А вот и штрафы объявили за иностранную авторизацию на российских сайтах. Теперь войти через Google может стоить 500-700 тысяч юрлицу. Так же как и не рассказать пользователю о применении рекомендательных технологий.
И что должно мотивировать владельцев сайтов переходить на российские аутентификаторы - такое нарушение легко выявляется извне. РКН уже имеет обширный опыт дистанционного мониторинга нарушений на сайтах.
И что должно мотивировать владельцев сайтов переходить на российские аутентификаторы - такое нарушение легко выявляется извне. РКН уже имеет обширный опыт дистанционного мониторинга нарушений на сайтах.
TACC
Сайты могут начать штрафовать за авторизацию людей через зарубежные сервисы
Штрафы могут достигнуть до 700 тыс. рублей
🙈3🔥1🤡1
Мошенники такие мошенники
Знакомые из одного крупного промышленного холдинга столкнулись с волной сообщений в мессенджерах.
Сценарий всегда идентичен - в личные сообщения пишет/пытается позвонить и даже присылает кружочки некто, представляясь руководителем высокого ранга. Сообщает что будет проверка, надо оказать содействие. Дальше подключается ещё один анонимус, представляется офицером ФСБ и начинает охмурять громкими словами, секретностью, приказом. Дада, вот этим самым приказом.
Самое главное, что тут надо знать - ФСБ не занимается проверками соблюдения требований законодательства по ПДн! Это поляна РКН. В части персональных данных ФСБ может только проверить криптографическую защиту (если вдруг появятся ресурсы на это). А технической защитой занимается вообще ФСТЭК (тоже полностью увязли в теме КИИ).
Я не буду говорить про остальные признаки мошенничества (способ отправления приказа, формат, объект проверки из другого региона и т.п.). DPO тут тоже важно делать оповещения и вести просветительскую работу.
Такие вот атаки псевдосиловиков прекрасный повод напомнить работникам к кому нужно обращаться при виде сочетания "приказ"+"персональные данные" и кто за что отвечает в органах и в их организации.
P.S.: Очень интересно, откуда они берут данные по работникам. Пишут даже уволенным, причем уволенным 5+ лет назад.
Такие дела
#Мошенники #ПДн
Знакомые из одного крупного промышленного холдинга столкнулись с волной сообщений в мессенджерах.
Сценарий всегда идентичен - в личные сообщения пишет/пытается позвонить и даже присылает кружочки некто, представляясь руководителем высокого ранга. Сообщает что будет проверка, надо оказать содействие. Дальше подключается ещё один анонимус, представляется офицером ФСБ и начинает охмурять громкими словами, секретностью, приказом. Дада, вот этим самым приказом.
Самое главное, что тут надо знать - ФСБ не занимается проверками соблюдения требований законодательства по ПДн! Это поляна РКН. В части персональных данных ФСБ может только проверить криптографическую защиту (если вдруг появятся ресурсы на это). А технической защитой занимается вообще ФСТЭК (тоже полностью увязли в теме КИИ).
Я не буду говорить про остальные признаки мошенничества (способ отправления приказа, формат, объект проверки из другого региона и т.п.). DPO тут тоже важно делать оповещения и вести просветительскую работу.
Такие вот атаки псевдосиловиков прекрасный повод напомнить работникам к кому нужно обращаться при виде сочетания "приказ"+"персональные данные" и кто за что отвечает в органах и в их организации.
P.S.: Очень интересно, откуда они берут данные по работникам. Пишут даже уволенным, причем уволенным 5+ лет назад.
Такие дела
#Мошенники #ПДн
👍8
Очень странное кино странный ответ РКН
Так и хочется процитировать незабвенный афоризм Виктора Степановича Черномырдина "Хотели как лучше, получилось как всегда". Я как-то писал свое мнение про ТГП в использовании сервисов Google. И вот вчера по профильным чатам и каналам начала гулять вот эта выдержка из ответа РКН. Что обращает на себя внимание:
1. Кто-то решил уведомить РКН о трансграничной передаче.
2. Кто-то уведомил не просто в отношении отправить куда-то данные, а про вполне понятный кейс работы с Google Таблицами. Т.е. про постоянные передачу и обработку ПДн в иностранном (как считал кто-то) сервисе.
И тут случилось невероятное. РКН ответил, что обработка ПДн в гуглотаблицах не есть трансграничная передача, если ведется в производственных целях и данные собраны в РФ. По этому уведомление не подлежит рассмотрению.
Переведя на русский: РКН в лице его эксперта заявило: Google не иностранный сервис, таблицы с ПДн вести в нем можно, главное чтобы локализация сбора была. И уведомлять не о чем.
Это как раз тот самый случай, когда не надо верить глазам своим. Google.Docs и все его варианты это классический SaaS. Ровно такие же сценарии использования внешних сервисов российского происхождения классифицируются как обработка третьим лицом по поручению. А значит для сервисов Google выполняется условия трансграничной передачи - на территорию иностранного государства (дата центров Google в РФ нет) и иностранному лицу (резидент США). Плюс ко всему, страна еще и не входит в перечень адекватных, значит нужно согласование РКН.
И кажется, в этом и кроется истинная причина такого ответа - кто-то не хотел работать.
Подождем новых комментариев от РКН. Наверняка они последуют, при такой то реакции общественности.
Я своего мнения не изменю - что Google, то ТГП.
Такие дела.
#Позиция_РКН #Трансграничная_Передача_ПДн
Так и хочется процитировать незабвенный афоризм Виктора Степановича Черномырдина "Хотели как лучше, получилось как всегда". Я как-то писал свое мнение про ТГП в использовании сервисов Google. И вот вчера по профильным чатам и каналам начала гулять вот эта выдержка из ответа РКН. Что обращает на себя внимание:
1. Кто-то решил уведомить РКН о трансграничной передаче.
2. Кто-то уведомил не просто в отношении отправить куда-то данные, а про вполне понятный кейс работы с Google Таблицами. Т.е. про постоянные передачу и обработку ПДн в иностранном (как считал кто-то) сервисе.
И тут случилось невероятное. РКН ответил, что обработка ПДн в гуглотаблицах не есть трансграничная передача, если ведется в производственных целях и данные собраны в РФ. По этому уведомление не подлежит рассмотрению.
Переведя на русский: РКН в лице его эксперта заявило: Google не иностранный сервис, таблицы с ПДн вести в нем можно, главное чтобы локализация сбора была. И уведомлять не о чем.
Это как раз тот самый случай, когда не надо верить глазам своим. Google.Docs и все его варианты это классический SaaS. Ровно такие же сценарии использования внешних сервисов российского происхождения классифицируются как обработка третьим лицом по поручению. А значит для сервисов Google выполняется условия трансграничной передачи - на территорию иностранного государства (дата центров Google в РФ нет) и иностранному лицу (резидент США). Плюс ко всему, страна еще и не входит в перечень адекватных, значит нужно согласование РКН.
