Privacy Expert

РСпектр опубликовал мой комментарий по Спецоператорам. Он довольно короткий: "В законе уже есть подходящее понятие «оператор информационной системы», можно было бы развивать его. Предлагаемая теория спецоператоров персональных данных пока слишком радикальна для сложившегося ИТ-рынка." Но есть пояснения, которые в конечную статью не вошли ⬇️ Многочисленный малый и средний бизнес в большинстве использует облачные решения третьих лиц. Эти третьи лица часто оказывают массово однотипную услугу, что позволяет ее удешевлять, в тоже время это сервисы по типу "бери или уходи". Небольшой бизнес, как оператор ПД, не может им навязать определенные критерии обработки персональных данных или защиты и платить за уникальность требований, в то же время должен отвечать за них. Это только один пример для упрощения поста, которое показывает следующее: Сложившийся рыночный подход уже не соответствует прописанным когда-то в 152-ФЗ критериям "оператора" и "обработчика" персональных данных данных. Нужна третья явная сущность, которая бы выполняла роль "обработчика" с определенными полномочиями оператора ПД. Я всегда привожу пример Казахстана, который когда-то в лучшую сторону отклонился от европейского подхода "Контроллеров-Процессоров". В законе уже есть подходящее понятие "Оператор информационной системы" (ст. 2 149-ФЗ), можно было бы развивать его. К тому же можно гармонизировать это развитие с законодательством о провайдерах хостинга, если реанимируют законопроект, то с регулированием о ЦОД. Т.е. почему бы не заняться развитием и гармонизацией имеющихся сущностей, а не преждевременным введением новых сущностей. #мнение

Поскольку на канале посты выходили не так часто, решил это компенсировать более основательным контентом. Евгений Царев (RTM Group) взял у меня интервью о текущих проблемах, связанных с легальной обработкой персональных данных. Затронули темы: 1. Что такое персональные данные и зачем их защищать. 2. Утечки и ответственность. 3. Кому нужно обезличивание ПД. 4. Роль DPO в компании. 5. Почему с согласиями на ПД все не однозначно. 6. Как можно доработать концепцию Операторов-Обработчиков в 152-ФЗ. И некоторые другие темы. Следите за каналом, запись несколько дней будет на монтаже. Пока можно посмотреть другие интервью на Ютюб-канале Евгения ИТ. Право. Безопасность.

В 3-м чтении принят законопроект: 1. Позволяющий Роскомнадзору признавать "зеркала" заблокированных ранее сайтов для последующей их блокировки. Ранее в цепочке рассмотрения "зеркал" заблокированных сайтов было Минцифры РФ, затем оно передавало информацию в Роскомнадзор. 2. Обязывающий все поисковики ограничивать выдачу заблокированных сайтов. Ранее эта обязанность возлагалась на те поисковики, которые распространяли рекламу для РФ пользователей (на Гугл не распространялось).

Вчера рассмотрение законопроекта об обезличивании персональных данных во 2-м чтении (снова) отложили на неопределенное время. https://sozd.duma.gov.ru/bill/992331-7#bh_histras. Кратко по тексту законопроекта для 2-го чтения: 1. Правительство будет определят составы данных. 2. Уполномоченный орган будет направлять операторам требование о предоставлении данных в специальную ГИС. 3. Операторы, которые получили требование должны обезличить данные и передать в ГИС. Если нет техвозможности обезличить, тогда просто передаются персданные, там обезличат. 4. Методика обезличивания ПД будет определяться Правительством. Т.е. механизмы обезличивания, дата-сеты, затрагиваемые операторы будут определятся потом исполнительной властью. Также в законопроекте описан порядок доступа к обезличенным данным, ограничения, контроль и надзор.

Пара слов о смягчающих обстоятельствах при штрафах за "утечку". 🔹Кто пойдет в суд и в процессуальном порядке будет доказывать суду наличие смягчающих обстоятельств? 🔹Кто перед этим даст гарантии, что произведенные меры можно посчитать смягчающими обстоятельствами по мнению суда (желательно до начала из бюджетирования)? Например, в качестве смягчающего обстоятельства заявляется "осуществление оператором ежегодных расходов в течение не менее трех лет, предшествующих правонарушению, на мероприятия по обеспечению информационной безопасности". Кто-то должен дать гарантии и в последующем отстоять перед судом, что предмет договора и даже конкретные формулировки в договоре с ИБ-подрядчиком соответствуют этому критерию. То же относится и к внутренним работам/процессам по ИБ которые хорошо бы документировать с процессуальной значимостью. Еще пример смягчающей меры, как его указывает СМИ "оператор должен соблюдать требования к защите персональных данных при их обработке в информационных системах, и это должно быть документально подтверждено". Здесь уместно вспомнить прямо указанную обязанность Ответственного за организацию обработки ПД в ст.22.1 152-ФЗ: контроль законодательных требований к защите персональных данных. Все ли CISO допускают DPO к контролю своей работы? К слову, во многих компаниях DPO подчиняются CISO, а если обозначенный DPO не юрист и, например, не может работать с договорами и поручениями на обработку (и еще много с чем), вводят компенсирующую роль юриста по ПД. В таком подходе вроде как и не получается единого ответственного за возможное смягчение штрафов. Что бы доказывать что-то в будущем в процессуальном порядке, нужен судебный опыт, т.е. опытный юрист. Предложения Минцифры ведут к укреплению зарождающейся юридической специализации "Юрист по кибербезопасности". По моему опыту DPO и юристы по персональным данным сейчас самые близкие к такой роли и DPO (с юридическим бэкграундом) будут и далее расширять свои знания в ИБ-право, юристы по ПД станут юристами по ПД и ИБ. Уже сейчас на всех data privacy проектах Lukash & Partners мы консультируем по умолчанию по праву в области ИБ, смотрим глазами суда на те или иные меры и правовые последствия инцидентов. Даже если юридическая служба и служба ИБ сверхкомпетентны, наше альтернативное правовое мнение значительно дешевле стоимости возможных последствий. Запросить наше предложение на консультацию юриста по ИБ можно написав на почту [email protected] #мнение

