Очень интересный и всегда актуальный вопрос - кто оператор, а кто обработчик?
И ответ на вопрос часто упрощает жизнь. Или усложняет.
Итак, оператор согласно определению это тот, кто самостоятельно определяет цели обработки или для обработки есть требования закона. Часто сталкиваюсь (до сих пор) с мнением, что юридическое лицо обрабатывает только ПДн работников, по этому оно не оператор. Увы, это ошибка. Любая чуть более сложная организация, чем точка по продаже семечек на рынке, сталкивается с наймом. Это значит обработка ПДн соискателей (а там где соискатели, недалеко до их руководителей). Не забываем про родственников у работников, которые болеют, хотят подарков на новый год и разных материальных выплат. А ведение хозяйственной деятельности? Там заключение договоров, получение счетов, актов и т.п. В них есть ПДн. Их тоже нужно обрабатывать.
А чем обработчик отличается от оператора? Главное, это временная роль и в отношении части процессов обработки ПДн. Любой оператор может в каком-то процессе стать обработчиком. Потому что попадет в зависимость от другого оператора - он даст данные и скажет что с ними делать, как делать. Вся разница в наличии или отсутствии свободы выбора целей при отношениях с другими операторами.
Когда встает вопрос, заключать или нет с контрагентом поручение на обработку, всегда нужно задать вопрос - он сам с ними будет что-то делать, они ему нужны чтобы работать с субъектами ПДн вне рамок предмета договора? А тут возможны только варианты, когда есть прямой договор с субъектом (ну или выгодоприобретение и прочее по п.5 ч.1 ст.6 ФЗ152), когда есть требование закона или законные условия (научная работа, сми).
#Поручение #Оператор #Обработчик
И ответ на вопрос часто упрощает жизнь. Или усложняет.
Итак, оператор согласно определению это тот, кто самостоятельно определяет цели обработки или для обработки есть требования закона. Часто сталкиваюсь (до сих пор) с мнением, что юридическое лицо обрабатывает только ПДн работников, по этому оно не оператор. Увы, это ошибка. Любая чуть более сложная организация, чем точка по продаже семечек на рынке, сталкивается с наймом. Это значит обработка ПДн соискателей (а там где соискатели, недалеко до их руководителей). Не забываем про родственников у работников, которые болеют, хотят подарков на новый год и разных материальных выплат. А ведение хозяйственной деятельности? Там заключение договоров, получение счетов, актов и т.п. В них есть ПДн. Их тоже нужно обрабатывать.
А чем обработчик отличается от оператора? Главное, это временная роль и в отношении части процессов обработки ПДн. Любой оператор может в каком-то процессе стать обработчиком. Потому что попадет в зависимость от другого оператора - он даст данные и скажет что с ними делать, как делать. Вся разница в наличии или отсутствии свободы выбора целей при отношениях с другими операторами.
Когда встает вопрос, заключать или нет с контрагентом поручение на обработку, всегда нужно задать вопрос - он сам с ними будет что-то делать, они ему нужны чтобы работать с субъектами ПДн вне рамок предмета договора? А тут возможны только варианты, когда есть прямой договор с субъектом (ну или выгодоприобретение и прочее по п.5 ч.1 ст.6 ФЗ152), когда есть требование закона или законные условия (научная работа, сми).
#Поручение #Оператор #Обработчик
🔥3❤1
Продолжая тему оператор vs обработчик. Отличие не только в том, кто определяет цели обработки, но и кто определяет основания для обработки. Вернее не так, какие основания определены для каждой роли. И тут обработчик выявляется легко - у него единственное основание это согласие (хотя минимум одно исключение есть, необычайное и удивительное, как и все в законах о ПДн). Причем согласие должен получать оператор. Тот самый, который с данными работает и по закону, и по договору.
Но часты случаи, когда оператор передает ПДн другому оператору. Самое очевидное - работодатель отдает сведения в Налоговую, Соцстрах и т.п. Менее очевидное, когда работодатель передает данные работников для их обучения по охране труда, по медосмотрам, для брони гостиниц и покупок билетов. Это все те самые случаи обработки в силу закона. Да, гостиницам и транспортным компаниям (не агрегаторам - это важно!) нужны данные пользователей их услуг в силу регуляции их деятельности. Тут согласия не оформляются, не смотря на всю мощь и силу ст. 88 ТК РФ.