И кажется, в этом и кроется истинная причина такого ответа - кто-то не хотел работать.
Подождем новых комментариев от РКН. Наверняка они последуют, при такой то реакции общественности.
Я своего мнения не изменю - что Google, то ТГП.
Такие дела.
#Позиция_РКН #Трансграничная_Передача_ПДн
🤯6💯5👀4🙈2❤1
Начала действовать ст. 10 ч.13.11 КоАП и самым неожиданным образом
Появилась информация о сентябрьском решении суда г. Уфы со штрафом за неуведомлении о намерении осуществлять обработку ПДн.
Итак, организация возила школьников в иностранные государства, в частности этим летом прокатила их в UK. Прокуратурой РБ "проверено исполнение
законодательства о противодействии экстремизму, персональных данных директором
общества". Что бы это ни значило, но в почте найдена отправка персональных данных с российской электронной почты на великобританскую. И суд признал директора нарушителем! Ведь он не уведомил о ТГП.
Итого: прокуратура проверила, возбудила административку, а суд признал виновным руководителя по ч.10 ст.13.11 за неуведомление о ТГП.
Конечно, случай единичный и организован не совсем уж профильным регулятором, но звоночек тревожный. Если раньше все думали, вот сейчас подадим какое-никакое уведомление, что начали обрабатывать ПДн, и можно спать спокойно. Но нет. Риск налететь на штрафы за неинформирование о ТГП, за отсутствие своевременной информации об изменениях в уведомлении (привет ч.7 ст.22 ФЗ152) - стал очень даже не виртуальным. А все поданные "на авось" уведомления стали немного бессмысленными. и даже
Такие дела
#КоАП_13.11 #Прокуратура #Уведомление_об_обработке #Штрафы
🔥6🤡1
Сравнительно честный способ обойти ст. 88 ТК РФ
Так и хочется написать «Не повторяйте! Данный трюк выполнен профессионалами!» Но как-то облегчить жизнь себе и снизить расходы на комплаенс работодателю надо, надо пробовать…
Итак, какие могут быть варианты обойтись без согласий при передаче ПДн третьим лицам? А их много, которые не влезают в «требования закона» (как те же аудиторы или мед организации). Ст. 88 не оставляет вариантов и просит углубиться в законы.
1. Самые смелые DPO трактуют ч.1 ст.6 как требования закона, по-этому можно пользоваться всякими законными интересами, обязанностями, возложенными на оператора (п.2). Я не могу так широко трактовать. Для меня ч.1 ст.6 это условия, а не требования. Т.е. если есть какой-то еще закон, который говорит «надо то-то, передай ПДн» (образование по охране труда, например) – то можно. Да и тот же законный интерес слишком шаткая конструкция и непонятная, в первую очередь самому регулятору, чтобы ее применять. Сообщества прайвасистов аж целые плейбуки рисуют как этим пользоваться. И то без особой уверенности.
2. А если посмотреть на сам ТК? Вот тут и можно найти потенциальный выход. Ст.21 и 22 говорят, что работник обязан исполнять трудовые обязанности, а работодатель их излагать в ЛНА и знакомить работника под роспись с ними. И можно попробовать выстроить такую схему: оформить несколько ЛНА по направлениям, скажем про ИТ поддержку, про доп обучение, про командировки (хотя это чаще всего есть) и в них прямо прописать действия работодателя. Т.е. сообщить работнику о привлечении к задачам подрядчиков, о том что они будут обрабатывать его ПДн, а сам список этих третьих лиц вывешивать где-то внутри в общем доступе, чтобы работник самостоятельно его изучал.
3. Есть и третий вариант – все-таки миксовать законные требования и законный интерес в качестве оснований для передачи третьим лицам, привлекать подрядчиков по поручению и принимать риск долгих и нудных разборок в суде случись чего. Судебный прецедент есть, суд не признал виновным работодателя, который привлекал аутсорс-бухгалтерию и не получал согласия работников на передачу именно потому, что работодатель так выполнял свои обязанности по закону. Но тоже шатко, на мой взгляд.
Итого, вариант 2 кажется самым интересным в плане управляемости и простоты. Особенно если учесть, что в эту схему хорошо влезают все ГПХшники (кадровик на ГПХ тоже третье лицо, как ни странно). Надо только чтобы специалисты по трудовому праву подтвердили эту схему.
Такие дела.
#Согласие_на_обработку #ФЗ152 #ТК_РФ
Так и хочется написать «Не повторяйте! Данный трюк выполнен профессионалами!» Но как-то облегчить жизнь себе и снизить расходы на комплаенс работодателю надо, надо пробовать…
Итак, какие могут быть варианты обойтись без согласий при передаче ПДн третьим лицам? А их много, которые не влезают в «требования закона» (как те же аудиторы или мед организации). Ст. 88 не оставляет вариантов и просит углубиться в законы.
1. Самые смелые DPO трактуют ч.1 ст.6 как требования закона, по-этому можно пользоваться всякими законными интересами, обязанностями, возложенными на оператора (п.2). Я не могу так широко трактовать. Для меня ч.1 ст.6 это условия, а не требования. Т.е. если есть какой-то еще закон, который говорит «надо то-то, передай ПДн» (образование по охране труда, например) – то можно. Да и тот же законный интерес слишком шаткая конструкция и непонятная, в первую очередь самому регулятору, чтобы ее применять. Сообщества прайвасистов аж целые плейбуки рисуют как этим пользоваться. И то без особой уверенности.
2. А если посмотреть на сам ТК? Вот тут и можно найти потенциальный выход. Ст.21 и 22 говорят, что работник обязан исполнять трудовые обязанности, а работодатель их излагать в ЛНА и знакомить работника под роспись с ними. И можно попробовать выстроить такую схему: оформить несколько ЛНА по направлениям, скажем про ИТ поддержку, про доп обучение, про командировки (хотя это чаще всего есть) и в них прямо прописать действия работодателя. Т.е. сообщить работнику о привлечении к задачам подрядчиков, о том что они будут обрабатывать его ПДн, а сам список этих третьих лиц вывешивать где-то внутри в общем доступе, чтобы работник самостоятельно его изучал.
3. Есть и третий вариант – все-таки миксовать законные требования и законный интерес в качестве оснований для передачи третьим лицам, привлекать подрядчиков по поручению и принимать риск долгих и нудных разборок в суде случись чего. Судебный прецедент есть, суд не признал виновным работодателя, который привлекал аутсорс-бухгалтерию и не получал согласия работников на передачу именно потому, что работодатель так выполнял свои обязанности по закону. Но тоже шатко, на мой взгляд.