Ищем помощника для поиска и подготовки материалов для канала Privacy Expert. Рассмотрим начинающего специалиста, увлеченного Data Privacy. Ориентируемся на последний курс учебного заведения или недавнего выпускника. Для студентов курс на подобие "Privacy Bootcamp" или специализация в информационном праве - преимущество. Рассмотрим опытных юристов других специализаций, которым интересно погружение в Data Privacy и хотят начать с аналитики. Занятость частичная, удаленная, оплачиваемая, поддержка опытных коллег, возможность в будущем перейти в штат, за подробностями @linfo.

Роскомнадзор о ПД несовершеннолетних в образовательных организациях: "Субъект персональных данных в возрасте от 14 до 18 лет вправе самостоятельно предоставлять образовательному учреждению согласие на обработку своих персональных данных в рамках образовательного процесса в объеме дееспособности, установленной ст. 26 ГК РФ, без дополнительного согласия его законного представителя, если иное не предусмотрено законодательством" Российской Федерации."

Если не видели, позиция от 21 года Прокуратуры Саратовской области в отношении страницы в соцсети. "страницу в социальных сетях можно считать персональными данными, если она зарегистрирована на определенное физическое лицо, что позволит идентифицировать конкретного человека"

Роскомнадзор: Если делаете возврат денежных средств третьему лицу, то нужно согласие на обработку ПД от третьего лица. P.S. К сожалению, полный текст письма опубликовать не можем.

В чем выгода для оператора ПД деления политики ПД на части и чей ответ практичнее? В ч. 2 ст. 18.1 152-ФЗ указано, что оператор, собирающий ПД с использованием сети Интернет обязан публиковать политику ПД в сети Интернет. Поскольку (согласно позиции Роскомнадзора) политика ПД должна содержать сведения об обработке (цели, перечни ПД и т.д.), не всем хочется в единой политике ПД прописывать какие-то глубинные параметры обработки для всеобщего обозрения, например, кадровые процессы. Отсюда у экспертов возникает мысль делить политику ПД на 2 и больше частей, публиковать на сайте только ту часть, где есть сбор через сайт. Но есть нюансы, вот некоторые из них: 1. Форма обратной связи на сайте, метрика на сайте и т.п. , как правило, не единственные каналы сбора ПД через Интернет в компании (ведь сказано в законе о сборе не через сайт, а через Интернет). Например, сбор резюме через электронную почту, которая работает в Интернет, также является сбором ПД, подпадающим под требование о публикации политики ПД в сети Интернет. Если проанализировать в операторе ПД все источники сбора ПД, то может оказаться, что Интернет используется много где. 2. Если компания уведомляет Роскомнадзор об обработке ПД по ст. 22 152-ФЗ, то параметры обработки ПД публикуются в открытой части Реестра операторов персональных данных. Рядовому субъекту ПД будет сложнее это найти, но все же скрыть до конца не получится (только если не уведомлять или уведомить частично, за что ожидается новый штраф до 300 000 р.). 3. Даже если Вы найдете причины не публиковать часть политики ПД на сайте, все-равно Вы должны ее где-то опубликовать или иным образом обеспечить к ней неограниченный доступ (даже если нет сбора ПД через Интернет, см. ч. 2 ст. 18.1 152-ФЗ). Для случая с работниками это может "Интранет" или внутренний сетевой диск, но раскрывать и контролировать публикации придется по всем частям политики ПД. Получается, что "изысканный" privacy - комплаенс, связанный с делением политики на несколько частей не всем и подходит, так как трудозатраты увеличиваются, а выгода не всегда очевидна. Минцифры РФ ответил более осторожно: даже если Вы разделите политику ПД на 2 части, может оказаться, что и публиковать должны в сети Интернет эти части. Если Вы решили полагаться на позицию РКН ЦФО, то есть предпосылки, что в ближайшем будущем они свою позицию изменят. Если Вы уже разделили Политику ПД на несколько частей, опубликовали только одну из них, пишите [email protected], перепроверим, скорректируем, подскажем как оптимально наследовать от них ЛНА и проще управляться Реестром процессов обработки.