Страницы

понедельник, 5 августа 2019 г.

День открытых дверей в РКН - 2019.


   Прошел традиционный День открытых дверей для операторов персональных данных в Роскомнадзоре.
Организация мероприятия несколько изменилась, но в лучшую сторону. Проведено в два дня (30 и 31 июля 2019), проход  по спискам и отдельная секция ответов на заранее заданные вопросы. Но вот содержательная часть огорчила.

    Программа состояла из двух докладов, секции подготовленных ответов и секции "живого общения". Презентации РКН
    На вступительном слове прозвучали опять слова о том, что задаются операторами ПДн одни и те же вопросы. И действительно, что же страна никак не поймет с 2006 года как 152-ФЗ выполнять...
    В первом докладе прозвучали некоторые интересные цифры
 
    Серьезное увеличение количество обращений в РКН субъектов ПДн. С 17884 до 25768 обращений. В основном жалобы на соцсети и банки. Но по банкам минимальное количество подтверждений нарушений при проверке РКН. Вообще, РКН заявил о 7,6% подтверждения нарушений и составлении 61 протокола по 13.11 КоАП. Цифры печальные, при таком отношении количества обращений к реальному реагированию, особо надеяться гражданам не на кого.
     Второй доклад касался уже деятельности операторов ПДн






    Секция ответов на заранее поданные вопросы


    

   Живое общение

   Итог:
   1. Адрес электронной почты - это ПДн, а электронная почта - это сервис,а не ИСПДн. Что РКН понимает под сервисом не разъяснено. ФСБ вот считает почту органа власти ГИСом и суд поддерживает.
   2. Фото - биметрия, если соответствует требованиям к фотографиям на документах, удостоверяющих личность или ГОСТ. Прозвучало, что цветное цифровое фото -это биометрические пдн.
    3. С видеозаписями вопрос вообще не ясный. Если возможно определить на записи конкретного человека, то биометрия. Цель использования системы видеонаблюдения не влияет на отнесение к биометрии.
    4.  РКН постоянно говорит о "базах данных", но считает ими все (начиная от простейших табличек). Задал вопрос о источнике толкования определения "база данных", ответ - субъективное восприятие работника РКН.
    5.  Любая иностранная организация обязана соблюдать российское законодательство, если обрабатывает ПДн граждан РФ. Но в реестр операторов мы их не включим. Минкомсвязь более конкретно очерчивало границы российской юрисдикции.
   В очередной раз озвучили позицию, что ИНН и СНИЛС это ПДн. Мнение владельца ИНН игнорируется.
    6. РКН продолжает считать работу с кандидатами на вакантные места оператора как "нетрудовые отношения". И даже решение суда на их позицию не повлияло.
     7.  ФИО - это ПДн.
     8. Архива в электронном виде не бывает.
     9. Возможно указание нескольких целей обработки в одном согласии, но только для клиентов. Для работников "одна цель- одно согласие".
     10. В уведомлении надо указывать полный адрес места хранения базы данных. Если не знаете, где они хранятся оператором ИСПДн, то ваши проблемы.
     11. Владелец "облачных услуг" то же оператор ПДн, если у него в облаке разместил клиент свои ИСПДн. Даже,если клиент не известил, что будет обрабатывать ПДн.
     12. Для РКН индивидуальный предприниматель (ИП), это оператор ПДн. Оператор собственных же ПДн.
     13. Вопрос про наличие "судимости" или "инвалидности"не ПДн, если ответы не несут последствий для субъекта ПДн.
     14. С гендира подрядчика можно требовать скан паспорта при заключении договора в рамках должной осмотрительности.
     15.  Если оператор ПДн пользователь  в чужой ИСПДн, то он в уведомлении эту ИСПДн не указывает (ее указывает владелец ИСПДн), но обязательно указывает место нахождение базы данных этой ИСПДн.

Желающие могут сравнить  с  предыдущей встречей в РКН. Что же изменилось за полугодие

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

20 комментариев:

  1. П.9 уточнение. "Одна цель - одно согласие" верно для случаев, когда закон требует получения согласия в письменной форме.

    ОтветитьУдалить
    Ответы
    1. По этому и указано, что для работников. РКН отсылает к ТК.

      Удалить
  2. В вопросе отнесения той или иной информации с ПДн РКН придерживается определения этих самых ПДн, проведенного в 152-ФЗ, к сожалению, это определение несовепшенно, и еще более к сожалению то, что согласно нему ИНН и СНИЛС, как и адрес электронной почты - ПДн, так как полностью в него укладываются (информация, которая прямо относится к субъекту ПДн). Странно, что, если я правильно понял, судимость и инвалидность могут быть не ПДн, хотя эта информация также отлично, по моему, укладывается в определение ПДн. Да и ФОИВ обрабатывает информацию, как ПДн в ИСПДн.