Но! Нельзя просто так взять и передать персональные данные™. При отношениях оператор-оператор действует ч.3 и ч.4 ст.18 ФЗ152 - или один или другой оператор обязаны уведомить об такой вот передаче и обработке. Если нет требований закона (кажется, про налоговую никому не надо рассказывать). Все как обычно. Ну и кто это должен сделать предполагается, что операторы разберутся сами. Хорошо бы, но не всегда получается определить что вообще и кто должен... :)
#Оператор #Передача_ПДн #ФЗ152
Но часты случаи, когда оператор передает ПДн другому оператору. Самое очевидное - работодатель отдает сведения в Налоговую, Соцстрах и т.п. Менее очевидное, когда работодатель передает данные работников для их обучения по охране труда, по медосмотрам, для брони гостиниц и покупок билетов. Это все те самые случаи обработки в силу закона. Да, гостиницам и транспортным компаниям (не агрегаторам - это важно!) нужны данные пользователей их услуг в силу регуляции их деятельности. Тут согласия не оформляются, не смотря на всю мощь и силу ст. 88 ТК РФ.
Но! Нельзя просто так взять и передать персональные данные™. При отношениях оператор-оператор действует ч.3 и ч.4 ст.18 ФЗ152 - или один или другой оператор обязаны уведомить об такой вот передаче и обработке. Если нет требований закона (кажется, про налоговую никому не надо рассказывать). Все как обычно. Ну и кто это должен сделать предполагается, что операторы разберутся сами. Хорошо бы, но не всегда получается определить что вообще и кто должен... :)
#Оператор #Передача_ПДн #ФЗ152
👍2
Два приказа ценой от 50 до 100 тысяч рублей.
Постановление Правительства 1119, которое про требования к защите персональных данных при обработке в ИСПДн, обязует операторов выпускать 2 приказа.
1. Назначать ответственных за защиту персональных данных в ИСПДн с уровнем защищенности 3 и выше. Отдельный вопрос, как это защищает данные, но тем не менее.
2. В целом это не приказ, конечно же. Постановление говорит, что перечень лиц, допущенных к обработке ПДн в системе в связи с должностными обязанностями, должен утверждаться руководителем организации. Еще тогда, в 2012м, на практике было понятно, что это нереально даже для не очень больших организаций - утверждать у генерального директора каждый доступ рядового работника в систему. По этому все тихо сошлись на составлении списка должностей организации, которым нужно работать с ПДн, и утверждении его приказом.
И что самое веселое - КоАП ст. 13.12 в ч.6 относит это вот к требованиям по защите информации и оценивает отсутствие приказов до 100 тысяч рублей. За каждый. А приказов по сути должно быть ровно по количеству подпадающих ИСПДн (в идеале). А еще недавно было на порядок дешевле не выполнять такие сугубо бюрократические меры защиты.
#ИСПДн #Персональные_данные #КоАП #ПП1119 #Проблемы_ФЗ152
Постановление Правительства 1119, которое про требования к защите персональных данных при обработке в ИСПДн, обязует операторов выпускать 2 приказа.
1. Назначать ответственных за защиту персональных данных в ИСПДн с уровнем защищенности 3 и выше. Отдельный вопрос, как это защищает данные, но тем не менее.
2. В целом это не приказ, конечно же. Постановление говорит, что перечень лиц, допущенных к обработке ПДн в системе в связи с должностными обязанностями, должен утверждаться руководителем организации. Еще тогда, в 2012м, на практике было понятно, что это нереально даже для не очень больших организаций - утверждать у генерального директора каждый доступ рядового работника в систему. По этому все тихо сошлись на составлении списка должностей организации, которым нужно работать с ПДн, и утверждении его приказом.
И что самое веселое - КоАП ст. 13.12 в ч.6 относит это вот к требованиям по защите информации и оценивает отсутствие приказов до 100 тысяч рублей. За каждый. А приказов по сути должно быть ровно по количеству подпадающих ИСПДн (в идеале). А еще недавно было на порядок дешевле не выполнять такие сугубо бюрократические меры защиты.
#ИСПДн #Персональные_данные #КоАП #ПП1119 #Проблемы_ФЗ152
👍5
Forwarded from 🔥Full-Time Trading
❗️️🇷🇺 Хакеры сообщили о взломе систем $AFLT «Аэрофлота». По их заявлениям, операция длилась около года и завершилась якобы полным уничтожением внутренней ИТ-инфраструктуры авиакомпании. По их данным, уничтожено порядка 7000 физических и виртуальных серверов, получено более 20 Тб данных — СМИ
👉 FTT - подписаться
👉 FTT - подписаться
😨1
🔥Full-Time Trading
❗️️🇷🇺 Хакеры сообщили о взломе систем $AFLT «Аэрофлота». По их заявлениям, операция длилась около года и завершилась якобы полным уничтожением внутренней ИТ-инфраструктуры авиакомпании. По их данным, уничтожено порядка 7000 физических и виртуальных серверов…
Масштаб конечно впечатляет. Каким-то образом уничтожили физические сервера. Украли террабайты данных. Многие каналы пишут про то, что данные клиентов тоже украдены. Кажется, это будет первый случай применения новых статей про утечки ПДн. Хочется только пожелать Аэрофлоту удачи.
