Трансграничная передача персональных данных!
Как много в этих 4 словах слилось. Самое интересное, что не всегда понятно, что под этим подразумевается. Казалось бы, есть определение в ФЗ152. Но даже на этом уровне возникают разночтения и недопонимания.

Итак, что такое трансграничная передача ПДн (ТГП)? Пересказывая определение ФЗ это когда ПДн передаются иностранному лицу на территорию иностранного государства. Тут важно исполнение обоих условий. И иностранцу и за границу. Если иностранец будет получать их в РФ (филиал) или российский ИП на удаленке в далекой теплой стране - это все не ТГП.

Следующий важный момент - что такое передача. Обращаясь к ФЗ - распространение, предоставление, доступ. И вот тут начинаются вопросы с толкованием.
Самое очевидное с предоставлением. Взяли персональные данные, приложили их к сообщению, отправили куда-нибудь в Зимбабве в электроном письме. Классика.
Распространение как ТГП? Можно себе представить соцсеть на иностранном хостинге. Предположим, это кому то понадобилось.
Доступ? С ним самое интересное. По той трактовке, что я знаю, доступ это любая обработка персональных данных без извлечения ее из ИСПДн. Т.е. следствием будет отсутствие ТГП при обработке ПДн иностранцами. Данные то остаются на территории РФ. Но это теоретическая часть. Практика же - современные технологии не позволяют отобразить что-либо на конечном устройстве не передавая данные в том или ином виде. Пусть и в сложноупотребляемом виде (типа изображения экрана в RDP клиенте), но таки с ПДн.

Итого: я все-таки буду считать, что доступ к ПДн иностранцами и из-за границы не является ТГП. И включать в договора с такими лицами (или в иные условия) только соответствующий набор действий.

P.S.: Хотел использовать в посте выдержку из решения, когда признали такой вот доступ ТГП. Которая и послужила поводом к размышлению. Но автор комментария почему-то ее удалил. Подозрительно это...
#Трансграничная_передача_данных #ПДн

Вообще в свое время готовил такое вот описание действий с ПДн для коллег из ИТ. Чтобы понимали, что они делают с точки зрения закона. Возможно не точно, но близко к практике и понятно людям :)

Сбор – любые действия, приводящие к появлению персональных данных нового физического лица или дополнение новыми имеющихся данных.
Запись – сохранение в базы данных, таблицы, файлы, на материальные носители полученных ПДн.
Хранение – обеспечение наличия персональных данных в базах данных или файлах на срок, необходимый для достижения цели обработки.
Копирование – создание дубликатов ПДн в базах данных, таблицах, файлах и т.п.
Накопление – дополнение одних ПДн субъекта другими.
Уточнение – подтверждение актуальности ПДн или изменение имеющихся.
Систематизация – запись и хранение ПДн в соответствии с определенными критериями и алгоритмами
Использование – действия с ПДн, которые необходимы для достижения цели обработки.
Передача – распространение, предоставление, доступ к ПДн
Распространение – раскрытие ПДн неограниченному кругу лиц, отключение контроля доступа по авторизации.
Предоставление – раскрытие ПДн строго ограниченному кругу лиц, назначение прав доступа конкретным пользователям.
Доступ – разрешение обработки ПДн ограниченному кругу лиц без передачи из мест хранения ПДн вовне.
Обезличивание – искажение ПДн в целях невозможности определения их владельца.
Блокирование – временное прекращение обработки ПДн, за исключением уточнения, хранения.
Удаление – исключение части ПДн субъекта из обработки, без возможности восстановления.
Уничтожение – полное и безвозвратное удаление всех ПДн субъекта из информационной системы или с материальных носителей с ПДн (вместе с материальными носителями).
Трансграничная передача – передача ПДн за пределы территории РФ и иностранному лицу.

Теперь и РКН порадовал аналогичным ответом про трансграничную передачу ПДн пользователям мессенджеров на территории РФ. Тоже считают, что это не ТГП. Конечно с учетом всех возможных ограничений и условий.
Спасибо Анастасии @Nastya77854 за предоставленный ответ.
Остается только осторожно радоваться, что одним риском стало меньше.
#Позиция_РКН #Трансграничная_передача

И снова про трансграничную передачу. И мессенджеры.

Хочу высказать свое мнение по следам ответов Минцифры и РКН. Их признание, что оператор передавая ПДн субъекту-россиянину не совершает ТГП беусловно прекрасно. И сильно облегчает жизнь простому бизнесу ( я не говорю про тех, кому было запрещено их использовать в силу деятельности - финансы, госкорпорации, госорганы). Но технически все не так просто. Для примера возьму популярный из-за средств автоматизации Telegram.