Итого, вариант 2 кажется самым интересным в плане управляемости и простоты. Особенно если учесть, что в эту схему хорошо влезают все ГПХшники (кадровик на ГПХ тоже третье лицо, как ни странно). Надо только чтобы специалисты по трудовому праву подтвердили эту схему.
Такие дела.
#Согласие_на_обработку #ФЗ152 #ТК_РФ
1❤6👍6
В ст.19, а так же в 21м приказе ФСТЭК есть очень интересные требования к оператору - он должен оценивать эффективность принимаемых мер по безопасности ПДн при их обработке. Правда есть отличия. В ФЗ152 говорится об оценке эффективности до ввода ИСПДн в эксплуатацию. В Приказе №21 ФСТЭК - про регулярную, не реже 1 раза в три года, оценку эффективности принятых мер.
И кажется, надо начать объяснять с Приказа 21, как более узкого по охвату.
Итак, Приказ 21 детализирует технические меры защиты в привязке к уровням защищенности по Постановлению Правительства №1119 от 01.11.2012. В нем много-много требований по различным аспектам. Меньше всего обязательных для 4го УЗ, и далее по возрастающей.
Что тут хотели сказать законодатели, если простым языком и в привязке к оценке эффективности? DPO должен регулярно и в отношении каждой ИСПДн проверять как выполняется применимый к ней набор мер. Результат оценки оформлять актом и далее организовывать устранение недостатков или планировать следующую дату проверки. И так для каждой ИСПДн. Естественно, это не обязательно должен делать сам DPO. Его главная задача организовать такие активности и получить положительный результат. Ну или добиться, чтобы все двигались в сторону его скорейшего получения.
Почему DPO? Привет статье 22.1 и ее ч.4 с обязанностями ответственного за организацию обработки.
Возникает вопрос - а кто все таки точно должен реализовывать всю технику? Конечно, все зависит от внутренней кухни организации. Но издревле, еще с начала нулевых (точно видел этот принцип в страшных СТР-К), реализацию мер по безопасности обеспечивает эксплуатирующее подразделение. Этой же логики придерживается и вся последующая нормативка, вплоть до КИИшных документов. Это и надо учитывать.
А про эффективность по ФЗ152 и вообще зачем это надо обязательно расскажу. Но чуть позже.
И кажется, надо начать объяснять с Приказа 21, как более узкого по охвату.
Итак, Приказ 21 детализирует технические меры защиты в привязке к уровням защищенности по Постановлению Правительства №1119 от 01.11.2012. В нем много-много требований по различным аспектам. Меньше всего обязательных для 4го УЗ, и далее по возрастающей.
Что тут хотели сказать законодатели, если простым языком и в привязке к оценке эффективности? DPO должен регулярно и в отношении каждой ИСПДн проверять как выполняется применимый к ней набор мер. Результат оценки оформлять актом и далее организовывать устранение недостатков или планировать следующую дату проверки. И так для каждой ИСПДн. Естественно, это не обязательно должен делать сам DPO. Его главная задача организовать такие активности и получить положительный результат. Ну или добиться, чтобы все двигались в сторону его скорейшего получения.
Почему DPO? Привет статье 22.1 и ее ч.4 с обязанностями ответственного за организацию обработки.
Возникает вопрос - а кто все таки точно должен реализовывать всю технику? Конечно, все зависит от внутренней кухни организации. Но издревле, еще с начала нулевых (точно видел этот принцип в страшных СТР-К), реализацию мер по безопасности обеспечивает эксплуатирующее подразделение. Этой же логики придерживается и вся последующая нормативка, вплоть до КИИшных документов. Это и надо учитывать.
А про эффективность по ФЗ152 и вообще зачем это надо обязательно расскажу. Но чуть позже.
👍8❤6👏2
Про эффективность и защиту ПДн. Часть 2.
Теперь поднимемся на уровень выше, п.4 ч.2 ст. 19 говорит нам, что обеспечение безопасности персональных данных достигается, в частности:
"оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных"
Если сделать разбор этого положения, то увидим:
1. Оценка проводится для ИСПДн.
2. Оценка проводится до ввода ИСПД в эксплуатацию.
3. Не уточняется какие именно меры должны быть оценены.
4. Не уточняется в какой форме должна быть проведена оценка.
Итак, требование ФЗ конечно же шире, чем приказа одного из ведомств. Но имеет и условия применения, а так же очень широкие, даже размытые границы определения этой самой эффективности. По этому сами и будем определять что и как.
Начнем от триггера - ввод ИСПДн в эксплуатацию. Т.е. внедряется некая система, где будут обрабатываться ПДн. И мы должны оценить, как хорошо защищены в ней ПДн. Причем не только технически, но и организационно. Меры бывают разные, да. Я могу тут выделить три уровня:
1. Общий организационный. Проверить, есть ли достаточный комплект ЛНА для целей обработки в ней. Например, учтены ли цели, сроки обработки. Это все можно выписать в блок требований №1
2. Локальный организационный. Оформить все документы, что от нас просят в ПП1119, ФСТЭК21 и т.п. На выходе будет акт оценки уровня защищенности, перечень допущенных к обработке лиц, приказ о назначении ответственного за безопасность в ИСПДн (для УЗ3+). И так далее. Будет блок требований №2
3. И в конце проверить, как реализуются технические меры защиты. Может и не самому DPO это проверять, но точно надо организовать. Сам не сделаешь,. никто не сделает. Тут смотрим в первую очередь на приказ ФСТЭК №21, на модель угроз и выписываем что получилось. Есть артефакты по технике и в самом ФЗ (те же требования применять для уничтожения сертифицированные средства защиты информации). Вот и самый большой блок требований, №3
Логично, что весь результат нужно будет оформить в некий акт оценки эффективности. Чтобы он был под рукой, на него можно было любоваться и восхищаться собственными достижениями.
Ну а какая в этом практическая польза? Попробую рассказать в следующем посте.
Такие дела.
#ФЗ152 #Оценка_эффективности #СЗИ
Теперь поднимемся на уровень выше, п.4 ч.2 ст. 19 говорит нам, что обеспечение безопасности персональных данных достигается, в частности:
"оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных"
Если сделать разбор этого положения, то увидим:
1. Оценка проводится для ИСПДн.
2. Оценка проводится до ввода ИСПД в эксплуатацию.
3. Не уточняется какие именно меры должны быть оценены.
4. Не уточняется в какой форме должна быть проведена оценка.
Итак, требование ФЗ конечно же шире, чем приказа одного из ведомств. Но имеет и условия применения, а так же очень широкие, даже размытые границы определения этой самой эффективности. По этому сами и будем определять что и как.