Обработка по поручению. Грусть формулировок
Наш горячо любимый ФЗ152 разрешает передавать персональные данные на обработку подрядчикам, называя тех лицами, осуществляющими обработку персональных данных по поручению оператора. Основание здесь единственное и прямо указано в ч.3 ст.6 ФЗ152 :
И печаль в том, что не указано с какого именно согласия. И вот отсюда начинается полет фантазии. Самое частое, что я вижу: "Раз поручение с согласия, значит согласие должно быть на поручение". Более экзотический формат: "Согласие на привлечение". Но в реальности все чуть-чуть по другому.
Что такое поручение?
В ГК РФ есть целая глава под номером 49 которая так и называется, "Поручение". В ст.971 раскрывается суть: это, во-первых, договор между двумя сторонами, во вторых он касается отношений двух юридических лиц (если чуть упрощать), а в-третьих, это делегирование прав и обязанностей от одной стороны другой.
А имеется у субъекта?
Верно, у него есть только персональные данные, право на конфиденциальность и отношения с оператором. И нет права влиять на деятельность оператора. Т.е. согласиться на обработку персональных данных он может, а вот разрешить или запретить заключать договор поручения - нет.
Складываем вместе.
Если оператор вдруг решает отдать обработку ПДн в рамках процесса третьему лицу (ему так захотелось), то начинает работать ч.3 ст.6. Оператор заключает поручение на обработку ПДн с подрядчиком, а с субъекта собирает согласие на передачу и обработку в адрес подрядчика. Конечно же, согласие оформляется отдельно от остальных документов и информации.
И никаких согласий на поручение.
Кстати, еще одна логическая конструкция в пользу такой схемы: невозможно определить действие "поручить" как операцию обработки, на которую мог бы дать согласие субъект по п.1 ч.1 ст.6
Наш горячо любимый ФЗ152 разрешает передавать персональные данные на обработку подрядчикам, называя тех лицами, осуществляющими обработку персональных данных по поручению оператора. Основание здесь единственное и прямо указано в ч.3 ст.6 ФЗ152 :
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
И печаль в том, что не указано с какого именно согласия. И вот отсюда начинается полет фантазии. Самое частое, что я вижу: "Раз поручение с согласия, значит согласие должно быть на поручение". Более экзотический формат: "Согласие на привлечение". Но в реальности все чуть-чуть по другому.
Что такое поручение?
В ГК РФ есть целая глава под номером 49 которая так и называется, "Поручение". В ст.971 раскрывается суть: это, во-первых, договор между двумя сторонами, во вторых он касается отношений двух юридических лиц (если чуть упрощать), а в-третьих, это делегирование прав и обязанностей от одной стороны другой.
А имеется у субъекта?
Верно, у него есть только персональные данные, право на конфиденциальность и отношения с оператором. И нет права влиять на деятельность оператора. Т.е. согласиться на обработку персональных данных он может, а вот разрешить или запретить заключать договор поручения - нет.
Складываем вместе.
Если оператор вдруг решает отдать обработку ПДн в рамках процесса третьему лицу (ему так захотелось), то начинает работать ч.3 ст.6. Оператор заключает поручение на обработку ПДн с подрядчиком, а с субъекта собирает согласие на передачу и обработку в адрес подрядчика. Конечно же, согласие оформляется отдельно от остальных документов и информации.
И никаких согласий на поручение.
Кстати, еще одна логическая конструкция в пользу такой схемы: невозможно определить действие "поручить" как операцию обработки, на которую мог бы дать согласие субъект по п.1 ч.1 ст.6
👍1
Проблема поручений и согласий.