    А можно ссылку на судебное определение, где опровергается позиция РКН, что работа с кандидатами - "нетрудовые отношения"?

    ОтветитьУдалить
  3. К п. 4 комментариев https://its-practice.blogspot.com/2019/07/blog-post_28.html?fbclid=IwAR3jGKcqVnwjdE7ODykHkjyOOkiIG7CNdIDqRuN1CghpPFu7ghjr5fjVb2g ответ Минкомсвязи на вопросы: Что есть БД ПДн? и Кто есть оператор ИСПДн. РКН идет в русле отраслевого регулятора.

    ОтветитьУдалить
  4. РКН никак на позицию МКС в ответе не ссылается.

    ОтветитьУдалить
  5. "В очередной раз озвучили позицию, что ИНН и СНИЛС это ПДн." Так это и есть идентификаторы личности, так что формально соответствует ФЗ.
    п. 7 - соответствует ч. 1 ст. 19 ГК РФ, который по юр.силе выше.
    п. 8 - законодательство об электронном архиве не урегулировано (отсутствует), т.о. формально РКН прав.
    п. 10, 15 - не знаете где хранит ваши ПДн привлеченное к обработке лицо? Значит нарушаете ч. 3-5 ст. 6 ФЗ "О ПДн".
    п. 11 - читаем ответ Минкомсвязи в моём комменте выше.
    :)

    ОтветитьУдалить
    Ответы
    1. На основании каких документов вы считаете СНИЛС и ИНН идентификаторами личности?

      Удалить
    2. ИНН - пункт 7 статьи 84 части первой Налогового кодекса Российской Федерации "Каждому налогоплательщику присваивается единый на всей территории Российской Федерации по всем видам налогов и сборов идентификационный номер налогоплательщика."
      Ст. 1 Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" - "страховой номер индивидуального лицевого счета - уникальный номер индивидуального лицевого счета, используемый для обработки сведений о физическом лице в системе индивидуального (персонифицированного) учета, а также для идентификации и аутентификации сведений о физическом лице при предоставлении государственных и муниципальных услуг и исполнении государственных и муниципальных функций".
      Назначение ИНН и СНИЛС одинаковое - однозначная идентификация субъекта.
      В качестве идентификаторов ИНН и СНИЛС используется в очень большом количестве ИС организаций разного уровня и отраслей, например: таможня, банки, страховые компании, службы перевозки грузов, ЕСИА и т.д. и т.п.

      Удалить
    3. Причём здесь личность? Юридическое лицо то же налогоплательщик и так же получает ИНН.

      Удалить
  6. Коллеги, а где сказано, что ПДн должны вообще идентифицировать человека? В определении ПДн используется восхитительное слово "относятся" ("относящаяся"). О идентификации и речи не идет (за исключением биометрических ПДн, которые должны не просто характеризовать физиологические или биометрические особенности человека, но и позволять его идентифицировать). Поэтому если известно, что некая комбинация цифр относится к некоему человеку, то это, формально, ПДн.

    ОтветитьУдалить
    Ответы
    1. а ещё волшебное слово "косвенно"

      Удалить
    2. Запрос в Минкомсвязь.Толкование термина "субъект персональных данных" http://its-practice.blogspot.com/2019/08/blog-post.html

      Удалить
    3. Теперь осталось запросить их о термин 'идентификация'.

      Удалить
    4. Чудно, РКН утверждает, что идентификация не является определяющей в вопросе отнесения тех или иных сведений к ПДн, а вышестоящее министерство говорит об обратном. Причем, если руководствоваться позицией Минкосвязи, то всякие номера СНИЛС, ИНН, паспорта уж точно перестают быть ПДн без дополнительной информации.

      Удалить
    5. Более того, для тех же госуслуг необходимо использовать СНИЛС+ паспорт. Почему то одного СНИЛС или одного паспорта недостаточно

      Удалить
    6. И почему в анкетах необходимо указывать не просто номер паспорта, а ещё кем и когда выдан. И т.д.

      Удалить
  7. Регулятор в своем репертуаре.
    Если ИНН или СНИЛС это ПДН, то что же тогда обезличивание? И как выполнять их 996 приказ?

    ОтветитьУдалить
    Ответы
    1. а для большой загадочности, они хотят еще и "деперсонализированные данные" в закон ввести

      Удалить