Когда без согласий на обработку ПДн никуда?

Все таки есть случаи, когда согласия нужны и обязательны. Перечислю, конечно же не все, но самые известные точно.

Итак, номер один в списке: согласие, когда нет (вернее оператор не может подобрать) других оснований обработать персональные данные, но очень хочется. Чаще всего встречается при заполнении различных форм (обратной связи, анкет и прочих вещей). Не реже согласия зачем-то собирают в госучреждениях. Раньше точно было.

Номер два: согласие на получение рекламы. Очень популярное согласие и будет становится еще популярнее. Теперь его точно нельзя вшивать ни в какие оферты, договора и включать в другие согласия. Совсем нельзя. Кроме ФЗ152 про это согласие нам говорит ФЗ38 "О рекламе" в ст.18

Номер три: согласия работников на передачу (предоставление, распространение, доступ) их ПДн третьим лицам. Суровая и очень древняя статья 88 ТК РФ требует делать это только с письменного согласия работников. Исключения прописаны в законах. Но их найти и правильно истолковать еще та задача. Не только лишь все могут это. В одном недавнем отчете об аудите по ФЗ152 видел выявленное нарушение - отсутствие согласия на передачу ПДн командированных отелю.

Номер четыре: согласие на обработку спецкатегорий. Сюда же можно добавить обработку сведений о судимости. Но есть нюансы. Про судимость могут обрабатывать сведения только в госорганах или иных организациях, прописанных в законах. А вот медики и страховщики в большинстве случаев данные о здоровье пациентов могут обрабатывать без согласия в соответствии со ст.10. Но очень часто собирают его. Наверное есть какое-то письмо Минздрава.

Номер пять: биометрия. Задокументированные особенности организма применять для определения личности организма без его согласия запрещено. Кроме тех случаев, что перечислены в ч.2 ст.11. Но там в основном про правосудие и госслужбу.

Номер шесть: совсем не очевидное, но скоро станет актуальным и востребованным. Согласие на обработку ПДн в целях автоматического принятия решений, влекущих юридические последствия для субъекта. Почти пересказ ч.1 ст.16 ФЗ152. Если объяснять на русском, то Искусственный Идиот в любой своей ипостаси не может решать насчет человеков. Если человеки не высказали согласие на это. Сейчас точно актуально для всяких ботов, автоматически собеседующих кандидатов. В ближайшем будущем еще что-то появится. Вон, говорят, в Албании в министры нейросеть назначили. Что будет дальше?

Кажется, основное перечислил. Может показаться, что упустил два важных: согласие на распространение и согласие на поручение. Нет, все верно. Согласие на распространение является частным случаем простого согласия. Оно становится обязательным только в случае, если основной тип согласия обязательный (те же спецкатегории). Ну а согласие на поручение оно вообще не про персональные данные.
Такие дела.

#Согласие_на_обработку #Согласие_на_рекламу #ФЗ152

Забытое письменное согласие
На самом деле есть еще одно согласие, прямо прописанное в ФЗ152, но... Не работающее чуть меньше, чем полтора десятка лет.

Итак, статья 8 - общедоступные источники персональных данных!
Не поленюсь, процитирую:

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Итак, когда то давно, в середине нулевых, законодатели еще помнили такие забавные штуки, как бумажные телефонные книги, и решили как-то их легализовать. Причем цифровизация и автоматизация уже шагала по планете полным ходом и законодатели попытались как то это прикрутить. И на выходе получилась такая вот конструкция:
1. Некий общедоступный (какой?) источник
2. Внесение данных строго с письменного согласия (очень удобно, ага).
3. Исключение ПДн в любое время по требованию субъекта (нереализуемо в принципе)
4. Цель обработки - только информационное обеспечение (фантазия отказывает представить себе что там имелось ввиду).

На самом деле вначале статья 8 была несколько больше и после первой кардинальной реформы ФЗ152 в 2011м году ей пытались пользоваться в крупных холдинговых структурах. Но реальность быстро разбила в дребезги мечты о прекрасных и всем доступных корпоративных справочниках. Именно по вышеуказанным причинам.
И сейчас статья 8 вместе с ее письменным согласием - этакий аппендикс в теле здорового и энергичного закона. Вроде и есть, и свой, родной, но не нужен, и удалить жалко, не болит же.
Такие дела.

З.Ы.: На фото намек на недопустимые последствия распространения персональных данных. Кто смотрел, тот поймет ;)

#ФЗ152 #Согласие

Иногда надо. Вернусь 13 октября.