С одной стороны, схема оператор-обработчик хорошо ложится на ситуации, когда данные передаются, обрабатываются, цель достигается, обработка прекращается. Но не менее реже встречается обработка по поручению, когда подрядчик поддерживает ИСПДн - сайт, систему управления отношения с клиентами и т.п. И вот с ней есть проблема. И даже не одна
1. Не часто, но подрядчики меняются - одни уходят, другие приходят. Или их просто становится больше. А в ИСПДн накоплены мегатонны клиентских данных. Можно разлогинить всех и/или собирать согласия при входе. Но это в лучшем случае охватит половину субъектов, которые продолжают пользовать сервис (кто перестали, не захотели соглашаться или прошли по другим каналам никак и не затронет). А с остальными как быть? По сути их обработка подрядчиком будет не очень законна. Пока из рабочих вариантов тут выводить список третьих лиц и обязать субъекта самостоятельно отслеживать изменения в этом списке. Решение на грани, если чуть-чуть забыть про некоторые обороты ч.1 ст.9 ФЗ152. Технических решений, которые бы блокировали доступ к данным в отношении которых нет согласия, я как то не видел. И даже не могу представить себе архитектуру подобного монстра.
2. Ситуация еще хуже - данные обрабатываются в системе подрядчика по поручению, а у того... Свои подрядчики по обслуживанию ИСПДн и тоже по поручению. Технически еще один "каскад согласий". Причем большой вопрос - кто их должен собирать и как обновлять.
3. И нельзя забывать, что всегда может прилететь отзыв согласия и придется тратить ресурсы на его исполнение.
Ситуацию можно исправить, если законодательно определить границы исполнения договоренностей с субъектом. Использовать перечисление в оферте/договоре третьих лиц, условия передачи, обязательства, заключение поручений но без всяких согласий. Де-факто оно так и происходит. Но де-юре мы живем в законодательных парадигмах прошлого века.
С одной стороны, схема оператор-обработчик хорошо ложится на ситуации, когда данные передаются, обрабатываются, цель достигается, обработка прекращается. Но не менее реже встречается обработка по поручению, когда подрядчик поддерживает ИСПДн - сайт, систему управления отношения с клиентами и т.п. И вот с ней есть проблема. И даже не одна
1. Не часто, но подрядчики меняются - одни уходят, другие приходят. Или их просто становится больше. А в ИСПДн накоплены мегатонны клиентских данных. Можно разлогинить всех и/или собирать согласия при входе. Но это в лучшем случае охватит половину субъектов, которые продолжают пользовать сервис (кто перестали, не захотели соглашаться или прошли по другим каналам никак и не затронет). А с остальными как быть? По сути их обработка подрядчиком будет не очень законна. Пока из рабочих вариантов тут выводить список третьих лиц и обязать субъекта самостоятельно отслеживать изменения в этом списке. Решение на грани, если чуть-чуть забыть про некоторые обороты ч.1 ст.9 ФЗ152. Технических решений, которые бы блокировали доступ к данным в отношении которых нет согласия, я как то не видел. И даже не могу представить себе архитектуру подобного монстра.
2. Ситуация еще хуже - данные обрабатываются в системе подрядчика по поручению, а у того... Свои подрядчики по обслуживанию ИСПДн и тоже по поручению. Технически еще один "каскад согласий". Причем большой вопрос - кто их должен собирать и как обновлять.
3. И нельзя забывать, что всегда может прилететь отзыв согласия и придется тратить ресурсы на его исполнение.
Ситуацию можно исправить, если законодательно определить границы исполнения договоренностей с субъектом. Использовать перечисление в оферте/договоре третьих лиц, условия передачи, обязательства, заключение поручений но без всяких согласий. Де-факто оно так и происходит. Но де-юре мы живем в законодательных парадигмах прошлого века.
Каждую пятницу Т2 в ...
Как то уже за гранью добра и зла. Есть две симки у Т2, и по одной из них каждую пятницу вот такое. Причем каждый раз я подтверждал данные через Госуслуги, отправлял заявления на актуализацию. Через неделю - повтор.
Самое смешное, что в Т2 считают, что у меня может поменяться дата и место рождения...
Пожаловался в РКН. По графе "ПДн -другое". Даже интересно, что ответят.
Или надо было на связь жаловаться?
Как то уже за гранью добра и зла. Есть две симки у Т2, и по одной из них каждую пятницу вот такое. Причем каждый раз я подтверждал данные через Госуслуги, отправлял заявления на актуализацию. Через неделю - повтор.
Самое смешное, что в Т2 считают, что у меня может поменяться дата и место рождения...
Пожаловался в РКН. По графе "ПДн -другое". Даже интересно, что ответят.
Или надо было на связь жаловаться?
🤣2🤩1
Такое применение нейросетей является прекрасным примером ст. 16 ФЗ152 про принятие решений исключительно на основе автоматизированной обработки. Интересно, они собирают письменные согласия, приняли закон какой или просто не знают про эту норму? 🙄
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Коммерсантъ
Сейчас администрация Санкт-Петербурга начала тестировать для отбора кандидатов на госслужбу нейросеть, разработанную Национальным исследовательским университетом ИТМО. Пока ИИ тренируется на кандидатах в молодежный кадровый резерв.
#Ъузнал
Please open Telegram to view this post
VIEW IN TELEGRAM
😁1
Поручай но проверяй - интересная опция ч.3 ст.6 ФЗ152
Как ни странно, но закон нам дал не только удивительные формулировки, но и некоторые практические инструменты управления обработчиками. Да и в целом некоторое влияние на бизнес-процессы. Хотя тут тот самый случай, когда удивительные формулировки вместились в один флакон с возможностями.
ч.3 ст.6 кроме всего прочего гласит, что
Удивительное тут то, что в поручение включается требование к обработчику подтверждать соблюдение им норм обработки ПДн до начала обработки. Хорошо, подписались с обработчиком, попросили до обработки подтвердить его благонадежность. А он в ответ "я не оператор, уведомлений не подвал, политику не писал, про ФЗ152 в первый раз от вас услышал.". И зачем такой контрагент? Очевидно, что быстро он защиту ПДн не наладит, а работать нужно сейчас. Законодатели почему то решили, что нужно вот так, сначала выбирать а потом думать, что выбрали. Лучше все таки проверять контрагентов до заключения договора и принимать решение уже с учетом оценки соответствия.
А как ее проводить, эту оценку? Пока самое простое и реализуемое, что пришло в голову - анкетирование по разложенным на части требованиям ч.3. То, что можно проверить независимо (политику, регистрацию в РКН и т.п.); по заполнению (на достоверность) - некоторые вещи можно реализовать только в комплексе комплексе; или получив какие то выдержки в электронном виде. Особая фишка - дать примеры с намеренными ошибками и потом грустить над их копипастой в ответах. Да даже опубликованная политика обработки ПДн на сайте только про сайт или с датой -5 лет назад уже заставляет насторожиться.
Самое веселое, что видел (не считая полностью скопированной собственной политики на одном маленьком сайтике) - ответ одной широко известной в узких кругах компании с юридическим фокусом, что они операторы только в части ПДн работников.
Так что проблемы с пониманием, а тем более исполнением ФЗ152, могут быть где угодно.
Что полезного дает такой вот инструмент анкетирования - хоть какую-то достоверную информацию для оценки рисков и управления ими. Принимать решения и доносить до коллег позицию проще, имея на руках чистосердечные признания :)
#Поручение #Обработчик #ФЗ152_полезность
Как ни странно, но закон нам дал не только удивительные формулировки, но и некоторые практические инструменты управления обработчиками. Да и в целом некоторое влияние на бизнес-процессы. Хотя тут тот самый случай, когда удивительные формулировки вместились в один флакон с возможностями.
ч.3 ст.6 кроме всего прочего гласит, что
"В поручении оператора ... должна быть установлена обязанность ... по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей ...
Удивительное тут то, что в поручение включается требование к обработчику подтверждать соблюдение им норм обработки ПДн до начала обработки. Хорошо, подписались с обработчиком, попросили до обработки подтвердить его благонадежность. А он в ответ "я не оператор, уведомлений не подвал, политику не писал, про ФЗ152 в первый раз от вас услышал.". И зачем такой контрагент? Очевидно, что быстро он защиту ПДн не наладит, а работать нужно сейчас. Законодатели почему то решили, что нужно вот так, сначала выбирать а потом думать, что выбрали. Лучше все таки проверять контрагентов до заключения договора и принимать решение уже с учетом оценки соответствия.
А как ее проводить, эту оценку? Пока самое простое и реализуемое, что пришло в голову - анкетирование по разложенным на части требованиям ч.3. То, что можно проверить независимо (политику, регистрацию в РКН и т.п.); по заполнению (на достоверность) - некоторые вещи можно реализовать только в комплексе комплексе; или получив какие то выдержки в электронном виде. Особая фишка - дать примеры с намеренными ошибками и потом грустить над их копипастой в ответах. Да даже опубликованная политика обработки ПДн на сайте только про сайт или с датой -5 лет назад уже заставляет насторожиться.
Самое веселое, что видел (не считая полностью скопированной собственной политики на одном маленьком сайтике) - ответ одной широко известной в узких кругах компании с юридическим фокусом, что они операторы только в части ПДн работников.
Так что проблемы с пониманием, а тем более исполнением ФЗ152, могут быть где угодно.
