31 января 2020 г.

День открытых дверей в Роскомнадзоре

28 января, в Международный день защиты персональных данных, Роскомнадзор провел традиционный трехчасовой семинар в рамках дня открытых дверей. Регистрация на него закончилась через полтора дня после открытия, зал ситуационного центра был заполнен, даже дополнительные стулья принесли.
Семинар открыла заместитель руководителя ведомства А.А. Приезжева (главная тема – гармонизация российского законодательства с новой редакцией Конвенции ETS-108), затем начальник управления защиты прав субъектов персональных данных Ю.Е. Контемиров подвел итоги надзорной деятельности за 2019 год. Проверок проведено на 11 больше, чем в 2018 году (989), а вот предписаний выдано больше на 31 (799), протоколов о нарушениях составлено нa 15% меньше, чем в прошлом году (5437). Как я понимаю, большая их часть – по статье 19.7 КоАП и связана с уведомлениями. Ведомство оценивает это в целом как рост результативности проверок с 80% до 84%. Повысилась и результативность мероприятий систематического наблюдения. В ходе их проведения выявлено 611 случаев нарушения обязательных требований, то есть примерно в каждом третьем мероприятии (всего их было 2103).
По статье 13.11 КоАП составлено 215 протоколов, что привело к назначению штрафов на один с небольшим миллион рублей. Количество протоколов выросло по сравнению с прошлым годом тоже на треть. Распределение штрафов по разным частям статьи 13.11 - на диаграмме.
Заметно (на 22,4%) выросло число обращений граждан, до 50 тысяч за год. Жалуются, как обычно, в основном на сайты и банки (по 23%). Число подтвержденных при проверке неправомерных действий операторов выросло до рекордных 7,2%, так что жалуются граждане, в основном, зря.
За год Роскомнадзор подал 41 исковое заявление о блокировке сайтов за нарушения законодательства о персональных данных, в Реестре нарушителей уже 3395 сайтов.
Требования о локализации баз персональных данных выполняют 99% проверенных операторов.
Заместитель начальника управления А.Х. Гафурова рассказала о работе с обращениями граждан более подробно, в этом направлении без существенных перемен.
Далее Ю.Е. Контемиров остановился на организации проверок. Из важного и неожиданного: трехлетний интервал между проверками территориально обособленных подразделений (в разных субъекта Федерации) исчисляется отдельно по каждому подразделению. Не очень понятна идея – проверяться ведь должен оператор-юрлицо. Еще раз напомнил, что проверок по персональным данным в планах проверок нет, их надо смотреть в планах деятельности территориальных органов.
Для общего сведения: неразмещение планов на сайте, проведение проверок в иные сроки, чем указано на сайте, отсутствие согласования планов с прокуратурой, несвоевременное вручение акта проверки или отсутствие записи в журнале учета проверок – не основания для отмены их результатов.
А вот непредставление акта проверки оператору, проведение внеплановой проверки по исполнению ранее выданного предписания по вопросам, в предписании не отраженным, влекут отмену результатов.
В ходе проверки консультации не оказываются, пояснения причин квалификации нарушения не предоставляются, акт проверки оператор увидит только после его подписания членами комиссии, контрольные сроки исполнения предписания не меняются ни в каких случаях.
Еще из интересного – сведения о заемщике и поручителе по кредиту должны указываться на разных носителях (листах бумаги), потому как цели их обработки заведомо несовместимы. Мне всегда казалось, что цель здесь всегда одна – принятие решения банком о предоставлении кредита. Видимо, был не прав.
Или вот такое нарушение – использование для обработки персональных данных работников госучреждения, не являющихся госслужащими, формы № 6676-р, в которой сведений больше, чем предусмотрено трудовым законодательством.
Рассказал Контемиров и о создающихся центрах компетенции территориальных управлений Роскомнадзора в федеральных округах и рабочих группах при них, которые будут глубоко разбираться с конкретными вопросами и готовить по ним методические материалы. Пригласил желающих поучаствовать в их работе.
Наиболее интересные ответы надзорного ведомства на вопросы операторов.
Место нахождения баз данных надо указывать точно, по фактическому адресу, как это сделать для облаков – не раскрывалось.
Часть 4 статьи 9 про одну цель и одного обработчика будет меняться. Можно будет давать дополнительное согласие на обработку персональных данных в целях, не указанных при их сборе. А вот обязательное согласие субъекта на поручение обработки его данных останется в законе.
Обработка файлов cookie на сайте с использованием метрических служб (Яндекс Метрика, Google Analytics) – это обработка персональных данных и  должна сопровождаться получением согласия посетителей на это (баннер), размещением информации о том, как это делается (Политика в отношении файлов cookie) и локализацией собираемых и обрабатываемых данных на территории России.
Не всякий источник общедоступных данных – общедоступный источник (без комментариев).
Обезличивать персональные данные оператор по своему усмотрению не может, нужны основания в нормативном правом акте (без комментариев), хэширование – не обезличивание вообще, и поэтому на передачу хэшированных данных иному лицу нужно согласие субъекта.
Скорингом могут заниматься только бюро кредитных историй и использовать для этого только информацию, которой они располагают в силу закона (намек на незаконность использования данных из социальных сетей).
На хранение в личных делах работников копий документов (паспортов, свидетельств о рождении и браке и пр.) нужно согласие работников, если оператор не может доказать, что эти копии нужны для исполнения требований закона.
Аренда серверов и стоек, перенос данных в ЦОДы и облака, передача документов с персональными данными на хранение иному лицу – поручение обработки персональных данных, договор должен соответствовать части 3 статьи 6 закона 152-ФЗ.
Отправка электронного письма с персональными данными адресату в другую страну – трансграничная передача, для этого нужны законные основания.
В качестве лица, ответственного за организацию обработки персональных данных, можно привлекать юридическое лицо и физическое лицо, не являющееся работником оператора.
Согласия на обработку персональных данных, полученные в письменной форме, можно отсканировать и хранить в электронной форме, а подлинники уничтожить с целью облегчения процесса хранения (не советую, в суде будет сложно, если что).
Если персональные данные без использования средств автоматизации обрабатывают работники иной организации, таких работников тоже надо знать и уведомить о такой обработке (ПП-687), но это может сделать и их работодатель.
Самое важное, наверное, все. Быстро, бодро, предельно кратко.

3 комментария:

  1. При чтении "разъяснений Роскомнадзора о персональных данных", не только этих, мне постоянно вспоминается анекдот про подметание плаца ломом.

    ОтветитьУдалить
  2. "Аренда..стоек – поручение обработки персональных данных"
    А если заключается договор аренды пустого здания, в котором я свой ЦОД размещу - это тоже поручение обработки персональных данных с вытекающим:
    "должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке"?

    ОтветитьУдалить
    Ответы
    1. Вопрос не по адресу. Я задавал похожий - про арендодателя и пропускной режим - это тоже поручение хранения? Ответа нет.

      Удалить