В этом прекрасном, но безусловно иностранном мессенджере есть два способа обработки ПДн: когда представитель оператора сам вступает в контакт с субъектом и пишет что-то, и когда есть некий бот, с которым работает физическое лицо. Любая из схем согласно документации Tg исключительно клиент-серверная. Т.е. оператор и субъект передают данные только через сервера Телеграм. Они там сохраняются и далее предоставляются получателю. Обработка иностранным лицом на территории иностранного государства есть. Хотя логически данные от российского лица передаются российскому лицу. О чем и говорят регуляторы.

Почему могло возникнуть такое мнение?
Тут можно только гадать. Не знать об архитектуре мессенджера они не могли. Вряд ли считают, что технология peer-to-peer, мертвая со времен оригинального Skype, вдруг там применяется. Вероятно есть какое то сочетание факторов - распространенность среди бизнеса, отсутствие отечественных альтернатив, применение формального подхода - есть CoreAPI (технология Tg, позволяющая запускать боты на собственных серверах, но которая не меняет схему передачи данных), есть российские пользователи и вроде все у нас.

Что теперь делать?
Ну как минимум не собирать данные через иностранные мессенджеры. Логика выше - данные пользователь сначала отправил в Tg на обработку. Слишком серьезное наказание. 1-6 млн. только за первичное нарушение. Доказывается элементарно. И я бы не стал строить ключевые сервисы на базе мессенджеров собственной реализации. Скорее всего как только разовьют сервис Макс о старых выводах забудут. Тут проще использовать отечественные коммуникационные платформы, которые реализуют логику общения на собственных мощностях и подключают мессенджеры в качестве витрин по желанию клиента. Но, повторюсь, сбор и тут крайне рискован.

Тем временем где-то в Tg.
Детский мир решил выйти из мессенджера. Но потом передумал и пост удалил.
Интересно, какие законодательные требования их до этого довели?

Прислали видео из одного популярного канала в Tg. Прекрасная иллюстрация до чего довели страну демократы согласия. Но я понимаю, если в магазин прибегает взмыленный клиент и вопит «Хочу вашу акцию, вот мои персональные данные, дайте подписать согласие». Простым людям простительно не сильно разбираться в основаниях обработки ПДн, это могут «не только лишь все» ©. Но когда дичь про согласия начинает нести юрист и обещает еще что с ним проблем не будет…

Для начала – а ситуация с парнем, который взял контакт девушки в мессенджере и написал ей там, она вообще про ФЗ152? Вот как раз нет. Как гласит п.1 ч.2 ст.1 ФЗ152 – все что про ПДн в личных и семейных нуждах, оно не про этот закон. Конечно, если ничьи права не нарушаются.
Ну хорошо, натянем хорошенько сову на глобус и представим себе девушку в роли оператора ПДн, которая обрабатывает их в целях оказания услуг платного общения. Парень увидел все предупреждения, написал, заплатил. И? Причем тут согласия? П.5 ч.1 ст.6 – договорные отношения в полный рост. Прекрасное основание для обработки. А юрист с экрана выглядит… Нелепо. Тем более когда обещает, что с ним таких проблем не будет. Ага.

На самом деле то проблемы могли быть у девушки, натянись сова на глобус. Но по другим причинам.

Что точно можно сказать – в наличии горячо любимый сбор ПДн с использованием иностранных ресурсов. Парень наверняка бы что то поведал новое про себя. КоАП 13.11, ч. 8 – 30-50 тысяч рублей если частное лицо, и от 1 до 6 млн если признают юридическим. Отсутствие ссылки на политику обработки ПДн в месте сбора ПДн уже мелочь – ч.3 ст.13.11 предусматривает немного. 1.5-3 тысячи для частников и до 50 тысяч остальным. Наверняка девушка о себе ничего и не рассказывала РКН как об операторе. Ч.10 ст.13.11 – граждане платят 5-10 т.р. (к вопросу о том, кто может быть оператором, граждане по КоАП тоже операторы), остальные 100-300 т.р.

Но в целом, чем больше таких вот юристов в роликах, тем ценнее я, как специалист :)

Скоро сентябрь. И вот такое творчество наконец-то уйдет в прошлое. Никто не сможет (хочется верить) на основании обычного договора подписать меня на тысячи рассылок и спамить мегатоннами рекламы. Или продавать мои контакты. Но это радость простого человека. Которому, кстати, РКН всего год назад заявил, что такой вот договор нормально и поводов возбуждаться нет. Как ни жалуйся.

Но что делать очень ответственному за обработку персональных данных?

Смотрим в ч.1 ст.9 ФЗ152, которое вступит в силу с 1 сентября:
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.»
Тут сразу можно выделить два направления, в которые придется копать:

1. Документы, которые подписываются. Нужна инвентаризация или проверка документов, где могут быть вшиты зачем-то согласия на обработку персональных данных. Там где согласия «на всякий случай» нужно будет их удалить, но обязательно вписать условия работы с ПДн. Договор сам по себе основание для обработки. А вот те согласия, которые у нас оформляются по закону (на получение рекламы, на спецкатегории, на биометрию и т.п.) думать как оформлять отдельно. Как придумается, бежать собирать с действующих. Прерывать же бизнес-процесс никто не станет?