Что полезного дает такой вот инструмент анкетирования - хоть какую-то достоверную информацию для оценки рисков и управления ими. Принимать решения и доносить до коллег позицию проще, имея на руках чистосердечные признания :)
#Поручение #Обработчик #ФЗ152_полезность
👍3❤1
Проверяя деятельность юрлиц по исполнению ФЗ152 часто вижу две типичные ошибки, которые к тому же заметны любому желающему их увидеть.
1. Часто организации, даже немаленькие и с юристами в штате, считают себя операторами только по отношению к ПДн работников. И это не верно. Работники до трудоустройства очень даже соискатели. Шлют свои личные данные в анкетах, резюме. Некоторым отказывают. Когда работник трудоустроен. часто он сообщает работодателю сведения о родственниках. Организация контактирует с клиентами (физическими лицами), контрагентами (ГПХ, самозанятые, ИП, представители юрлиц) - договора оформляются, доверенности запрашиваются и так далее. Госорганы так же на связь могут выйти.
Категорий субъектов ПДн сильно больше чем 1. И опасно подавать такие вот уведомления в РКН "на-отвали". Потому что сведения из реестра потом могут использоваться в судебных делах как доказательства незаконной обработки. Ну вот так вот.
2. Вторая ошибка - публиковать на сайте политику только про сайт. А как же мессенджеры, электронная почта и т.п. вещи, через которые оператор собирает данные? По этим процессам тоже нужно публиковать политику обработки. А с учетом обязанности оператора в принципе обеспечить к общей политике неограниченный доступ разумным решением будет ее, целиковую, и разместить на сайте. Гарантировано не будет штрафа по ч.3 ст.13.11.
P.S.: Какой красивый радужный цветочек на сайте РКН👍
#Политика_конфиденциальности #Уведомление_РКН #КоАП
1. Часто организации, даже немаленькие и с юристами в штате, считают себя операторами только по отношению к ПДн работников. И это не верно. Работники до трудоустройства очень даже соискатели. Шлют свои личные данные в анкетах, резюме. Некоторым отказывают. Когда работник трудоустроен. часто он сообщает работодателю сведения о родственниках. Организация контактирует с клиентами (физическими лицами), контрагентами (ГПХ, самозанятые, ИП, представители юрлиц) - договора оформляются, доверенности запрашиваются и так далее. Госорганы так же на связь могут выйти.
Категорий субъектов ПДн сильно больше чем 1. И опасно подавать такие вот уведомления в РКН "на-отвали". Потому что сведения из реестра потом могут использоваться в судебных делах как доказательства незаконной обработки. Ну вот так вот.
2. Вторая ошибка - публиковать на сайте политику только про сайт. А как же мессенджеры, электронная почта и т.п. вещи, через которые оператор собирает данные? По этим процессам тоже нужно публиковать политику обработки. А с учетом обязанности оператора в принципе обеспечить к общей политике неограниченный доступ разумным решением будет ее, целиковую, и разместить на сайте. Гарантировано не будет штрафа по ч.3 ст.13.11.
P.S.: Какой красивый радужный цветочек на сайте РКН
#Политика_конфиденциальности #Уведомление_РКН #КоАП
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Как это не странно прозвучит, но за годы существования формы уведомления о намерении осуществлять обработку ПДн она так и не обзавелась разумными подсказками. От слова совсем. Очень часто возникает вопрос - а что писать про местонахождении базы с ПДн? Что там за ЦОД такие? Про какой адрес спрашивают? IP? Буквально на днях, РКН пытались разъяснить что к чему, но получилось, судя по всему, не очень.
Выскажу свое мнение, подкрепленное некоторой практикой.
Итак, в чем суть уведомления? Оператор рассказывает РКН что он будет делать по поводу обработки и защиты ПДн - где, как какие, зачем. В начале второй четверти 21го века под обработкой почти всегда следует понимать работу с ПДн на компьютерах. Значит и рассказывать надо про то, где эти самые компьютеры, вернее компьютеры с базами данных размещены. Именно это и подразумевается под ЦОД (официально - центр обработки данных) - просто помещение с адресом на карте, где стоят компьютеры или сервера с базами данных организации.
Тут единственное, что важно уточнить: сервера, как и цод, могут быть не собственными, да чаще всего и бывают не собственными а арендованными. Т.е. организации не обязательно снимать комнату, набивать его дорогими железками. Можно все арендовать и даже в виртуальном виде. Граница будет проходить по зоне управления - оператор сам управляет этой базой ИСПДн и там только его данные/оператор лишь арендует приложение и наравне с остальными загружает туда какие-то данные для дальнейшей работы. Первый случай нужно указывать в уведомлении. Это ИСПДн Оператора и зона его ответственности. Второй случай - классическое поручение на обработку и рассказывать о своих процессах должен подрядчик.