Начнем от триггера - ввод ИСПДн в эксплуатацию. Т.е. внедряется некая система, где будут обрабатываться ПДн. И мы должны оценить, как хорошо защищены в ней ПДн. Причем не только технически, но и организационно. Меры бывают разные, да. Я могу тут выделить три уровня:
1. Общий организационный. Проверить, есть ли достаточный комплект ЛНА для целей обработки в ней. Например, учтены ли цели, сроки обработки. Это все можно выписать в блок требований №1
2. Локальный организационный. Оформить все документы, что от нас просят в ПП1119, ФСТЭК21 и т.п. На выходе будет акт оценки уровня защищенности, перечень допущенных к обработке лиц, приказ о назначении ответственного за безопасность в ИСПДн (для УЗ3+). И так далее. Будет блок требований №2
3. И в конце проверить, как реализуются технические меры защиты. Может и не самому DPO это проверять, но точно надо организовать. Сам не сделаешь,. никто не сделает. Тут смотрим в первую очередь на приказ ФСТЭК №21, на модель угроз и выписываем что получилось. Есть артефакты по технике и в самом ФЗ (те же требования применять для уничтожения сертифицированные средства защиты информации). Вот и самый большой блок требований, №3
Логично, что весь результат нужно будет оформить в некий акт оценки эффективности. Чтобы он был под рукой, на него можно было любоваться и восхищаться собственными достижениями.
Ну а какая в этом практическая польза? Попробую рассказать в следующем посте.
Такие дела.
#ФЗ152 #Оценка_эффективности #СЗИ
👍9🔥3❤2
Про эффективность и защиту ПДн. Часть 3. Возвращение короля.
Итак, все ЛНА утверждены, оценка проведена, акты подписаны, планы намечены, KPI поставлены. Все при деле. Осталось только понять, “зачем все это, зачем?”
Все достаточно просто и очевидно.
Во-первых, это очень хороший повод распределить ответственность по мерам защиты ИСПДн. Что делает DPO, что делает ИБ, ИТ и, самое главное, кто в ответе за сделанное. Это важно, сразу распределить тяжесть гордости за работу. DPO же не сможет проверить, что там устроили ИТ. Зато сможет спросить у аудиторов потом, все ли так, как сказали? Спросить и порадоваться за коллег, что все так.
Во-вторых, это точки контроля DPO за деятельностью организации в ИТ сфере. Тоже абсолютно легальные и правильные. Помним же, про оценить до введения в эксплуатацию? Вот тут и административный ресурс DPO появляется, так как его мнение нужно учитывать. Можно, даже нужно, трактовать «до введения ИСПДн в эксплуатацию» несколько шире. Ведь может внедряться не ИСПДн целиком, а некая модификация, касающаяся обработки. Тоже повод проверить, как на самом деле доработали. И учесть изменения ИСПДн.
И в-третьих, очень важно, такие акты и вся оценка эффективности - полноценное свидетельство работы Компании и ее усилий по защите ПДн. И есть мнение, что они могут послужить смягчением наказаний за утечку, как минимум по чч.15 и 18 ст.13.11 КоАП. Которые про повторные утечки. Основание – п.2 ч.3.4-2 ст.4.1 КоАП (сам удивился, что такая нумерация есть): «оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта проведенного в течение двенадцати месяцев, предшествующих моменту выявления административного правонарушения»
В общем, благодаря этой норме DPO может стать весьма уважаемым и полезным работником.
Такие дела.
P.S.: Да, по сути оценка эффективности это финал всех работ по защите ПДн. Когда угрозы смоделированы, ЛНА выпущены, СЗИ внедрены и оценены на соответствие. Долго, сложно, особенно с моделями и оценкой соответствия СЗИ, с уничтожением. Но можно и нужно.
#ФЗ152 #Оценка_эффективности #СЗИ
Итак, все ЛНА утверждены, оценка проведена, акты подписаны, планы намечены, KPI поставлены. Все при деле. Осталось только понять, “зачем все это, зачем?”
Все достаточно просто и очевидно.
Во-первых, это очень хороший повод распределить ответственность по мерам защиты ИСПДн. Что делает DPO, что делает ИБ, ИТ и, самое главное, кто в ответе за сделанное. Это важно, сразу распределить тяжесть гордости за работу. DPO же не сможет проверить, что там устроили ИТ. Зато сможет спросить у аудиторов потом, все ли так, как сказали? Спросить и порадоваться за коллег, что все так.
Во-вторых, это точки контроля DPO за деятельностью организации в ИТ сфере. Тоже абсолютно легальные и правильные. Помним же, про оценить до введения в эксплуатацию? Вот тут и административный ресурс DPO появляется, так как его мнение нужно учитывать. Можно, даже нужно, трактовать «до введения ИСПДн в эксплуатацию» несколько шире. Ведь может внедряться не ИСПДн целиком, а некая модификация, касающаяся обработки. Тоже повод проверить, как на самом деле доработали. И учесть изменения ИСПДн.
И в-третьих, очень важно, такие акты и вся оценка эффективности - полноценное свидетельство работы Компании и ее усилий по защите ПДн. И есть мнение, что они могут послужить смягчением наказаний за утечку, как минимум по чч.15 и 18 ст.13.11 КоАП. Которые про повторные утечки. Основание – п.2 ч.3.4-2 ст.4.1 КоАП (сам удивился, что такая нумерация есть): «оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта проведенного в течение двенадцати месяцев, предшествующих моменту выявления административного правонарушения»
В общем, благодаря этой норме DPO может стать весьма уважаемым и полезным работником.
Такие дела.
P.S.: Да, по сути оценка эффективности это финал всех работ по защите ПДн. Когда угрозы смоделированы, ЛНА выпущены, СЗИ внедрены и оценены на соответствие. Долго, сложно, особенно с моделями и оценкой соответствия СЗИ, с уничтожением. Но можно и нужно.
#ФЗ152 #Оценка_эффективности #СЗИ
👍4❤2🔥2
«Мероприятие без взаимодействия с проверяемым лицом» и его результаты.
Да, есть такое явление в природе, и РКН в условиях запретов на проверки очень их полюбил. Основная тема – поисследовать сайт Оператора в поисках ошибок. Вдруг политики нет, согласия не собираются, правовые основания для обработки ПДн отсутствуют. По проверке, если что-то нашли, то обязательно пришлют предписание. И самое удивительное, что они считают нарушением отсутствие в опубликованной политики сведений о целях обработки, составе ПДн, сроках и т.п. См. скрин.
На самом деле нет. Это не нарушение и РКН не может выдвигать такие требования, потому как в п.2 ч.1 ст.18.1 ясно и русским языком отделена политика от ЛНА с целями обработки. И даже руководство РКН на дне открытых дверей говорила про это как про рекомендацию. Не требование. Рекомендация. И я писал про это.