Персональные данные, которые нельзя обрабатывать.

Да, такие есть и про них в общем-то известно. Те же сведения о состоянии здоровья или судимости в большинстве случаев нельзя обрабатывать работодателю. Например.

Но законодатели в стремлении обезопасить нашу жизнь пошли чуть-чуть дальше, и сделали еще один вид ПДн запретным для обработки в определенных условиях.

Не буду томить, а просто напомню, что это любые аккаунты в иностранных сервисах авторизации или получения сообщений в любом, опять же виде. Для авторизации в своем приложении/сайте. С первого декабря прошлого года поправки ФЗ149 "Об информации, информационных технологиях и о защите информации" в ч.10 ст.8 разрешил использовать для авторизации только 4 варианта: по российскому номеру телефона, через великолепнейшие Госуслуги, с помощью потрясающей Единой Биометрической Системы, или через другой российский сервис.
Gmail-ы, AppleID (или чего там у них) и прочие лицокниги оказались за бортом.

Есть и положительный момент - IP пользователя по этим же требованиям закона можно и даже нужно обрабатывать без согласия. Владелец сайта должен определять и подтверждать, что это авторизуется пользователь с территории России.

P.S.: Кажется, что все непубличные Tg-каналы, да и админки публичных, поставлены этим требованием вне закона.
Такие дела.

Edited: п. 1 ч. 10 ст. 8, как меня поправили, уже не содержит требования про чисто российский номер телефона.

#Законное_основание #ФЗ149

А вот и штрафы замаячили на горизонте за нарушения требований по авторизации. Правительство поддерживает их введение и планирует одобрить поправки в КоАП по штрафам.
Туда же прицепом добавят наказания по теме нарушений применения рекомендательных технологий (тоже поляна РКН).
#Новости #КоАП

О биометрии и СКУД

Когда-то, на заре цифровизации, кто-то очень умный подумал, а не скрестить ли турникет на входе и камеру, чтобы по лицу пропускать на территорию работников? Сказано - сделано. Оказалось, что такой способ работает очень быстро, удобно и он даже дешевле.

В пандемию к таким камерам прикручивали тепловизоры и автоматом не пускали обладателей повышенной температуры тела. Сплошная выгода от обработки биометрии.

Но все хорошее рано или поздно кончается. Вернее кончается хорошее за недорого. Появился ФЗ572, который сгреб всю лицевую и голосовую биометрию в единый центр обработки и запретил иные варианты, кроме как через интеграцию с ЕБС (если в законах не прописано иное). Хотели как лучше, защитить население от мошенничества с биометрией, и это получилось. Хотя казалось бы, где СКУД, а где мошенничество с финансами в банках.

Но биометрия это не только изображение лица или запись голоса. Это еще и отпечатки пальцев. На их основе тоже можно построить пропускной режим и учет времени. Но тут осторожные коллеги вспомнили про ФЗ128 "О государственной дактилоскопии" и задались вопросом, а не говорит ли это о том, что только государство так может, различать людей по отпечаткам пальцев?

Вопрос задан, ответ получен. МинЦифры сказала что да, можно! Конечно же с учетом ограничений, допущений, добровольности и письменной формы согласия.

P.S.: Обращение получили 13.10.25, зарегистрировали 14.10.25, ответили 15.10.25. 2 дня от получения до ответа! Если бы речь шла про физику, я бы сказал что превышена скорость света. Но тут все самые смелые фантазии о работе госаппарата превратились в быль. Чтоб они так всегда отвечали. Быстро и хорошо :)

#Позиция_МинЦифры #Биометрия

А это текст запроса

"Перечень лиц, допущенных..."

Есть такая мера защиты, и я о ней писал - "в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;" Прямая цитата из Постановления Правительства №1119 от 01.11.2012 . Наверное, одна из самых странно сформулированных мер защиты ПДн. В теории законодатели пытались сказать - управляйте доступом к персональным данным, согласовывайте и основывайтесь на должностных обязанностях, контролируйте кто имеет доступ. Но получилось нечто дикое в своей невыполнимостью для любой организации со штатом начиная от нескольких сотен человек. Ну не будет генеральный директор мало-мальски большой организации утверждать каждому специалисту доступ в 1С Бухгалтерию. Это дорого и бессмысленно.

