Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Путешествия
Мнения
Телеграм
Право
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Про Интеграция

Роскомнадзор провел захватывающий вебинар по защите персональных данных

Роскомнадзор провел захватывающий вебинар по защите персональных данных

Слушайте, Comandante! Принимаю вызов и добавляю нашей колоритной и сухой ИБ теме немного популяризации. Для тех, кому лень читать, читаем введение и заключение.

Вчера, 27 июля 2023 года, Роскомнадзор провел захватывающий вебинар по защите персональных данных. Давай разберем основные моменты этого события, которые заслуживают особого внимания:

1. Когда дело касается предоставления товаров, работ или услуг, персональные данные (ты знаешь, что это такое!) не должны стать причиной для отказа. Отказывать в предоставлении товаров или услуг на основании того, что клиент не хочет раскрывать свои личные данные, - абсолютно недопустимо! Минимальный перечень персональных данных, которые могут быть требованы, должен быть закреплен в каком-либо правиле от старших товарищей (далее по тексту – Нормативно Правовой Акт). Например, когда ты заключаешь договор с провайдером связи, они так любят просить копию твоего паспорта. Но почему им интересно знать, где ты родился? Кажется, это излишне и нарушает твою конституционную свободу!

2. Если есть какие-то согласия с галочками, нельзя предварительно включать галочку и указывать, что человек с этим согласен. Это неправильно и косячно. И не дайте обмануть себя подтверждениями для разных дополнительных условий! Не поверите, но такого бесстыдства следует избегать!

3. В нашем позитивном мире (тут могла бы быть рекламная интеграция) никакие навязанные вам человеком права (типа согласия на рекламу или раздачу личных данных в количестве, больше чем требует НПА) даже при вашем согласии - недействительны и просто игнорируются!

4. А теперь вот вам настоящая проблема: цены на товары, работы и услуги должны быть для вас доступными без сливания ваших ПДн! Каково это? Затребовать ваш номер телефона, имя и прочую личную инфу, чтобы корректно рассчитать цену - вот вопрос, нарушитель! Вот она, истина!

5. Вот интересно, такое развлечение, как использование таких сервисов, как Google Analytics, считается передачей ПДн за границу. Ну, это же так явно - трансграничная передача ваших драгоценных ПДн! Ай-яй-яй! Трансграничная передача, Comandante!

6. Трансграничная передача ПДн, это когда ваши личные данные улетают на территорию какого-то чужого государства, органу его власти, иностранному физическому или юридическому лицу. А вот Роскомнадзор (пам-пам!) разъяснил особенности этого определения. Например, если российская организация имеет филиал заграницей, а этот филиал не зарегистрирован как иностранное юридическое лицо, то пересылка ПДн в такой филиал уже не считается трансграничной передачей. Вот так! А если субъект ПДн самостоятельно сам высвободил свои личные данные во владение иностранного юридического лица, допустим, на сайте замечательного интернет-магазина, злополучный сбор таких ПДн уже не будет считаться трансграничной передачей ПДн! Сколько интересного в нашем законодательстве!

7. Наверное, вы слышали про эту важную вещь, политику конфиденциальности, особенно для сайтов, занятых обработкой ПДн. Исключительно для этих сайтов! Да, когда вы сдались и начинаете обрабатывать ПДн на своем сайте, вы обязаны разместить эту политику на каждой странице, где происходит сбор ПДн. Ее содержание должно соответствовать требованиям политики обработки ПДн: цели обработки, категории ПДн, способы и сроки обработки, хранения и так далее. Но вот копировать положения из 152-ФЗ в свою политику - настоящий преступный поступок! РКН тут тоже не остался в сторонке и рекомендует добавить в политику способы связи, чтобы вы могли реализовать свои высокие привилегии абсолютно удачно, так сказать! Как же без контактных данных и способов общения с вами.