Что отвечать на такие претензии? Именно так и отвечать, что согласно положению ФЗ152 такому-то оператор должен иметь и политику в области обработки ПДн (где он описывает свои задачи по исполнению законов РФ при обработке ПДн), и локально-нормативные акты по целям (где он и описывает как он их обрабатывает). Которые мы вам с удовольствием направляем.
Да, публиковать цели обработки в отрыве от сопроводительных правовых оснований (в согласии, например), оператор тоже не обязан. А все эти телодвижения РКН, кажется, что следствие желания закрыть план по выявленным нарушениям.
P.S.: Но Оператор все равно должен иметь ЛНА, сугубо внутренние, где он утверждает цели обработки, сроки, условия, правила уничтожения, меры по защите и т.п. И предоставлять их по запросам того же РКН. А с учетом последних трендов в судебной практике, лучше чтобы цели в ЛНА совпадали с целями в РКН и с реальными процессами.
Такие дела.
#РКН #Политика_конфиденциальности #Цели_обработки
Да, есть такое явление в природе, и РКН в условиях запретов на проверки очень их полюбил. Основная тема – поисследовать сайт Оператора в поисках ошибок. Вдруг политики нет, согласия не собираются, правовые основания для обработки ПДн отсутствуют. По проверке, если что-то нашли, то обязательно пришлют предписание. И самое удивительное, что они считают нарушением отсутствие в опубликованной политики сведений о целях обработки, составе ПДн, сроках и т.п. См. скрин.
На самом деле нет. Это не нарушение и РКН не может выдвигать такие требования, потому как в п.2 ч.1 ст.18.1 ясно и русским языком отделена политика от ЛНА с целями обработки. И даже руководство РКН на дне открытых дверей говорила про это как про рекомендацию. Не требование. Рекомендация. И я писал про это.
Что отвечать на такие претензии? Именно так и отвечать, что согласно положению ФЗ152 такому-то оператор должен иметь и политику в области обработки ПДн (где он описывает свои задачи по исполнению законов РФ при обработке ПДн), и локально-нормативные акты по целям (где он и описывает как он их обрабатывает). Которые мы вам с удовольствием направляем.
Да, публиковать цели обработки в отрыве от сопроводительных правовых оснований (в согласии, например), оператор тоже не обязан. А все эти телодвижения РКН, кажется, что следствие желания закрыть план по выявленным нарушениям.
P.S.: Но Оператор все равно должен иметь ЛНА, сугубо внутренние, где он утверждает цели обработки, сроки, условия, правила уничтожения, меры по защите и т.п. И предоставлять их по запросам того же РКН. А с учетом последних трендов в судебной практике, лучше чтобы цели в ЛНА совпадали с целями в РКН и с реальными процессами.
Такие дела.
#РКН #Политика_конфиденциальности #Цели_обработки
1👍11🔥4👏4❤2🤨1
Немного о птичках.
Исторически сложилось, что в веб-технологиях чаще всего любое подтверждение собирается через чек-боксы. Они же птички, галки, иногда даже чайки или вообще кресты. Особый шик последнее время - сделать переключатель вкл/выкл.
В получении ПДн на обработку через сайты и формы этот механизм тоже используется очень, очень часто. Но всегда ли оправдано?
Итак, когда чек-боксы все таки необходимы? Очевидно, что когда предполагается несколько ответов. Например, согласие на обработку, согласие на рекламу, согласие на поздравление Дедом Морозом принятие условий правил сайта.
Хотя чем меньше вариантов проставления отметок, тем лучше пользовательский путь. Любой грамотный маркетолог подтвердит.
Что нужно делать в этом случае? Главная задача оператора - зафиксировать в логах (у себя на сайте) с чем согласились, когда и кто. Под кто подразумевается любая полезная информация, прямо или косвенно... - IP адрес, например, или какой то уникальный идентификатор-поле из формы.
Что лучше не делать? Проставлять галочки за пользователя. В случае с согласиями очень нарушает принцип добровольности. Не знаю о практике наказаний, но если можно не решать за клиента, то лучше не решать. В теории тут маячат ч.1 ст.13.11 КоАП или ч.4.1 ст. 14.3 про рекламу без согласия.
А если сбор и обработка ПДн основаны на однозначном решении субъекта, согласие, договор, закон, то тут окошки и птички не нужны. Достаточно большой и красивой кнопки. Главное не забывать фиксировать в логах ее работу. РКН на запрос о основаниях обработки ПДн спокойно принимает описание пользовательского пути, где ПДн не попадают к Оператору до момента отжатия кнопки.
Такие дела.
P.S.: Самое мощное что я видел - согласие на распространение в электронном виде, где условия можно было определять через чек-боксы. Кажется, их было как на картинке...
P.P.S.: Про предпроставленные галочки самое впечатляющее, что видел - поставленная галка в тексте согласия на рекламу и все это в нередактируемом PDF.
#Согласие
Исторически сложилось, что в веб-технологиях чаще всего любое подтверждение собирается через чек-боксы. Они же птички, галки, иногда даже чайки или вообще кресты. Особый шик последнее время - сделать переключатель вкл/выкл.
В получении ПДн на обработку через сайты и формы этот механизм тоже используется очень, очень часто. Но всегда ли оправдано?
Итак, когда чек-боксы все таки необходимы? Очевидно, что когда предполагается несколько ответов. Например, согласие на обработку, согласие на рекламу, согласие на поздравление Дедом Морозом принятие условий правил сайта.
Хотя чем меньше вариантов проставления отметок, тем лучше пользовательский путь. Любой грамотный маркетолог подтвердит.
Что нужно делать в этом случае? Главная задача оператора - зафиксировать в логах (у себя на сайте) с чем согласились, когда и кто. Под кто подразумевается любая полезная информация, прямо или косвенно... - IP адрес, например, или какой то уникальный идентификатор-поле из формы.
Что лучше не делать? Проставлять галочки за пользователя. В случае с согласиями очень нарушает принцип добровольности. Не знаю о практике наказаний, но если можно не решать за клиента, то лучше не решать. В теории тут маячат ч.1 ст.13.11 КоАП или ч.4.1 ст. 14.3 про рекламу без согласия.
А если сбор и обработка ПДн основаны на однозначном решении субъекта, согласие, договор, закон, то тут окошки и птички не нужны. Достаточно большой и красивой кнопки. Главное не забывать фиксировать в логах ее работу. РКН на запрос о основаниях обработки ПДн спокойно принимает описание пользовательского пути, где ПДн не попадают к Оператору до момента отжатия кнопки.
Такие дела.
P.S.: Самое мощное что я видел - согласие на распространение в электронном виде, где условия можно было определять через чек-боксы. Кажется, их было как на картинке...