Практика сложилась достаточно просто.
В организациях стали издавать цитаты из оргштатной структуры с должностями, которые работают с ПДн. Наверное. Такие приказы проходили проверки, даже где-то использовались. На деле же все управление доступом велось параллельно через штатные функции ИСПДн и ИТ процессы управления заявками. И такая практика не особо отличалась от исходного требования. Изменения в оргштатке средних и более компаний - десятки в месяц. Но так можно.

Но если вчитаться в ПП1119 то картина немножко меняется.

"утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых"

Во-первых, это требование к защите ИСПДн. Т.е. такой перечень должен быть для каждой ИСПДн с уровнем защищенности 4 и выше. Т.е. для любой.
Во-вторых, документ определяет лиц - технически это должен быть приказ, описывающий порядок присвоения прав доступа тем работникам, кому нужно работать с ПДн в системе и способ просмотра этого перечня лиц.

Итого - все можно сделать просто. Для каждой ИСПДн, или для всех но с описанием деталей, делаем описание процесса предоставления доступа (структура заявки, согласования, обоснования и вот это все), указываем где смотреть и как выявлять в системе этих самых лиц, обрабатывающих ПДн. Для надежности можно прописать периодическую выгрузку пользователей и пересмотр прав.
И все. Полностью понятная история и достаточно несложно управляемая.
Такие дела.

#Защита_ПДн #ФЗ152

Несколько слов про пользу требования 13В ПП1119

Во-первых, оно позволяет сделать нормальный процесс управления доступом к ИСПДн. Если правильно все оформить, то заявки на получение прав могут пойти через DPO или уполномоченного им.
Во-вторых, хороший повод начать внедрять ролевой доступ. Приказом же предусматриваем создать матрицу доступа (соотношение набора групп доступа с конкретными должностями) и работаем уже по ней.
В-третьих, можно будет проводить пересмотр прав на регулярной основе. И риск утечек снижаем, и повышаем важность DPO в жизни организации.

Почему еще писал про периодическую выгрузку для исполнения приказа - не все системы содержат информацию по лицам в том объеме, который бы позволил нормально любому желающему определить их статус работника и прочие вещи. Плюс не всегда все пользователи являются работниками оператора. И не надо всех показывать. Лучше иметь список пользователей (обновляемый хоть раз в квартал согласно приказу) в отдельном виде.

Ну и самое важное, что нужно понимать. Приказом большую часть рутин можно будет повесить на кого-то еще, кроме DPO.
Такие дела

#ФЗ152 #ИСПДн

На тему новости вспомнился анекдот.

Моя жена спросила меня, почему я так тихо разговариваю в доме. Я сказал, что боюсь, что Марк Цукерберг слушает. В ответ она засмеялась. И я тоже засмеялся. И Алиса засмеялась. И Сири засмеялась

Мне вот интересно, а в каком месте и когда Яндекс оформил запись и обработку общения (персональных данных) с Алисой?

Заканчивался октябрь 2025 г.

А в договор купли-продажи крупной организации на полном серьезе вставляют вот такое. Впору конкурс объявлять - кто больше найдет нарушений. Или давать такой документ в анализ кандидату на вакансию DPO. Для первичного отсева.

Но в первый раз сталкиваюсь с отсылкой к ст. 15 ФЗ152. Удивлен безмерно.

Немного про уничтожение персональных данных.

Мы с детства привыкли к взаимоисключающим требованиям, но что позволительно в быту, смотрится крайне странно в законодательстве.

Итак, наш горячо любимый ФЗ152 требует, и вполне резонно, уничтожать ПДн по разным причинам - цель достигнута, утрачено основание обработки, оператор решил перестать быть оператором. И на этот случай еще в конце 2022 года (не 2002, 2022-го) наш замечательный регулятор выпустил приказ №179 "О подтверждении требований к уничтожению ПДн". Кратко расскажу его суть - после уничтожения Оператор должен оформить акт, где очень тщательно запишет ФИО или иную информацию о субъекте, чьи данные безжалостно вычеркнуты из процессов; типы исключенных из обработки ПДн; носители, ИСПДн, где происходило торжество закона; дату события и причины, приведшие к уничтожению.
Таким актом Оператор как бы подтверждает, что он законопослушен. Акт может подписывать и комиссия, и кто-то уполномоченный. Главное подписать. Тогда точно закон будет исполнен. Без этого в нашем, 2025м году, никуда.

