIDqRuN1CghpPFu7ghjr5fjVb2g ответ Минкомсвязи на вопросы: Что есть БД ПДн? и Кто есть оператор ИСПДн. РКН идет в русле отраслевого регулятора.
ОтветитьУдалитьРКН никак на позицию МКС в ответе не ссылается.
ОтветитьУдалить"В очередной раз озвучили позицию, что ИНН и СНИЛС это ПДн." Так это и есть идентификаторы личности, так что формально соответствует ФЗ.
ОтветитьУдалитьп. 7 - соответствует ч. 1 ст. 19 ГК РФ, который по юр.силе выше.
п. 8 - законодательство об электронном архиве не урегулировано (отсутствует), т.о. формально РКН прав.
п. 10, 15 - не знаете где хранит ваши ПДн привлеченное к обработке лицо? Значит нарушаете ч. 3-5 ст. 6 ФЗ "О ПДн".
п. 11 - читаем ответ Минкомсвязи в моём комменте выше.
:)
На основании каких документов вы считаете СНИЛС и ИНН идентификаторами личности?
УдалитьИНН - пункт 7 статьи 84 части первой Налогового кодекса Российской Федерации "Каждому налогоплательщику присваивается единый на всей территории Российской Федерации по всем видам налогов и сборов идентификационный номер налогоплательщика."
УдалитьСт. 1 Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" - "страховой номер индивидуального лицевого счета - уникальный номер индивидуального лицевого счета, используемый для обработки сведений о физическом лице в системе индивидуального (персонифицированного) учета, а также для идентификации и аутентификации сведений о физическом лице при предоставлении государственных и муниципальных услуг и исполнении государственных и муниципальных функций".
Назначение ИНН и СНИЛС одинаковое - однозначная идентификация субъекта.
В качестве идентификаторов ИНН и СНИЛС используется в очень большом количестве ИС организаций разного уровня и отраслей, например: таможня, банки, страховые компании, службы перевозки грузов, ЕСИА и т.д. и т.п.
Причём здесь личность? Юридическое лицо то же налогоплательщик и так же получает ИНН.
УдалитьКоллеги, а где сказано, что ПДн должны вообще идентифицировать человека? В определении ПДн используется восхитительное слово "относятся" ("относящаяся"). О идентификации и речи не идет (за исключением биометрических ПДн, которые должны не просто характеризовать физиологические или биометрические особенности человека, но и позволять его идентифицировать). Поэтому если известно, что некая комбинация цифр относится к некоему человеку, то это, формально, ПДн.
ОтветитьУдалитьа ещё волшебное слово "косвенно"
УдалитьЗапрос в Минкомсвязь.Толкование термина "субъект персональных данных" http://its-practice.blogspot.com/2019/08/blog-post.html
УдалитьТеперь осталось запросить их о термин 'идентификация'.
УдалитьЧудно, РКН утверждает, что идентификация не является определяющей в вопросе отнесения тех или иных сведений к ПДн, а вышестоящее министерство говорит об обратном. Причем, если руководствоваться позицией Минкосвязи, то всякие номера СНИЛС, ИНН, паспорта уж точно перестают быть ПДн без дополнительной информации.
УдалитьБолее того, для тех же госуслуг необходимо использовать СНИЛС+ паспорт. Почему то одного СНИЛС или одного паспорта недостаточно
УдалитьИ почему в анкетах необходимо указывать не просто номер паспорта, а ещё кем и когда выдан. И т.д.
УдалитьРегулятор в своем репертуаре.
ОтветитьУдалитьЕсли ИНН или СНИЛС это ПДН, то что же тогда обезличивание? И как выполнять их 996 приказ?
а для большой загадочности, они хотят еще и "деперсонализированные данные" в закон ввести
Удалить