2. Информация и документы, которые подтверждаются. А тут все веселее. Если договора с вшитыми согласиями встречаются не часто, то формы на сайтах или приложениях с совмещенными «Подтверждаю ознакомление с … и даю согласие на …» сплошь и рядом. И их надо будет «расшивать». Т.е. провести инвентаризацию, поставить задачу, выделить ресурсы, доработать. И мало разделить такие формы (вот маркетинг будет ругаться), так надо еще не сломать хранение подтверждений факта получения согласий.

И да, не забываем про трудоустройство. Анкеты кандидатов, если они вдруг на бумаге или содержат общую кнопку подтверждаю и соглашаюсь, тоже должны разделиться.

Очень интересный и всегда актуальный вопрос - кто оператор, а кто обработчик?

И ответ на вопрос часто упрощает жизнь. Или усложняет.
Итак, оператор согласно определению это тот, кто самостоятельно определяет цели обработки или для обработки есть требования закона. Часто сталкиваюсь (до сих пор) с мнением, что юридическое лицо обрабатывает только ПДн работников, по этому оно не оператор. Увы, это ошибка. Любая чуть более сложная организация, чем точка по продаже семечек на рынке, сталкивается с наймом. Это значит обработка ПДн соискателей (а там где соискатели, недалеко до их руководителей). Не забываем про родственников у работников, которые болеют, хотят подарков на новый год и разных материальных выплат. А ведение хозяйственной деятельности? Там заключение договоров, получение счетов, актов и т.п. В них есть ПДн. Их тоже нужно обрабатывать.

А чем обработчик отличается от оператора? Главное, это временная роль и в отношении части процессов обработки ПДн. Любой оператор может в каком-то процессе стать обработчиком. Потому что попадет в зависимость от другого оператора - он даст данные и скажет что с ними делать, как делать. Вся разница в наличии или отсутствии свободы выбора целей при отношениях с другими операторами.

Когда встает вопрос, заключать или нет с контрагентом поручение на обработку, всегда нужно задать вопрос - он сам с ними будет что-то делать, они ему нужны чтобы работать с субъектами ПДн вне рамок предмета договора? А тут возможны только варианты, когда есть прямой договор с субъектом (ну или выгодоприобретение и прочее по п.5 ч.1 ст.6 ФЗ152), когда есть требование закона или законные условия (научная работа, сми).

#Поручение #Оператор #Обработчик

Продолжая тему оператор vs обработчик. Отличие не только в том, кто определяет цели обработки, но и кто определяет основания для обработки. Вернее не так, какие основания определены для каждой роли. И тут обработчик выявляется легко - у него единственное основание это согласие (хотя минимум одно исключение есть, необычайное и удивительное, как и все в законах о ПДн). Причем согласие должен получать оператор. Тот самый, который с данными работает и по закону, и по договору.

Но часты случаи, когда оператор передает ПДн другому оператору. Самое очевидное - работодатель отдает сведения в Налоговую, Соцстрах и т.п. Менее очевидное, когда работодатель передает данные работников для их обучения по охране труда, по медосмотрам, для брони гостиниц и покупок билетов. Это все те самые случаи обработки в силу закона. Да, гостиницам и транспортным компаниям (не агрегаторам - это важно!) нужны данные пользователей их услуг в силу регуляции их деятельности. Тут согласия не оформляются, не смотря на всю мощь и силу ст. 88 ТК РФ.

Но! Нельзя просто так взять и передать персональные данные™. При отношениях оператор-оператор действует ч.3 и ч.4 ст.18 ФЗ152 - или один или другой оператор обязаны уведомить об такой вот передаче и обработке. Если нет требований закона (кажется, про налоговую никому не надо рассказывать). Все как обычно. Ну и кто это должен сделать предполагается, что операторы разберутся сами. Хорошо бы, но не всегда получается определить что вообще и кто должен... :)

#Оператор #Передача_ПДн #ФЗ152

Два приказа ценой от 50 до 100 тысяч рублей.
Постановление Правительства 1119, которое про требования к защите персональных данных при обработке в ИСПДн, обязует операторов выпускать 2 приказа.

1. Назначать ответственных за защиту персональных данных в ИСПДн с уровнем защищенности 3 и выше. Отдельный вопрос, как это защищает данные, но тем не менее.