Но это не все, если ПДн уничтожались в информационной системе, то нужно прикладывать выгрузку об уничтожении из журнала ИСПДн с кучей полей. Но если такая выгрузка чего-то не содержит, то можно дописать информацию в акт.
Я вот не знаю ни одной ИСПДн, где такое хоть в какой-то мере реализовано. Только голые логи, которые в принципе, из-за количества событий или функциональности, могут не содержать подобного. По этому единственный разумный вариант - сразу оформлять обычный акт и не морочиться с выгрузками.
Тем более, если задуматься, логи существуют в электронном виде, их выгружать и распечатывать? Или как то приклеивать к акту, подписываемому в КЭП (хорошо что разрешено приказом)?

Но самое смешное, что у любой крупной компании, особенно в ритейле, количество записей о ПДн, а следовательно актов/записей в актах, будет исчисляться тысячами и тысячами. Минимум. Километры бумаг, которые надо оформить и хранить 3 года в доказательство соблюдения законов.

А в чем же когнитивный диссонанс?
В августе 2024 г. появился замечательный п.3.1 в ч.2 ст.19 - с этого момента для уничтожения ПДн должны применяться средства защиты, прошедшие оценку соответствия для этих дел. Т.е. в ИСПДн уничтожение и не должно логироваться в том виде, как его увидели в РКН.
Такие дела.

P.S.: Оформляя такие акты всегда ждешь, что скоро ГИБДД начнет заставлять пешеходов подписывать акт о переходе дороги "Дошел до проезжей части, посмотрел налево, достиг середины проезжей части, посмотрел направо, завершил пересечение проезжей части" Число. Подпись.

#ФЗ152 #Уничтожение_ПДн #Акт_уничтожения

РКН не перестает радовать своими полезными и оригинальными инициативами по реформам законодательства в области ПДн.

Очередное новшество, которое уже этой осенью может быть рассмотрено в Госдуме. Глава РКН считает, что соласий стало слишком много, люди в них путаются, не понимают, по этому надо расписать по отраслям, каким операторам что можно обрабатывать.

Очень странная логика - вместо того, чтобы уточнить правовые основания и практику их применения, лучше затолкать операторов за забор ограничений. Как их видят со своей стороны чиновники.

Ну ок, в линейной деятельности это даже может упростить жизнь бизнесу. А в проектах и развитии?
«И они ещё борятся за звание дома высокой культуры быта!» Ну о каких инновациях и импортозамещении тут можно будет говорить?

P.S.: Что пугает с учетом скорости появления в законе "согласия должны даваться отдельно от остальных подписываемых документов" - и эти отраслевые стандарты мы получим уже в следующем году. Только на безопасность персональных данных это никак не повлияет.
Такие дела

#Новости #Позиция_РКН

Фантастическая трилогия о рекламе.

Наверное, самое чудесное, что есть из согласий в нашем законодательстве - это про рекламу. В нашем прекрасном правовом поле желание одних людей рассказывать о себе и своих предложениях другим людям, причем в сетях электрической связи, регулируется не двумя, как я писал, законами. Их целых три! Настоящая трилогия. Жаль что автор у них разный.

1. Наш любимый ФЗ152. В ст.15 говорится, что обработка ПДн в целях продвижения товаров и услуг допускается с предварительного согласия субъекта.
2. Хорошо известный всем маркетологам ФЗ38 "О рекламе" и статья 18. Тут уже прямо говорится, что рекламу нельзя отправлять без предварительного согласия абонента или получателя.
3. Редкий зверь на поле оповещения населения о коммерции, хотя раньше встречался чаще - ФЗ126 "О связи" и его статья 44.1. Не смотря на то, что она самая молодая, 2014 года, авторы подошли к терминологии с выдумкой, применили рассылки. Но суть вся таже. Нельзя рассылать без предварительного согласия абонента. Я кстати раньше встречал переключатели про рассылки в ЛК сотовых операторов, сейчас куда-то делись.

Так что делать бизнесу, которому реклама физическим лицам приносит вполне реальные деньги? Собирать два согласия, на рекламу и на обработку ПДн в целях рекламы? Собирать третье, если рекламу отгружать смсками? Любой маркетолог скажет, что любой лишний чек-бокс рушит конверсию на десятки процентов. Так что количество не вариант, хоть и гарантирует защиту от разных надзорных органов (если конечно правильно хранить согласия). Но на DPO у таких компаний денег точно не будет.