P.P.S.: Про предпроставленные галочки самое впечатляющее, что видел - поставленная галка в тексте согласия на рекламу и все это в нередактируемом PDF.
#Согласие
🔥10👍5❤2👏2
101 Cookies.pdf
1.3 MB
Все, что вы хотели узнать о кукисах, но боялись спросить.
Год подходит к концу, напряжение сил для закрытия задач на максимуме, но всегда находятся силы сделать что-то приятное и полезное. Совместно с каналом project 101 подготовили подробный гайд по этой технологи. В нем вы найдете:
- основания сбора cookies (стр. 3)
- требования к cookie-баннеру (стр. 4)
- рекомендации к Пользовательскому соглашению (стр. 6)
- формулировки для внесения в Политику и Уведомление РКН
В конце самое важное – чек-лист для самопроверки.
Настоятельно рекомендую подписаться на канал моих соавторов - новости России и мира из ИТ, ИБ, комплаенса, аналитика и гайды - польза в каждом посте. Мое знакомство с каналом началось с полезнейшего поста с аналитикой дела по коммерческой тайне (я много чем интересуюсь, да :) ). Оказывается, есть вариант не маркировать каждый документ грифом КТ, он не перестанет быть ею если про это заявлено в ЛНА. Ну, суд так решил.
UP: Напряжение сил сказывается, сначала добавил старую версию файла. Теперь она та, над которой трудились долгими вечерами.
#Гайд #Кукис #Cookie #ФЗ152
Год подходит к концу, напряжение сил для закрытия задач на максимуме, но всегда находятся силы сделать что-то приятное и полезное. Совместно с каналом project 101 подготовили подробный гайд по этой технологи. В нем вы найдете:
- основания сбора cookies (стр. 3)
- требования к cookie-баннеру (стр. 4)
- рекомендации к Пользовательскому соглашению (стр. 6)
- формулировки для внесения в Политику и Уведомление РКН
В конце самое важное – чек-лист для самопроверки.
Настоятельно рекомендую подписаться на канал моих соавторов - новости России и мира из ИТ, ИБ, комплаенса, аналитика и гайды - польза в каждом посте. Мое знакомство с каналом началось с полезнейшего поста с аналитикой дела по коммерческой тайне (я много чем интересуюсь, да :) ). Оказывается, есть вариант не маркировать каждый документ грифом КТ, он не перестанет быть ею если про это заявлено в ЛНА. Ну, суд так решил.
UP: Напряжение сил сказывается, сначала добавил старую версию файла. Теперь она та, над которой трудились долгими вечерами.
#Гайд #Кукис #Cookie #ФЗ152
1🔥20❤5👍5🤔2
Forwarded from Privacy Advocates
253256920-262500835.pdf
1.8 MB
🏛 В Госдуму внесен законопроект о втором пакете мер
противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий («Антифрод-2»)
🔸Статья 5 законопроекта про изменения в 152-ФЗ «О персональных данных»:
- Точечная правка ст. 10 (про специальные категории ПД): в ч. 3 уточняется формулировка — речь прямо про «обработку специальных категорий».
- Добавляется новая ч. 3¹ ст. 10: допускается обработка спецкатегорий ПД об участии граждан РФ в СВО и/или КТО, а также о принадлежности к их семьям — гос/муниципальными органами в пределах полномочий и иными лицами в случаях и порядке, определяемых федеральными законами.
🔸Статья 4 законопроекта про изменения в 149-ФЗ «Об информации, ИТ и о защите информации»:
- Добавляется норма, что Правительство РФ может установить случаи, когда при авторизации по адресу электронной почты такой адрес должен быть создан с использованием доменных имён, входящих в группы доменных имён, составляющих российскую национальную доменную зону.
- Вводится требование подтверждать совершение в интернете «значимых действий» (перечень утверждает Правительство): подтверждение идёт кодом из SMS + кодом/сообщением через MAX, отправляемыми владельцем ресурса (российское ЮЛ/гражданин РФ, деятельность в РФ). Для банков/финрынка перечень дополнительно согласуется с ЦБ.
- Запрет на распространение «вводящей в заблуждение» информации: под видом достоверных сообщений, создающей угрозу имущественного ущерба и/или неправомерного доступа к ПД/иной информации пользователя (вводится как отдельная категория).
🔸Статья 8 законопроекта про изменения в 572-ФЗ (про идентификацию/аутентификацию с биометрией, ЕБС и др.):
- В ст. 4 добавляются ч. 18–19: если доступ к учётной записи в ЕСИА ограничен (в т.ч. из-за выявленного несанкционированного доступа), восстановить доступ можно одним из перечисленных способов: ЕБС; сайт/мобильное приложение банка; УКЭП; MAX; МФЦ; органы/организации, имеющие право выдавать ключи ПЭП для гос/мунуслуг.
противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий («Антифрод-2»)
🔸Статья 5 законопроекта про изменения в 152-ФЗ «О персональных данных»:
- Точечная правка ст. 10 (про специальные категории ПД): в ч. 3 уточняется формулировка — речь прямо про «обработку специальных категорий».
- Добавляется новая ч. 3¹ ст. 10: допускается обработка спецкатегорий ПД об участии граждан РФ в СВО и/или КТО, а также о принадлежности к их семьям — гос/муниципальными органами в пределах полномочий и иными лицами в случаях и порядке, определяемых федеральными законами.
🔸Статья 4 законопроекта про изменения в 149-ФЗ «Об информации, ИТ и о защите информации»:
- Добавляется норма, что Правительство РФ может установить случаи, когда при авторизации по адресу электронной почты такой адрес должен быть создан с использованием доменных имён, входящих в группы доменных имён, составляющих российскую национальную доменную зону.
- Вводится требование подтверждать совершение в интернете «значимых действий» (перечень утверждает Правительство): подтверждение идёт кодом из SMS + кодом/сообщением через MAX, отправляемыми владельцем ресурса (российское ЮЛ/гражданин РФ, деятельность в РФ). Для банков/финрынка перечень дополнительно согласуется с ЦБ.
- Запрет на распространение «вводящей в заблуждение» информации: под видом достоверных сообщений, создающей угрозу имущественного ущерба и/или неправомерного доступа к ПД/иной информации пользователя (вводится как отдельная категория).
🔸Статья 8 законопроекта про изменения в 572-ФЗ (про идентификацию/аутентификацию с биометрией, ЕБС и др.):
- В ст. 4 добавляются ч. 18–19: если доступ к учётной записи в ЕСИА ограничен (в т.ч. из-за выявленного несанкционированного доступа), восстановить доступ можно одним из перечисленных способов: ЕБС; сайт/мобильное приложение банка; УКЭП; MAX; МФЦ; органы/организации, имеющие право выдавать ключи ПЭП для гос/мунуслуг.