З.Ы.: Excel технически тоже БД. Комната с ноутбуком, на котором файл эксельки с записями клиентов - ЦОД :) Такие дела.
Выскажу свое мнение, подкрепленное некоторой практикой.
Итак, в чем суть уведомления? Оператор рассказывает РКН что он будет делать по поводу обработки и защиты ПДн - где, как какие, зачем. В начале второй четверти 21го века под обработкой почти всегда следует понимать работу с ПДн на компьютерах. Значит и рассказывать надо про то, где эти самые компьютеры, вернее компьютеры с базами данных размещены. Именно это и подразумевается под ЦОД (официально - центр обработки данных) - просто помещение с адресом на карте, где стоят компьютеры или сервера с базами данных организации.
Тут единственное, что важно уточнить: сервера, как и цод, могут быть не собственными, да чаще всего и бывают не собственными а арендованными. Т.е. организации не обязательно снимать комнату, набивать его дорогими железками. Можно все арендовать и даже в виртуальном виде. Граница будет проходить по зоне управления - оператор сам управляет этой базой ИСПДн и там только его данные/оператор лишь арендует приложение и наравне с остальными загружает туда какие-то данные для дальнейшей работы. Первый случай нужно указывать в уведомлении. Это ИСПДн Оператора и зона его ответственности. Второй случай - классическое поручение на обработку и рассказывать о своих процессах должен подрядчик.
З.Ы.: Excel технически тоже БД. Комната с ноутбуком, на котором файл эксельки с записями клиентов - ЦОД :) Такие дела.
👍7🤡2👏1
Еще один прекрасный момент в уведомлении РКН об обработке ПДн, требующий пояснительной бригады - использование шифровальных (криптографических) средств.
Логика неподготовленного человека тут срабатывает следующим образом - так, в госорганы сдается отчетность, подписанная ЭЦП (да, через Ц), да и в ЭДО договора подписываем ЭЦП. А чтобы ЭЦП работала нужно КриптоПро. КриптоПро это средство криптографической защиты информации. Значит вносим! Останавливает только непонятные классы СКЗИ, серийные номера средств шифрования.
А как на самом деле?
Нормативка, то же ПКЗ-2005, действительно относит средства электронной подписи (ага, Ц выпала из ФЗ63 "Об электронной подписи" еще в 2011 году) к СКЗИ. Но! Важно понимать, что ЭП обеспечивает целостность и неотказуемость электронного документа. Т.е. позволяет однозначно определить, что после подписания документа он не менялся, подтверждает авторство и время подписания.
Раздел уведомления просит внести описания мер по обработке и защите ПДн. Т.е. рассказать РКН какими средствами криптографии (сертифицированными, не забываем) вы шифруете ПДн, т.е. таким вот образом защищаете их от актуальной угрозы несанкционированного доступа.
ЭП, ЭЦП тут никаким боком не участвуют и писать про них ничего не надо.
З.Ы.: Зашифрованные ПДн тоже ПДн. РКН в этом твердо уверен. Такие дела.
#Уведомление_РКН #Шифрование #СКЗИ
Логика неподготовленного человека тут срабатывает следующим образом - так, в госорганы сдается отчетность, подписанная ЭЦП (да, через Ц), да и в ЭДО договора подписываем ЭЦП. А чтобы ЭЦП работала нужно КриптоПро. КриптоПро это средство криптографической защиты информации. Значит вносим! Останавливает только непонятные классы СКЗИ, серийные номера средств шифрования.
А как на самом деле?
Нормативка, то же ПКЗ-2005, действительно относит средства электронной подписи (ага, Ц выпала из ФЗ63 "Об электронной подписи" еще в 2011 году) к СКЗИ. Но! Важно понимать, что ЭП обеспечивает целостность и неотказуемость электронного документа. Т.е. позволяет однозначно определить, что после подписания документа он не менялся, подтверждает авторство и время подписания.
Раздел уведомления просит внести описания мер по обработке и защите ПДн. Т.е. рассказать РКН какими средствами криптографии (сертифицированными, не забываем) вы шифруете ПДн, т.е. таким вот образом защищаете их от актуальной угрозы несанкционированного доступа.
ЭП, ЭЦП тут никаким боком не участвуют и писать про них ничего не надо.
З.Ы.: Зашифрованные ПДн тоже ПДн. РКН в этом твердо уверен. Такие дела.
#Уведомление_РКН #Шифрование #СКЗИ
👍2👌2🤝2❤1🔥1
Еще один ответ РКН, теперь уже из управления по Приволжскому Федеральному Округу. На тему трансгранична ли передача ПДн через иностранные мессенджеры.