Но если немного поразмышлять, станет чуть легче.
Все три требования объединяет две особенности - не указана форма, но однозначно прописано, что реклама "признается осуществленной без предварительного согласия" если отправитель "не докажет, что такое согласие было получено". Конструкция идентичная. Т.е. подойдет любое согласие, имеющее доказательную силу. Из всех трех самое сложное тут про ПДн, потому как есть целая описательная статья 9 ФЗ152. По этому, оно и будет минимальным и необходимым согласием на рекламу, пусть и взятым на обработку персональных данных в целях получения рекламы.
Потому как:
1. Брать 2 и более согласий странно - отзовешь согласие на рекламу, зачем обрабатывать ПДн для этого? Отзовешь согласие на обработку ПДн для рекламы, то и рекламу слать не получится без обработки.
2. Зачем брать согласие на обработку ПДн для получения рекламы, если не собираешься ее отправлять?

В общем, оформляем согласие на сайте как обычно, по ФЗ152 , цель - для рекламы. И спокойно живем. Проверено практикой.

P.S.: Есть смелое предложение - смотреть на основание обработки ПДн для рекламы как на требование закона, вон их три штуки, и брать единственное согласие именно на ее получение, а не на обработку.

P.P.S.: Да, есть судебная практика, где РКН и ФАС предъявляли претензии к совместному согласию на ПДн и рекламу. И суд вставал на сторону регуляторов. Но тут есть один нюанс - эти претензии были про вшитые в договора согласия.
Такие дела.

#Согласие_на_рекламу #ФЗ152 #ФЗ38 #ФЗ126

Как не надо собирать согласия

В продолжение темы согласия на рекламу - подвернулся реальный пример нарушений и непониманий ФЗ152 и прочих ФЗ "О рекламе". Именно за такие фокусы штрафовал ФАС - отсутствие согласия на рекламу у клиентов. Пример реальный, конца октября 2025 года. Контрагент - очень крупная и достаточно известная страховая компания.

Итак:
0. В принципе неверный способ сбора согласий через включения в договор.
1. Два лишних согласия - на оформление договорных отношений.
2. Незаконный сбор согласия на рекламу. Причем они в рекламный пункт впихнули вполне легальные опросы о качестве услуг (если включить их в договор).
3. Отсутствие списка третьих лиц, кому передаются ПДн в рамках поручения.
4. Задвоение согласия - про третьих лиц и про аффилированных лиц.
5. Уточнение ПДн в общедоступных источниках (!!! как будто там они точнее), к которым почему то приравняли операторов связи.
6. Согласие на распространение - это меня вообще добило. В рамках договора страхования, распространение, да еще и через согласие не по форме ст.10.1

Посчитаем, по чем нынче такое писать.
Реклама тянет, по ч.4.1 ст.14.1 КоАП, на 300к-1млн. А рекламу я получил :)
Модификация моих ПДн, передача третьим лицам (посчитаем за одно нарушение), распространение - 3 раза по ч.1 ст.13.11 КоАП, 150 - 300 т.р. за случай. Причем я явно писал что не даю им никаких согласий.
Итого, минимум 300+450=750 т.р, максимум 1.9 млн.
Всего один абзац безграмотного текста и так много стоит.

Конечно, это все виртуальные подсчеты. И не учитывают гражданских исков, рвения органов (РКН тут весьма и весьма неэнергичен, в отличии от ФАС). Но все равно впечатляет.

Друзья, регулярно пересматривайте ваши контрактные документы с контрагентами, особенно с физлицами. Там могут быть сюрпризы! Даже если никто раньше не жаловался.

Такие дела.
P.S.: И вот что мне делать с этой страховой... Понять и простить?

#Согласие_на_обработку #ФЗ152 #ФЗ38

ТК РФ и его регуляция обработки ПДн

Наши законы бывают настолько хороши, что отдельные их нормы, как появляются, так и сохраняются неизменными десятилетия. Не исключение и большая часть положений ст. 88 ТК РФ. Они как вступили в силу в начале лета 2006го года, так и остались такими-же до сегодняшнего дня. И вроде нет планов их как-то менять под реалии современной жизни. Совершенство не требует изменений!

Итак, 30.06.2006 года ст.88 дополнилась некоторыми требованиями, чтобы синхронизировать их с вот-вот заработающим ФЗ152. С момента вступления норм в силу стало:
1. Нельзя передавать третьим лицам ПДн без письменного согласия работника.
2. Нужно требовать конфиденциальности ПДн у этих третьих лиц, а им в свою очередь ее обеспечивать
3. Возможно передавать ПДн внутри организации только по ЛНА, с которым всех работников следует ознакамливать под роспись.