2. В целом это не приказ, конечно же. Постановление говорит, что перечень лиц, допущенных к обработке ПДн в системе в связи с должностными обязанностями, должен утверждаться руководителем организации. Еще тогда, в 2012м, на практике было понятно, что это нереально даже для не очень больших организаций - утверждать у генерального директора каждый доступ рядового работника в систему. По этому все тихо сошлись на составлении списка должностей организации, которым нужно работать с ПДн, и утверждении его приказом.

И что самое веселое - КоАП ст. 13.12 в ч.6 относит это вот к требованиям по защите информации и оценивает отсутствие приказов до 100 тысяч рублей. За каждый. А приказов по сути должно быть ровно по количеству подпадающих ИСПДн (в идеале). А еще недавно было на порядок дешевле не выполнять такие сугубо бюрократические меры защиты.
#ИСПДн #Персональные_данные #КоАП #ПП1119 #Проблемы_ФЗ152

Масштаб конечно впечатляет. Каким-то образом уничтожили физические сервера. Украли террабайты данных. Многие каналы пишут про то, что данные клиентов тоже украдены. Кажется, это будет первый случай применения новых статей про утечки ПДн. Хочется только пожелать Аэрофлоту удачи.

Обработка по поручению. Грусть формулировок

Наш горячо любимый ФЗ152 разрешает передавать персональные данные на обработку подрядчикам, называя тех лицами, осуществляющими обработку персональных данных по поручению оператора. Основание здесь единственное и прямо указано в ч.3 ст.6 ФЗ152 :

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом

И печаль в том, что не указано с какого именно согласия. И вот отсюда начинается полет фантазии. Самое частое, что я вижу: "Раз поручение с согласия, значит согласие должно быть на поручение". Более экзотический формат: "Согласие на привлечение". Но в реальности все чуть-чуть по другому.

Что такое поручение?
В ГК РФ есть целая глава под номером 49 которая так и называется, "Поручение". В ст.971 раскрывается суть: это, во-первых, договор между двумя сторонами, во вторых он касается отношений двух юридических лиц (если чуть упрощать), а в-третьих, это делегирование прав и обязанностей от одной стороны другой.

А имеется у субъекта?
Верно, у него есть только персональные данные, право на конфиденциальность и отношения с оператором. И нет права влиять на деятельность оператора. Т.е. согласиться на обработку персональных данных он может, а вот разрешить или запретить заключать договор поручения - нет.

Складываем вместе.
Если оператор вдруг решает отдать обработку ПДн в рамках процесса третьему лицу (ему так захотелось), то начинает работать ч.3 ст.6. Оператор заключает поручение на обработку ПДн с подрядчиком, а с субъекта собирает согласие на передачу и обработку в адрес подрядчика. Конечно же, согласие оформляется отдельно от остальных документов и информации.

И никаких согласий на поручение.

Кстати, еще одна логическая конструкция в пользу такой схемы: невозможно определить действие "поручить" как операцию обработки, на которую мог бы дать согласие субъект по п.1 ч.1 ст.6

Проблема поручений и согласий.

С одной стороны, схема оператор-обработчик хорошо ложится на ситуации, когда данные передаются, обрабатываются, цель достигается, обработка прекращается. Но не менее реже встречается обработка по поручению, когда подрядчик поддерживает ИСПДн - сайт, систему управления отношения с клиентами и т.п. И вот с ней есть проблема. И даже не одна

1. Не часто, но подрядчики меняются - одни уходят, другие приходят. Или их просто становится больше. А в ИСПДн накоплены мегатонны клиентских данных. Можно разлогинить всех и/или собирать согласия при входе. Но это в лучшем случае охватит половину субъектов, которые продолжают пользовать сервис (кто перестали, не захотели соглашаться или прошли по другим каналам никак и не затронет). А с остальными как быть? По сути их обработка подрядчиком будет не очень законна. Пока из рабочих вариантов тут выводить список третьих лиц и обязать субъекта самостоятельно отслеживать изменения в этом списке. Решение на грани, если чуть-чуть забыть про некоторые обороты ч.1 ст.9 ФЗ152. Технических решений, которые бы блокировали доступ к данным в отношении которых нет согласия, я как то не видел. И даже не могу представить себе архитектуру подобного монстра.

2. Ситуация еще хуже - данные обрабатываются в системе подрядчика по поручению, а у того... Свои подрядчики по обслуживанию ИСПДн и тоже по поручению. Технически еще один "каскад согласий". Причем большой вопрос - кто их должен собирать и как обновлять.

3. И нельзя забывать, что всегда может прилететь отзыв согласия и придется тратить ресурсы на его исполнение.

Ситуацию можно исправить, если законодательно определить границы исполнения договоренностей с субъектом. Использовать перечисление в оферте/договоре третьих лиц, условия передачи, обязательства, заключение поручений но без всяких согласий. Де-факто оно так и происходит. Но де-юре мы живем в законодательных парадигмах прошлого века.