837
Досвід проведення перевірок операторів персональних даних Роскомнадзору за минулий рік
Агентство, зазначене в заголовку, дедалі більше було показано на хабі новин, пов’язаних з деякими новими чорними списками та безглуздими блоками, але в цій статті я хотів би відгадати одну з не менш важливих функцій Роскомнадзора – розуміння реалізації законодавства у сфері захисту персональних даних.
Так сталося, що в 2013-2014 рр. в планах перевірок Роскомнадзора було багато наших клієнтів, але ми не були особливо боятися цього, адже перевірки наших клієнтів відбувалися до того, як досвід дуже позитивно. Ми знаємо, що нові клієнти мали все для того, щоб, і ми чекали на інший чек-ап, щоб вирізати нову коробку в розділі портфоліо «Доступні регуляторні відгуки». Але ця стаття не прийшла до світла, якщо все зустрілися з нашими оптимістичними очікуваннями.
На початку минулого року я написав статтю, в якій я спробував крок, щоб розповісти про етапи підготовки до таких перевірок. І цей алгоритм працював добре до середини 2013 року. Що відбулося? Нижче я розповім про деякі випадки комплаєнсу РКН при перевірках на особисті дані, але в короткі терміни – відділення ввели липку систему щодо таких перевірок. Інспектори тепер будуть шукати будь-які незначні порушення, просто оформити замовлення і зробити оплату навіть невеликим, але неприємним дрібним. У нашому регіоні, але спілкування з колегами з інших регіонів РФ пропонує навпаки.
Перш ніж розповісти про конкретні випадки, я хотів би запитати вас, щоб запам'ятати кілька фактів:
Першим замовленням одного з наших клієнтів було пов’язано з тим, що в повідомленні оператора в категоріях персональних даних працівників не зазначено, що вони обробляють довірені номери, які видаються певним працівникам з метою. Скільки не намагалося звертати увагу на загальне почуття і пояснити, що довіреність є самостійним документом, і це людина, яка є довіреністю (до кого і за те, що довіреність видається), і не кількість довіреності є обов'язковою умовою особи – не допомогла. Це полегшило визначення «особистісних даних» у Федеральному праві 152 (інформація, що стосується безпосередньо або непрямо до конкретної або ідентичної особи). Наші законодавці, як правило, люблять вагове слово. Чому, в цьому випадку, антикорупційна експертиза законопроектів в Міністерстві юстиції не особливо чітка.
Ми враховували на наступний чек. Тексти пісень, а це означає: А потім ми були ще один сюрприз.
Цього разу інспектори Роскомнадзора, очевидно, не знайшли невідповідностей у категоріях персональних даних, і вони вирішили зробити трюк з вухами – знайти невідповідність у категоріях суб’єктів персональних даних. Тут ситуація така ж, як і з категоріями PD – якщо ви вказали в повідомленні, що ви обробляєте персональні дані працівників і клієнтів, але в процесі додаткового PD будь-яких волонтерів, то отримаєте замовлення. І в цьому випадку представники РКН нічого не думають про те, що нинішні і звільнені працівники організації фактично різні категорії суб'єктів персональних даних (і ми пам'ятаємо, що інспектори однакові і перед тим, як вони не звертали увагу на це). Не допомогло будь-які звернення до загального почуття.
Однією з клієнтів є зміст публічної політики на персональних даних. Це документ, який повинен бути опублікований в публічному домені (якщо є сайт, то на ньому). Природно, в цьому документі ми ніколи не пишумо будь-яку специфіку, як і від яких ми захищаємо. І чому ми повинні публікувати корисну інформацію для потенційного захисника на нашому порталі? Так, Роскомнадзор захотів нам детально описати заходи, які вживали для захисту персональних даних у публічному документі. Я не знаю чому. В цілому, аномалійна тягач для експозиції в Роскомнадзорі вже давно стала занепокоєнням. Що таке реєстр державних інформаційних систем, в яких ми можемо дізнатися робочу та мобільну (наприклад, тут) кількість особи, відповідальну за цю систему, його електронну пошту, а також інформацію про сервер та клієнтські ОС, які використовуються в системі, програмне забезпечення системи, інформацію про фінансування та багато іншого. Рай для соціальних інженерів, спамерів та інших чорних шапок.
Але назад до тестів. Останній випадок дещо відрізняється від інших. Клієнт запитав нам про допомогу протягом тижня до тестування. Під час попередньої бесіди та перевірки реєстру операторів ПД було виявлено, що організація не подала повідомлення про обробку персональних даних раніше. Тобто клієнт не був в реєстрі операторів. Тут потрібно розуміти, що навіть якщо ми підготували повідомлення в день застосування, 152-FZ надає Roskomnadzor терміном до 30 днів для оператора, щоб ввести реєстр з моменту подачі повідомлення, і практика показує, що запис в реєстрі з'являється в 20-25 днів з дати подачі повідомлення (хоча, знову це стосується безпосередньо до нашого регіону, десь хлопці з RKN можуть бути більш швидкими). В цілому було прийнято рішення діяти з позиції, що в 152-FZ є випадки, коли повідомлення не потрібно подавати, це, зокрема, коли обробка PD здійснюється під час виконання трудових відносин і при укладенні договору, одна з сторін, до яких є предмет PD. В принципі, це може працювати, якщо RKN не мав мети покарання організації, оскільки клієнт був невеликою комерційною компанією, яка обробляє PD працівників в ТК РФ і укладає договори з клієнтами. За заявою про те, що ця компанія повинна подати повідомлення, і оскільки вона не подала, вона порушила 152-ФЗ, ай-яй-яй! І в порядку не було виправдання, просто “повідомлення немає, і не падають під винятки, тому порушується...” Так, інспектори заявили, що важко знайти несправність з договірними відносинами з клієнтами, тому вони повинні подати повідомлення, тому що (ВАРНІНГ!) організація передає персональні дані працівників третім особам - до Федеральної податкової служби та FIU! Що це? Ось, звичайно, він відразу стає незбираним – чому потім в Федеральному праві всі ці винятки, які дозволяють не подати повідомлення до оператора PD? Чи не буде простіше писати «всі юридичні особи повинні подати повідомлення» і закінчити їх?
Що ми робимо?
Щоб бути чесною, я вже задаю, що прийде вгору і що отримає представників РКН під час наступних перевірок, адже система палиці доступна. Але іноді є думка - і може навмисно залишити в видатному місці чіткого слава? Після того, як штрафи ще дрібні, і побачивши порушення в невідповідному місці, з високим ступенем ймовірності інспектори внесуть його в порядок, ми сплачуємо невеликий штраф, усунемо порушення в встановлені терміни і будемо спокійно продовжувати жити, а інспектори не занурять глибоко. Існує ще один варіант – викликати замовлення Роскомнадзора в суді, це те, як наш останній клієнт вирішив зробити. На жаль, я не можу поділитися результатом цієї історії, оскільки історія ще не надходить. У будь-якому випадку, кожен вибере свій шлях, хоча це можливо, що система палиці ще не досягла свого регіону.
Джерело: habrahabr.ru/post/228063/
Так сталося, що в 2013-2014 рр. в планах перевірок Роскомнадзора було багато наших клієнтів, але ми не були особливо боятися цього, адже перевірки наших клієнтів відбувалися до того, як досвід дуже позитивно. Ми знаємо, що нові клієнти мали все для того, щоб, і ми чекали на інший чек-ап, щоб вирізати нову коробку в розділі портфоліо «Доступні регуляторні відгуки». Але ця стаття не прийшла до світла, якщо все зустрілися з нашими оптимістичними очікуваннями.
На початку минулого року я написав статтю, в якій я спробував крок, щоб розповісти про етапи підготовки до таких перевірок. І цей алгоритм працював добре до середини 2013 року. Що відбулося? Нижче я розповім про деякі випадки комплаєнсу РКН при перевірках на особисті дані, але в короткі терміни – відділення ввели липку систему щодо таких перевірок. Інспектори тепер будуть шукати будь-які незначні порушення, просто оформити замовлення і зробити оплату навіть невеликим, але неприємним дрібним. У нашому регіоні, але спілкування з колегами з інших регіонів РФ пропонує навпаки.
Перш ніж розповісти про конкретні випадки, я хотів би запитати вас, щоб запам'ятати кілька фактів:
- Композиція інспекторів не змінила, тобто в усіх випадках, обстежених, інспекторів були однакові люди.
- Комплект заходів та якість підготовки до перевірки були на одному рівні для всіх тестувальників раніше та з другої половини 2013 року;
- У кожному наступному огляді були враховані попередні зм змами інспекторів.
Першим замовленням одного з наших клієнтів було пов’язано з тим, що в повідомленні оператора в категоріях персональних даних працівників не зазначено, що вони обробляють довірені номери, які видаються певним працівникам з метою. Скільки не намагалося звертати увагу на загальне почуття і пояснити, що довіреність є самостійним документом, і це людина, яка є довіреністю (до кого і за те, що довіреність видається), і не кількість довіреності є обов'язковою умовою особи – не допомогла. Це полегшило визначення «особистісних даних» у Федеральному праві 152 (інформація, що стосується безпосередньо або непрямо до конкретної або ідентичної особи). Наші законодавці, як правило, люблять вагове слово. Чому, в цьому випадку, антикорупційна експертиза законопроектів в Міністерстві юстиції не особливо чітка.
Ми враховували на наступний чек. Тексти пісень, а це означає: А потім ми були ще один сюрприз.
Цього разу інспектори Роскомнадзора, очевидно, не знайшли невідповідностей у категоріях персональних даних, і вони вирішили зробити трюк з вухами – знайти невідповідність у категоріях суб’єктів персональних даних. Тут ситуація така ж, як і з категоріями PD – якщо ви вказали в повідомленні, що ви обробляєте персональні дані працівників і клієнтів, але в процесі додаткового PD будь-яких волонтерів, то отримаєте замовлення. І в цьому випадку представники РКН нічого не думають про те, що нинішні і звільнені працівники організації фактично різні категорії суб'єктів персональних даних (і ми пам'ятаємо, що інспектори однакові і перед тим, як вони не звертали увагу на це). Не допомогло будь-які звернення до загального почуття.
Однією з клієнтів є зміст публічної політики на персональних даних. Це документ, який повинен бути опублікований в публічному домені (якщо є сайт, то на ньому). Природно, в цьому документі ми ніколи не пишумо будь-яку специфіку, як і від яких ми захищаємо. І чому ми повинні публікувати корисну інформацію для потенційного захисника на нашому порталі? Так, Роскомнадзор захотів нам детально описати заходи, які вживали для захисту персональних даних у публічному документі. Я не знаю чому. В цілому, аномалійна тягач для експозиції в Роскомнадзорі вже давно стала занепокоєнням. Що таке реєстр державних інформаційних систем, в яких ми можемо дізнатися робочу та мобільну (наприклад, тут) кількість особи, відповідальну за цю систему, його електронну пошту, а також інформацію про сервер та клієнтські ОС, які використовуються в системі, програмне забезпечення системи, інформацію про фінансування та багато іншого. Рай для соціальних інженерів, спамерів та інших чорних шапок.
Але назад до тестів. Останній випадок дещо відрізняється від інших. Клієнт запитав нам про допомогу протягом тижня до тестування. Під час попередньої бесіди та перевірки реєстру операторів ПД було виявлено, що організація не подала повідомлення про обробку персональних даних раніше. Тобто клієнт не був в реєстрі операторів. Тут потрібно розуміти, що навіть якщо ми підготували повідомлення в день застосування, 152-FZ надає Roskomnadzor терміном до 30 днів для оператора, щоб ввести реєстр з моменту подачі повідомлення, і практика показує, що запис в реєстрі з'являється в 20-25 днів з дати подачі повідомлення (хоча, знову це стосується безпосередньо до нашого регіону, десь хлопці з RKN можуть бути більш швидкими). В цілому було прийнято рішення діяти з позиції, що в 152-FZ є випадки, коли повідомлення не потрібно подавати, це, зокрема, коли обробка PD здійснюється під час виконання трудових відносин і при укладенні договору, одна з сторін, до яких є предмет PD. В принципі, це може працювати, якщо RKN не мав мети покарання організації, оскільки клієнт був невеликою комерційною компанією, яка обробляє PD працівників в ТК РФ і укладає договори з клієнтами. За заявою про те, що ця компанія повинна подати повідомлення, і оскільки вона не подала, вона порушила 152-ФЗ, ай-яй-яй! І в порядку не було виправдання, просто “повідомлення немає, і не падають під винятки, тому порушується...” Так, інспектори заявили, що важко знайти несправність з договірними відносинами з клієнтами, тому вони повинні подати повідомлення, тому що (ВАРНІНГ!) організація передає персональні дані працівників третім особам - до Федеральної податкової служби та FIU! Що це? Ось, звичайно, він відразу стає незбираним – чому потім в Федеральному праві всі ці винятки, які дозволяють не подати повідомлення до оператора PD? Чи не буде простіше писати «всі юридичні особи повинні подати повідомлення» і закінчити їх?
Що ми робимо?
Щоб бути чесною, я вже задаю, що прийде вгору і що отримає представників РКН під час наступних перевірок, адже система палиці доступна. Але іноді є думка - і може навмисно залишити в видатному місці чіткого слава? Після того, як штрафи ще дрібні, і побачивши порушення в невідповідному місці, з високим ступенем ймовірності інспектори внесуть його в порядок, ми сплачуємо невеликий штраф, усунемо порушення в встановлені терміни і будемо спокійно продовжувати жити, а інспектори не занурять глибоко. Існує ще один варіант – викликати замовлення Роскомнадзора в суді, це те, як наш останній клієнт вирішив зробити. На жаль, я не можу поділитися результатом цієї історії, оскільки історія ще не надходить. У будь-якому випадку, кожен вибере свій шлях, хоча це можливо, що система палиці ще не досягла свого регіону.
Джерело: habrahabr.ru/post/228063/