Безусловно разумным тут является норма №2. Конфиденциальность это хорошо. А вот дальше начинаются вопросы. Третье требование, если его читать, вызывает смущение - почему только передавать нужно по ЛНА? Как себе представляли это авторы - многостраничный талмуд как перекладывать бумаги с ПДн из одного ящика в другой? Ну ок, в принципе все нашли решение - выпускают положение об обработке ПДн с копипастой из ФЗ152. Проверяющие не жалуются. Хотя смысл требования такой себе, тем более еще и знакомить под роспись людей, которые в используемом в ЛНА языке понимают только отдельные слова.

И, наконец, самое веселое, интересное и везде применимое - передача ПДн работников третьим лицам! Письменное согласие, да еще и в прочтении РКН - одна цель одно согласие. И если подходить дотошно и дословно, то количество согласий начинает зашкаливать. Причем, чем больше организация, тем больше поводов прислать на подпись очередную бумажку с согласием. Группа компаний с одной инфраструктурой? (да-да, по ФЗ152 это очень даже третьи лица) Техподдержка и доработки подрядчиками? Личные кабинеты и прочие внешние сервисы? Все туда. И надо ведь следить, чтобы все все подписали.

Но все таки, есть возможность чуть снизить этот вал бессмысленного документооборота. Воспользовавшись оговоркой из ст.88 ТК РФ "за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами" Конечно, ситуации с угрозой жизни из здоровью не тот инструмент облегчить DPO жизнь (хоть и недалеко от истины ;) ). Но вот про другие законы, очень даже.

Медосмотры? Охрана труда? Профобучение? Гостиницы и самолеты-поезда? Связь? Налоги и перечисления? Все это есть в обязанностях или самой организации, или вообще применимо для всех. По этому, тут согласия не берем. Важно только при регулярном пересмотре согласий работников (а это нужно делать) отличать оператора в силу закона (гостиницу, РЖД, поликлинику) от агрегатора услуг (сервисы командирования, например). Вот последним без согласия работника передавать нельзя, увы.
В общем, DPO, всегда задавай вопрос себе, а нет ли тут законного требования? И жить станет как минимум интереснее. Пока найдешь, пока поймешь...
Такие дела.

P.S.: Ну вот реально, почти 20 лет уже живем со статьей 88 в ее нынешнем виде. Ну страшно же, за прогресс то.

#ФЗ152 #Законное_основание #ТК_РФ #Письменное_согласие

А вот и штрафы объявили за иностранную авторизацию на российских сайтах. Теперь войти через Google может стоить 500-700 тысяч юрлицу. Так же как и не рассказать пользователю о применении рекомендательных технологий.
И что должно мотивировать владельцев сайтов переходить на российские аутентификаторы - такое нарушение легко выявляется извне. РКН уже имеет обширный опыт дистанционного мониторинга нарушений на сайтах.

Мошенники такие мошенники

Знакомые из одного крупного промышленного холдинга столкнулись с волной сообщений в мессенджерах.

Сценарий всегда идентичен - в личные сообщения пишет/пытается позвонить и даже присылает кружочки некто, представляясь руководителем высокого ранга. Сообщает что будет проверка, надо оказать содействие. Дальше подключается ещё один анонимус, представляется офицером ФСБ и начинает охмурять громкими словами, секретностью, приказом. Дада, вот этим самым приказом.

Самое главное, что тут надо знать - ФСБ не занимается проверками соблюдения требований законодательства по ПДн! Это поляна РКН. В части персональных данных ФСБ может только проверить криптографическую защиту (если вдруг появятся ресурсы на это). А технической защитой занимается вообще ФСТЭК (тоже полностью увязли в теме КИИ).

Я не буду говорить про остальные признаки мошенничества (способ отправления приказа, формат, объект проверки из другого региона и т.п.). DPO тут тоже важно делать оповещения и вести просветительскую работу.

Такие вот атаки псевдосиловиков прекрасный повод напомнить работникам к кому нужно обращаться при виде сочетания "приказ"+"персональные данные" и кто за что отвечает в органах и в их организации.

P.S.: Очень интересно, откуда они берут данные по работникам. Пишут даже уволенным, причем уволенным 5+ лет назад.
Такие дела

#Мошенники #ПДн