🔥4✍2❤1
С наступающим Новым Годом, уважаемые подписчики!
Очень хочу пожелать, чтобы ваши (во всех смыслах) персональные данные были в безопасности, как подарки этого Деда Мороза! И уверен, так и будет!
До новых встреч в 2026!🍾 🎉
Очень хочу пожелать, чтобы ваши (во всех смыслах) персональные данные были в безопасности, как подарки этого Деда Мороза! И уверен, так и будет!
До новых встреч в 2026!
Please open Telegram to view this post
VIEW IN TELEGRAM
🍾10🔥5👏3
РКН Шрёдингера
Все таки РКН как квантовая частица - непостижим до конца. И его позиция зависит ... непонятно от чего. Денис Лукаш опубликовал на своем канале предписание, где РКН заявляет - Google Таблицы нарушают локализацию сбора по ч.5 ст.18 ФЗ152 и нарушитель подлежит административной ответственности по ч.8 ст.13.11 КоАП (выдержка из этого заключения). Вот так вот. ТГП как бы нет, но оно как бы есть. Иначе как можно нарушить требование к сбору?
Но в очередной раз подтверждено - использовать зарубежные сервисы для обработки ПДн не стоит. Дорого может обойтись. Не считая ненулевой вероятности блокировки самого гуглоресурса РКН. Или со стороны Google. Те тоже могут ограничить нас в использовании.
UP: Зная боль в использовании таблиц Google (очень удобны и сопоставимых аналогов так и не появилось), дам пару советов как их лучше защитить:
1. Сделать объем данных в таблицах минимальным. Все что можно обезличить или маскировать.
2. Никаких доступов по ссылке. Только авторизация по аккаунтам и прямое назначение прав. Ссылка не защищает ни от чего и не ограничивает доступ к данным.
3. Немедленная блокировка уволенных, регулярная (чем чаще, тем лучше) проверка учеток - блокировать тех, кто уволился и не заблокирован, кто давно не заходил. Большая часть утечек происходит по вине внутренних пользователей. А что может быть приятнее обиженному и вредному работнику подставить бывшего работодателя на несколько миллионов (в лучшем случае)?
Такие дела.
#Позиция_РКН #ТГП
Все таки РКН как квантовая частица - непостижим до конца. И его позиция зависит ... непонятно от чего. Денис Лукаш опубликовал на своем канале предписание, где РКН заявляет - Google Таблицы нарушают локализацию сбора по ч.5 ст.18 ФЗ152 и нарушитель подлежит административной ответственности по ч.8 ст.13.11 КоАП (выдержка из этого заключения). Вот так вот. ТГП как бы нет, но оно как бы есть. Иначе как можно нарушить требование к сбору?
Но в очередной раз подтверждено - использовать зарубежные сервисы для обработки ПДн не стоит. Дорого может обойтись. Не считая ненулевой вероятности блокировки самого гуглоресурса РКН. Или со стороны Google. Те тоже могут ограничить нас в использовании.
UP: Зная боль в использовании таблиц Google (очень удобны и сопоставимых аналогов так и не появилось), дам пару советов как их лучше защитить:
1. Сделать объем данных в таблицах минимальным. Все что можно обезличить или маскировать.
2. Никаких доступов по ссылке. Только авторизация по аккаунтам и прямое назначение прав. Ссылка не защищает ни от чего и не ограничивает доступ к данным.
3. Немедленная блокировка уволенных, регулярная (чем чаще, тем лучше) проверка учеток - блокировать тех, кто уволился и не заблокирован, кто давно не заходил. Большая часть утечек происходит по вине внутренних пользователей. А что может быть приятнее обиженному и вредному работнику подставить бывшего работодателя на несколько миллионов (в лучшем случае)?
Такие дела.
#Позиция_РКН #ТГП
👍14🙈8❤2👎1
«Не виноватая я, он сам пришел!»
Есть один интересный вопрос, связанный с поручением на обработку ПДн. А если быть точным, то с потенциально возможным нарушением закона или вообще утечкой (ттт) и не у оператора, а очень даже у обработчика. Начинается то все хорошо, оператор выбирает подрядчика по услуге, проверяет его по требованиям ч.3 ст. 6 ФЗ152, подписывает поручение, передает данные и… Бац, нарушение. У обработчика. Конечно, такого не хочется никому, но никто и не застрахован.
А интересный вопрос заключается в том, кто будет нести ответственность за него? И ответ тут простой – оператор. Хотя вроде прямого указания на это нет, кроме ч.5 ст.6, где говорится что за обработчика отвечает оператор, но перед субъектом.
В конце декабря 2025 было вынесено решение по делу №А40-316609/2025: Т2 Мобайл получили штраф по ч.1 ст.13.11 КоАП за то, что агент «Почта России» не очень законно оформила симку на гражданку.
И вот как быть честному и ответственному оператору? Конечно, надо включать в поручение компенсацию как минимум штрафов, полученных по вине обработчика. И в полном размере. Вроде просто? Но многие организации стараются ограничить свою ответственность суммой контракта. И если начало ст. 13.11 КоАП в большинстве случаев может пролезть в эту цифру, то вторая половина вряд ли.
Что делать? Из опыта могу посоветовать такие вот хитрые и коварные шаги:
1. Вписать сверх компенсации штрафов от органов еще и собственные штрафы, для дисциплинирования. Часто обработчик видя прямо прописанные персональные санкции утыкается в них и начинает торговаться об их исключении. А вот основную часть для государства пропускают.
2. Если это не помогло, то включается эльфинг – вы же надежно защищаетесь, вам нечего переживать, формальность и не более, мы уверены в вас больше чем в себе (и так далее по списку).
Ну а если и после п.2 обработчик стоит на своем, то стоит задуматься – а надо ли сотрудничать с организацией, которая заранее уверена в том, что облажается и не хочет отвечать за это?
Такие дела.
#Поручение_на_обработку #КоАП #Штраф #ФЗ152
Есть один интересный вопрос, связанный с поручением на обработку ПДн. А если быть точным, то с потенциально возможным нарушением закона или вообще утечкой (ттт) и не у оператора, а очень даже у обработчика. Начинается то все хорошо, оператор выбирает подрядчика по услуге, проверяет его по требованиям ч.3 ст. 6 ФЗ152, подписывает поручение, передает данные и… Бац, нарушение. У обработчика. Конечно, такого не хочется никому, но никто и не застрахован.
А интересный вопрос заключается в том, кто будет нести ответственность за него? И ответ тут простой – оператор. Хотя вроде прямого указания на это нет, кроме ч.5 ст.6, где говорится что за обработчика отвечает оператор, но перед субъектом.
В конце декабря 2025 было вынесено решение по делу №А40-316609/2025: Т2 Мобайл получили штраф по ч.1 ст.13.11 КоАП за то, что агент «Почта России» не очень законно оформила симку на гражданку.
И вот как быть честному и ответственному оператору? Конечно, надо включать в поручение компенсацию как минимум штрафов, полученных по вине обработчика. И в полном размере. Вроде просто? Но многие организации стараются ограничить свою ответственность суммой контракта. И если начало ст. 13.11 КоАП в большинстве случаев может пролезть в эту цифру, то вторая половина вряд ли.
Что делать? Из опыта могу посоветовать такие вот хитрые и коварные шаги:
1. Вписать сверх компенсации штрафов от органов еще и собственные штрафы, для дисциплинирования. Часто обработчик видя прямо прописанные персональные санкции утыкается в них и начинает торговаться об их исключении. А вот основную часть для государства пропускают.
2. Если это не помогло, то включается эльфинг – вы же надежно защищаетесь, вам нечего переживать, формальность и не более, мы уверены в вас больше чем в себе (и так далее по списку).
Ну а если и после п.2 обработчик стоит на своем, то стоит задуматься – а надо ли сотрудничать с организацией, которая заранее уверена в том, что облажается и не хочет отвечать за это?
Такие дела.
#Поручение_на_обработку #КоАП #Штраф #ФЗ152
🔥15❤6🥴6
Увидел в одном чате интересный вопрос: зачем вносить в согласия действия, которые от нас требует закон – блокирование, уничтожение? По идее, оператор же выполнит их в любом случае, просто потому что ФЗ152 так предписывает?
На досуге моя мысль пошла несколько дальше – по логике вещей и на сбор не надо получать? Обработка без сбора невозможна. А если оператор получает от кого-то ПДн, то это как называется? Не сбор же, сбор это то, что происходит по инициативе самого оператора, а тут ему передают, он получает. Но получение в ФЗ152 не определено. Видимо, сбор все-таки нужно трактовать более широко, как я уже писал.
Стоп, выходит, что получение не единственный применяемый в жизни, но не описанный нигде термин. Есть еще более интересная вещь… Создание! Практически все операторы создают ПДн не сильно реже, чем их собирают. Работодатель создает почтовые адреса, должности, номера телефонов своим работникам. Продавец – бонусные счета клиентам, поставщик – идентификатор представителя контрагента и т.п.
Посмотрел в реестре операторов РКН: почти никто не разделяет рабочие ПДн и личные, и уж точно никто не использует «создание». Оно банально отсутствует в форме уведомления. Получается как в анекдоте про Вовочку «попа есть, а слова нет.» Чисто формально, очень применима ч.1 ст.13.11 КоАП. Но так, очень сильно формально.
Получается почти 20 лет (скоро юбилей, кстати) есть серьезный описательный недостаток в этой уведомительной обвязке, но никому нет дела, все прекрасно живут и работают. Может, и в остальном смысла ровно столько же?
Такие дела.
P.S.: Чуть не забыл про изначальный вопрос – про блокирование и уничтожение. Формально (слово дня получилось) не зачем это вписывать в согласия. Нет логически обоснованной нужды. По факту - пусть будет, больше бумаги, чище то, что не существует.
#Уведомление_РКН #Согласие
На досуге моя мысль пошла несколько дальше – по логике вещей и на сбор не надо получать? Обработка без сбора невозможна. А если оператор получает от кого-то ПДн, то это как называется? Не сбор же, сбор это то, что происходит по инициативе самого оператора, а тут ему передают, он получает. Но получение в ФЗ152 не определено. Видимо, сбор все-таки нужно трактовать более широко, как я уже писал.
Стоп, выходит, что получение не единственный применяемый в жизни, но не описанный нигде термин. Есть еще более интересная вещь… Создание! Практически все операторы создают ПДн не сильно реже, чем их собирают. Работодатель создает почтовые адреса, должности, номера телефонов своим работникам. Продавец – бонусные счета клиентам, поставщик – идентификатор представителя контрагента и т.п.
Посмотрел в реестре операторов РКН: почти никто не разделяет рабочие ПДн и личные, и уж точно никто не использует «создание». Оно банально отсутствует в форме уведомления. Получается как в анекдоте про Вовочку «попа есть, а слова нет.» Чисто формально, очень применима ч.1 ст.13.11 КоАП. Но так, очень сильно формально.
Получается почти 20 лет (скоро юбилей, кстати) есть серьезный описательный недостаток в этой уведомительной обвязке, но никому нет дела, все прекрасно живут и работают. Может, и в остальном смысла ровно столько же?
Такие дела.
P.S.: Чуть не забыл про изначальный вопрос – про блокирование и уничтожение. Формально (слово дня получилось) не зачем это вписывать в согласия. Нет логически обоснованной нужды. По факту - пусть будет, больше бумаги, чище то, что не существует.
#Уведомление_РКН #Согласие
🔥16👍8❤3
Как то все привыкли, что персональные данные регулируются ФЗ152. Ну может еще отраслевыми регуляторами и стандартами (есть отдельные моменты в ФЗ "О связи", в документах ЦБ).
Хорошо, не все, но я точно привык так думать.
Но вот занесло меня поизучать детально ФЗ149 "Об информации..." И дойдя до середины статьи 16 (из 18) очень сильно удивился. Оказывается, что еще в 2014м году, похоже что в рамках "пакета Яровой" появилась такая затейливая норма:
Никаких компромиссных вариантов типа "При сборе персональных данных ... ", только множественное число, только хардкор.
Единственное, что не делает локализацию полной и бесповоротной по этой норме, так это маленькая оговорка в начале, про случаи предусмотренные законами. Но долго ли ее заменить? Придется и тут следить за законодательными инициативами. Эх...
Снова нет повода не выпить в пятницу.
Такие дела.
#ФЗ152 #ФЗ149 #Локализация
Хорошо, не все, но я точно привык так думать.
Но вот занесло меня поизучать детально ФЗ149 "Об информации..." И дойдя до середины статьи 16 (из 18) очень сильно удивился. Оказывается, что еще в 2014м году, похоже что в рамках "пакета Яровой" появилась такая затейливая норма:
"4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
...
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации."
Никаких компромиссных вариантов типа "При сборе персональных данных ... ", только множественное число, только хардкор.
Единственное, что не делает локализацию полной и бесповоротной по этой норме, так это маленькая оговорка в начале, про случаи предусмотренные законами. Но долго ли ее заменить? Придется и тут следить за законодательными инициативами. Эх...
Снова нет повода не выпить в пятницу.
Такие дела.
#ФЗ152 #ФЗ149 #Локализация
🤝7🔥3