Спасибо @anikina_mariia
Что интересно:
1. Есть определение мессенджера. Это программа для мгновенного обмена сообщениями. По этому хранения нет. Если конечно цель обмена не собирать ПДн в мессенджере. А раз нет хранения, и есть отправитель и получатель на территории России, то и трансграна нет.
В общем, как я и говорил раньше - быстро удаленное не считается обработанным :)
2. Отношения пользователя с Телеграм не являются поручением на обработку. Потому что в пользовательском соглашении Телеграм обещает, что никто доступ к сообщениям не будет иметь, кроме отправителя и получателя. По этому не поручение.
Вот очень, чрезвычайно инновационная мысль. Ее следует обдумать... Начиная с того, почему субъект, как пользователь, вдруг стал оператором, поручающим обработку...
#Позиция_РКН #Трансграничная_передача #Мессенджеры
Спасибо @anikina_mariia
Что интересно:
1. Есть определение мессенджера. Это программа для мгновенного обмена сообщениями. По этому хранения нет. Если конечно цель обмена не собирать ПДн в мессенджере. А раз нет хранения, и есть отправитель и получатель на территории России, то и трансграна нет.
В общем, как я и говорил раньше - быстро удаленное не считается обработанным :)
2. Отношения пользователя с Телеграм не являются поручением на обработку. Потому что в пользовательском соглашении Телеграм обещает, что никто доступ к сообщениям не будет иметь, кроме отправителя и получателя. По этому не поручение.
Вот очень, чрезвычайно инновационная мысль. Ее следует обдумать... Начиная с того, почему субъект, как пользователь, вдруг стал оператором, поручающим обработку...
#Позиция_РКН #Трансграничная_передача #Мессенджеры
👍6❤1🤡1
На прошедшем сегодня вебинаре РКН прозвучало интересное мнение по поводу содержания политики обработки персональных данных. РКН считает и далее рекомендует включать в Политику все сведения про обработку ПДн в разрезе целей – перечни целей, категории, сроки, способы уничтожения и т.п. Обоснование – требование п.2 ч.1 ст.18.1 Правда на слайде «1» выглядит как сноска, что уже заставляет недоумевать.
Но я не понимаю, как можно прочитать этот пункт так, что он будет выглядеть как требование включать данные по целям обработки. Попробую его разбить на блоки (отдельные независимые утверждения), как это выглядит по правилам русского языка.
«издание оператором, являющимся юридическим лицом,
(*1) документов, определяющих политику оператора в отношении обработки персональных данных,
(*2) локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований,
(*3) а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. …»
После документов (*1) идут локальные акты (*2) и это уже разные документы с точки зрения закона. Да и с точки зрения здравого смысла – зачем медучреждению, банку или иной организации, работающей с тайной, считающей свои внутренние процессы конфиденциальной информацией, раскрывать до такой степени подробности обработки ПДн?
Впрочем, РКН, видимо, прекрасно понимает, что заявляет, поэтому далее на слайде «рекомендует» содержание Политики обработки ПДн.
Можно в политике отразить основные макроцели обработки персональных данных на уровне «исполнение трудового законодательства, гражданского кодекса» и т.п. Для определения в какую сторону работает оператор. Но все подробности расписать во внутреннем ЛНА. И такой подход нормально работает.
#Позиция_РКН #Политика_обработки_ПДн
Но я не понимаю, как можно прочитать этот пункт так, что он будет выглядеть как требование включать данные по целям обработки. Попробую его разбить на блоки (отдельные независимые утверждения), как это выглядит по правилам русского языка.
«издание оператором, являющимся юридическим лицом,
(*1) документов, определяющих политику оператора в отношении обработки персональных данных,
(*2) локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований,
(*3) а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. …»
После документов (*1) идут локальные акты (*2) и это уже разные документы с точки зрения закона. Да и с точки зрения здравого смысла – зачем медучреждению, банку или иной организации, работающей с тайной, считающей свои внутренние процессы конфиденциальной информацией, раскрывать до такой степени подробности обработки ПДн?
Впрочем, РКН, видимо, прекрасно понимает, что заявляет, поэтому далее на слайде «рекомендует» содержание Политики обработки ПДн.
Можно в политике отразить основные макроцели обработки персональных данных на уровне «исполнение трудового законодательства, гражданского кодекса» и т.п. Для определения в какую сторону работает оператор. Но все подробности расписать во внутреннем ЛНА. И такой подход нормально работает.
#Позиция_РКН #Политика_обработки_ПДн
🔥6