Конец января выдался богатым на публичные мероприятия, посвященных защите персональных данных. Рассмотрим поподробнее, что нам рассказали в РКН и общественных ассоциациях.
Начнем с "Дня открытых дверей" РКН. Видеозапись доступна здесь -
Начну с общих впечатлений. Качество мероприятий РКН ощутимо падает с каждым разом. Надеюсь, что это временно и обусловлено объективными причинами. Более всего огорчило в этот раз, даже не ситуация с заявленной длительностью семинара, а неготовность отвечать на вопросы операторов ПДн - через обоснования невозможности дать однозначный ответ на них и их повышенную сложность. Вопросы собирались заранее, время на подготовку было. С 2006 года действует 152-ФЗ, а основной регулятор не имеет однозначной трактовки для разъяснения. На мой взгляд, яркий индикатор назревших изменений в законодательстве.
Первый доклад про Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», вступает в силу с 1 марта 2021 года.
Проект приказа РКН для его выполнения размещен - https://regulation.gov.ru/projects#npa=112660
Можете до 10 февраля успеть оставить свои замечания и предложения.
Там указан очень примечательный пункт:
биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
1. Почему РКН разъясняет, что этот закон регулирует отношения при распространении в сети Интернет? В тексте принятого закона нет никакого уточнения области применения. Предлагаемый проект согласия на распространение прямо это указывает "Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных."
То есть, распечатать и расклеивать листовки я могу с такой информацией? Главное в интернет не размещать?
2. В чем вообще смысл вводимых изменений? Процесс ради процесса? Я из разъяснений РКН так и не понял, каким образом появление дополнительных бумажек типа согласий повысит защищенность моих прав как субъекта ПДн. Судя по прозвучавшим объяснениям РКН о механизме реализации 519-ФЗ, это будет закон "ручного" применения.
3. Как "право субъекта персональных данных обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без дополнительных условий доказывания факта неправомерной обработки персональных данных" соответствует "принятие законопроекта обеспечит соблюдение баланса прав и законных интересов граждан и операторов персональных данных, а равно позволит образовать состав административного правонарушения за несоблюдение установленных требований, предусмотренный частью 1 статьи 13.11 КоАП РФ в случае размещения и (или) распространения персональных данных без согласия субъекта персональных данных или иных законных оснований.".
Вот я оператор ПДн, взял общедоступную информацию о субъекте ПДн и распространяю ее, с самим субъектов ПДн у меня никаких отношений нет. И получается, что любой гражданин может прислать мне от лица этого субъекта ПДн требование удалить и прекратить распространение? Ведь у оператора ПДн нет никакой возможности проверить личность заявителя.
а еще есть лозунг - "Интернет помнит все"! Доступ то оператор ПДн закрыл, но прекратилось ли распространение информации в сети?
4. В пору создавать орган по защите прав операторов ПДн. В законодательстве пошел явный перекос по ущемлению прав операторов ПДн.
"2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку."
Если я правильно понял, то оператор ПДн сразу объявляется правонарушителем, если сам не сможет доказать обратного?
Завтра 04.02.2021 должен состоятся вебинар по теме 519-ФЗ. Надеюсь, что Алексей Мунтян и Михаил Емельянников развеют мои сомнения, а не усугубят их.
Вторым докладом поделились новостью для операторов ПДн
Что еще прозвучало интересного на семинаре РКН:
- 669 протоколов оформили в РКН в 2020 году за непредоставление ответа организациями о внесении информации в реестр операторов ПДн на запрос РКН.
- Очень невнятная позиция про отнесение идентификатора к ПДн. Озвучен критерий отнесения - неизменность и уникальность.
- Электронная почта - это ПДн, поскольку уникальна. Невозможно создать такую же с тем же адресом.
- cookie являются ПДн , так как характеризуют пользователя в сети Интернет.
- Номер телефона - не ПДн.
- Решения суда со всеми упомянутыми ПДн публиковать можно, размещать на других сайтах аналогично.
- Общедоступные источники ПДн должны носить исключительно информационных характер.
- Если ПДн видны только зарегистрированным пользователям, то это "ограниченный круг" лиц и 519-ФЗ не требуется выполнять.
В этот же день были проведены:
Privacy Day 2021 Международная онлайн-конференция о защите персональных
данных и приватности - https://www.youtube.com/watch?v=9LaOJUYQKfc&feature=youtu.be
Взгляд инициативных граждан-антогонистов РКН, да и государству в целом. На мой взгляд, часть тезисов была озвучена в формулировках " на грани законности". Как я уже писал в цикле заметок про самодеятельный пентест (https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/pentesteram-posviascaetsia-chast-1-5fff2a2a9bebf134000e35be), крайне негативно отношусь к деятельности по неправомерному доступу к информационным системам, даже если это мотивируется "активной гражданской" позицией. Тем более, к призывам эксплуатировать уязвимости в ущерб государству.
и
Защита приватности миллионов: обработка данных в Интернет-проектах от IAPP
▪️Защита персональных данных в мультипродуктовой среде Яндекса. Дмитрий Бирюков, CIPP/E, CIPM, FIP, Эксперт, Compliance&Awareness Team, Яндекс
▫️«Мы вам перезвоним»: нюансы обработки данных в онлайн-рекрутменте. Юрий Донников, Директор Юридического департамента и комплаенс, HeadHunter
▪️Под капотом: минимизация обработки данных в SDK. Олег Блинов, CIPP/E, Global Data Protection Officer, Joom
Модератор: Вадим Перевалов, CIPP/E, Старший юрист, Baker McKenzie
Взгляд на проблему приватности со стороны операторов ПДн.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Комментариев нет:
Отправить комментарий