Дни открытых дверей 30 и 31 июля 2019 года в Роскомнадзоре

Является ли сервис электронной почты ИСПДн? Нужно ли защищать персональные данные ИП? Какую электронную подпись можно использовать в согласии? Является ли e-mail персональными данными? как составлять уведомление и когда его подавать? Ответы на эти и другие вопросы были даны на днях открытых дверей Роскомнадзора.

2 августа 2019 г.

Скачать презентации можно на сайте Роскомнадзора.

Деятельность Роскомнадзора

Формат мероприятий изменился, статистику и отчётность по деятельности дают в январе на международном дне защиты ПДн.

Алехина Ирина Геннадьевна сообщила, что долгожданная матрица персональных данных не готова и не будет готова в ближайшее время.

За 2018 год к ответственности привлечено 96 операторов, за 1 полугодие 2019 — 61 оператор. Большинство штрафов выписано по ч. 1 ст. 13.11 КоАП РФ (универсальное нарушение). По ч. 7 (нарушения органами власти требований к обезличиванию) не было ни одного нарушения.

При обсуждении формата проверок РКН активно ссылается на новые правила контроля, о которых мы писали ранее. В случае, если не назначено (отсутствует доверенность, или она некорректно оформлена) лицо, ответственное за сопровождение проверки, РКН может приостановить проверку на месяц — срок, в течение которого должны назначить такое лицо. Если и за это время не назначили, то придут с правоохранительными органами. На предоставление документов будут давать от 2 дней в зависимости от запрашиваемого документа. Если сроки нарушают, то могут продлить проверку.

До подписания акта проверки его не показывают оператору и не дают возможность оператору представить замечания к тексту.

Отказ в ознакомлении с актом противоречит собственному административному регламенту Роскомнадзора.

Понятия

Базы персональных данных — это, в том числе, и материальные носители. Такую базу надо указывать в уведомлении. ИНН, СНИЛС и адрес электронной почты — это ПДн. Почтовые сервисы не являются ИСПДн. Фотография в СКУД: позиция не поменялась, — будет признаваться биометрией только в отдельных случаях.

По мнению Роскомнадзора, требования 152-ФЗ на обработку персональных данных ИП не распространяются, т.к. это не субъект персональных данных, а отдельный хозяйствующий субъект.

Позиция по обезличивания не поменялась. Обезличивание могут выполнять только государственные и муниципальные органы власти в соответствии с требованиями законов. Коммерческие организации могут выполнять обезличивание исключительно в статистических и исследовательских целях. В очередной раз пообещали, что будет выработан подход по обезличиванию на базе площадки цифровой экономики.

Уведомление

Согласие надо указывать в правовых основаниях обработки. 152-ФЗ по прежнему не может указываться в правовых основаниях.

Две основные причины нарушений у оператора по мнению Роскомнадзора:

  1. Используются онлайн-сервисы подготовки документов по персональным данным.
  2. Перед подачей уведомления не проводился аудит обработки персональных данных.

Кому поручается обработка (обработчики ПДн) должны также подавать уведомление. Иностранные лица, не зарегистрированные в России, уведомления не подают. Использовать одну ИСПДн несколькими аффилированнымы лицами можно. Указывать ИСПДн при этом должен владелец (оператор ИС). Если во внешней ИСПДн есть БД аффилированного лица, то это аффилированное лицо должно указать БД в уведомлении. Обещают внести ясность в статус оператора и обработчика вместе с готовящимися изменениями в 152-ФЗ.

О том, как правильно составить уведомление, можно прочитать у нас на сайте.

Ответственные лица и аудит

Некорректное определение ответственного за организацию обработки ПЛн, а также назначение нескольких ответственных лиц — нарушения. Полномочия ответственного должны быть в ОРД. Ответственное лицо может делегировать свои полномочия членам рабочей группы. О том, как назначать ответственное лицо, что оно должно делать и какими полномочиями обладать, мы писали ранее.

Должны быть планы проведения внутреннего контроля или аудита. По результатам проведенного аудита обязательно необходимо составлять отчётные документы. Подробнее об аудите можно прочитать у нас на сайте.

Обучение персонала и перечень допущенных к обработке лиц

Обучение в электронной форме (видеоролики, электронные курсы) не в полной мере соответствует видению Роскомнадзора. Должно производиться обучение всех лиц, в т.ч. кому поручили обработку персональных данных. Фиксация факта обучения должна производиться собственноручной подписью обученного лица, либо электронной подписью (при надлежащей регламентации использования ЭП).

Согласие

По словам Роскомнадзора, они ориентируются на использование простой электронной подписи для работников.

Видеосъёмка на рабочих местах: цель должна быть предусмотрена, например контроль качества, пресечение противоправных действий. Рекомендации: информировать о факте осуществления видеосъёмки и отражать это в локальном акте. Позиция Роскомнадзора соответствует подходу, описанному нами ранее.

Согласие работника на передачу перестает действовать после его увольнения, надо брать новое согласие. Через 5 лет после увольнения данные о работнике должны из ИСПДн переноситься в архив. Электронные архивы возможны только после выхода следующего закона или изменений в действующем законодательстве. При передаче ПДн работников иностранным лицам нужен договор-поручение. Направлять доверенности контрагентам можно без согласия работника, т.к. такая деятельность регулируется законами. Сведения в доверенности не являются общедоступными. Распространять чужие доверенности нельзя.

Мультисогласие (несколько операторов в одном согласии) не соответствуют требованиям ст. 9 152-ФЗ. В действующем законодательстве планируются изменения: перечень третьих лиц, кому передаются ПДн работников, можно будет указывать на сайте. У оператора будет возникать обязанность своевременно (в течение 7 дней) вносить изменения в этот перечень. Несколько лиц, кому поручается обработка, можно указывать в согласии работника в рамках одной цели.

Лента сообщений в удобном формате: