Privacy Expert

В чем выгода для оператора ПД деления политики ПД на части и чей ответ практичнее? В ч. 2 ст. 18.1 152-ФЗ указано, что оператор, собирающий ПД с использованием сети Интернет обязан публиковать политику ПД в сети Интернет. Поскольку (согласно позиции Роскомнадзора) политика ПД должна содержать сведения об обработке (цели, перечни ПД и т.д.), не всем хочется в единой политике ПД прописывать какие-то глубинные параметры обработки для всеобщего обозрения, например, кадровые процессы. Отсюда у экспертов возникает мысль делить политику ПД на 2 и больше частей, публиковать на сайте только ту часть, где есть сбор через сайт. Но есть нюансы, вот некоторые из них: 1. Форма обратной связи на сайте, метрика на сайте и т.п. , как правило, не единственные каналы сбора ПД через Интернет в компании (ведь сказано в законе о сборе не через сайт, а через Интернет). Например, сбор резюме через электронную почту, которая работает в Интернет, также является сбором ПД, подпадающим под требование о публикации политики ПД в сети Интернет. Если проанализировать в операторе ПД все источники сбора ПД, то может оказаться, что Интернет используется много где. 2. Если компания уведомляет Роскомнадзор об обработке ПД по ст. 22 152-ФЗ, то параметры обработки ПД публикуются в открытой части Реестра операторов персональных данных. Рядовому субъекту ПД будет сложнее это найти, но все же скрыть до конца не получится (только если не уведомлять или уведомить частично, за что ожидается новый штраф до 300 000 р.). 3. Даже если Вы найдете причины не публиковать часть политики ПД на сайте, все-равно Вы должны ее где-то опубликовать или иным образом обеспечить к ней неограниченный доступ (даже если нет сбора ПД через Интернет, см. ч. 2 ст. 18.1 152-ФЗ). Для случая с работниками это может "Интранет" или внутренний сетевой диск, но раскрывать и контролировать публикации придется по всем частям политики ПД. Получается, что "изысканный" privacy - комплаенс, связанный с делением политики на несколько частей не всем и подходит, так как трудозатраты увеличиваются, а выгода не всегда очевидна. Минцифры РФ ответил более осторожно: даже если Вы разделите политику ПД на 2 части, может оказаться, что и публиковать должны в сети Интернет эти части. Если Вы решили полагаться на позицию РКН ЦФО, то есть предпосылки, что в ближайшем будущем они свою позицию изменят. Если Вы уже разделили Политику ПД на несколько частей, опубликовали только одну из них, пишите [email protected], перепроверим, скорректируем, подскажем как оптимально наследовать от них ЛНА и проще управляться Реестром процессов обработки.

Минцифры РФ раскрыло чем отличается удаление от уничтожения. Вместе с этим, более консервативно (не конкретно) ответило на возможность деления политики ПД на части и публикации только одной из них на сайте "не установлено запретов на размещение двух и более документов, определяющих политику оператора". Т.е. делить можно, но тогда и опубликовать всё на сайте?

По данной ссылке ответ Минцифры РФ 21 года о более строгой интерпретации применимости согласия на распространение. Тем не менее еще в 2021 году на экспертной встрече по обсуждению статьи 10.1 152-ФЗ (распространения ПД) я говорил, что распространение ПД возможно и по другим основаниям, но нужно быть готовым спорить с Роскомнадзором. Сейчас уже и спорить не нужно, РКН и Минцифры РФ смягчают свои позиции, как видно по последним письмам.

Ответ Роскомнадзора и Минцифры РФ о согласиях на распространение. ⬇️ P.S. Спасибо, что делитесь ответами.

Управление Роскомнадзора по ЦФО: "оператор размещает политику в отношении обработки персональных данных, которая определяет обработку персональных данных конкретного сайта". P.S. Был второй вопрос о различиях между удалением и уничтожением. Конкретики по различиями между удалением и уничтожением в ответе нет, однако, РКН связал удаление с блокированием.

Послезавтра старт 2-х дневного семинара "Обработка персональных данных в организации". Лекторы: - Денис Лукаш - Lukash & Partners, ранее инспектор Роскомнадзора - Никита Гайдаров - Центр правовой помощи гражданам в цифровой среде (подвед Роскомнадзора) - Валерий Комаров - Начальник отдела ГКУ "Инфогород", эксперт по информационной безопасности Есть несколько мест онлайн, писать организатору по контактам на странице курса.

Коллеги по Data Privacy из Т1 попросили подсветить достойную вакансию Юриста по ПД. Могу подтвердить отличные условия труда и поддержку privacy функции от руководства.

Подборка интересных каналов о праве, технологиях и защите данных Судебная практика IP и IT - канал о судебной практике, связанной с интеллектуальной собственностью и цифровыми правами. Новости, прецеденты, аналитика. LegalTech - как регулируется будущее. Роботы, ИИ, биометрия, нейронные сети и другие юридические тренды. Об ЭП и УЦ - все новости сферы электронной подписи и деятельности удостоверяющих центров. Privacy Advocates - новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии. Персональные данные - все самое интересное о ПД: новости, аналитика, изменения в законах, расследования. Вакансии IP и IT юристов - вакансии и стажировки для IP и IT юристов. Privacy Expert - канал эксперта по защите персональных данных в бизнесе с опытом работы инспектором Роскомнадзора. Новости Минцифры - актуальные новости министерства цифрового развития, связи и массовых коммуникаций РФ. Право и инновации - канал про право, цифровые технологии и искусственный интеллект. IT-юрист в эмиграции – рассказывает о том, как обрести востребованную во всём мире профессию (и зарплату в валюте), а также о праве и технологиях.

Законопроект об упрощенном отзыве согласия. В системе обеспечения законодательной деятельности появился законопроект об отзыве согласия на обработку персональных данных в той форме, в которой оно было дано. Позитивное намерение с точки зрения субъекта персональных данных, соответствует международным тенденциям data privacy. Но есть нюансы в реалиях 152-ФЗ, вот некоторые из них: 🔹Помимо отзыва согласия существуют еще требования субъекта персональных данных, которые по сути подменяют отзыв согласия. О них в законопроекте ничего не сказано (например, в ч. 2 ст. 15 152-ФЗ, ч. 12-14 ст. 10.1 152-ФЗ). 🔹Согласие может быть подменено пользовательским соглашением, в большинстве случаев это не сложно и законно. 🔹Большинство бизнес-сайтов передают персональные данные пользователей в метрические и/или маркетинговые сервисы. На Российском рынке нет нормальных разработок, способных прекращать обработку ПД в цепочке ИТ-поставщиков после дачи согласия в "сплывающем окне". Не плохо бы предусмотреть переходный период.