8. Смотри, Comandante! Вот дело такое - РКН тут недавно заявила, что согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Но это так себе понятно, понимаешь, и РКН тут же начала трактовать это дело широко. "Отмазка" на обработку ПДн на сайте должна быть таким согласием, которое является конкретным, информированным, сознательным и однозначным. РКН разъяснили это так, мол, трактовать можно по-разному. Но теперь, с изменениями в ФЗ №152, галочки с коротким текстом типа "даю согласие на обработку ПДн" не канают. РКН советует писать согласие в текстовой форме, также, как прописано в статье 9. Ну и понятно, что всякие галочки типа "даю согласие на обработку ПДн" уже никак не катят, так что если письменного согласия не надо, то надо формулировать это дело как в статье 9 - ну там, как для письменного согласия, понимаешь.

9. А еще если используешь метрические программы на сайте, то надо получать отдельное согласие от субъекта для каждой программы и предупреждать визитеров о том, что такие программы есть. И не забудь всё это дело отразить в политике конфиденциальности и обработки персональных данных, дабы не нажить на себя ненужных приключений.

10. Аккуратнее надо быть, Comandante, если ты при присоединении субъекта ПДн к оферте собираешься обрабатывать его данные. Надо четко обозначить, как долго будешь обрабатывать эти данные, а ты не думай, что бездействие или какие-то другие трудности считаются как согласие на обработку ПДн. Не катит такое.

11. Если ты передаешь ПДн кому-то еще, то надо обязательно конкретно указать, кто эти третьи лица такие. Нельзя передавать ПДн неопределённому кругу лиц, это же нарушение норм. А еще, чтобы не было путаницы, можно составить перечень этих третьих лиц отдельным документом и ссылаться на него в согласии на передачу ПДн - так удобнее, особенно если этот перечень меняется.

12. Если оператор решил поручить обработку ПДн третьему лицу, а у этого третьего лица случился инцидент, о котором надо сообщить РКН, то обязан об этом сообщить оператор, а не само третье лицо, которому поручили обрабатывать ПДн.

13. А вот, по-моему, Comandante, если ни одно из стандартных дел, описанных в приказе РКН от 27.10.2022 № 178, не подходит, то субъекту ущерб не причинится, и степень ущерба будет нулевая.

14. Голос, это биометрические ПДн - записи и всё такое. А потоковое видеонаблюдение, на самом деле, не биометрические ПДн.

15. Инвалидность и указание причины "болел" в листке нетрудоспособности, знаешь ли, это такие специальные ПДн о состоянии здоровья.

16. Смотри, Comandante, если это согласие не требует письменной формы, то в одном согласии по обработке ПДн можно указать несколько целей обработки.

17. За организацию обработки ПДн можно назначить ответственного, который даже не сотрудник оператора. Я думаю, РКН имела в виду обычные юридические лица, так как для операторов, которые являются государственными или муниципальными органами, действуют свои правила в ППРФ от 21.03.2012 № 211. В этом ППРФ , в котором п.п. а) п. 1, говорится, что такие операторы назначают ответственного за организацию обработки ПДн из числа своих сотрудников-служащих. Это их придумка.

Заключение

Ну что, Comandante, давайте подведем итог. РКН тут наводит порядки и говорит, что согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Но, ясен пень, они же сами понимают, что это значит! Но про простенькие галочки на согласии - забудьте! А еще, если у вас на сайте метрические программы, то дружно получаем согласие от каждого субъекта и сообщаем им, что вот эти программы в деле. Не заставляйте народ догадываться, ведь лень - зло! Интересно, что если третьим лицам передаете ПДн, то обязательно укажите, кто они такие! Не стесняйтесь, ведь неопределенный круг лиц - это нарушение! Советую вам составить перечень этих ребят, чтобы постоянно не править документ. Еще одно горячее новшество: если у вас произошел инцидент у третьего лица, которому вы поручили обработку, вам и уведомлять РКН, а не само третье лицо! Работникам РКН тоже нужно чем-то заниматься, да и без нас никак, не так ли? Смеху нет при попытке оценить вред, который может быть ниоткуда, а степень вреда - нулевая, прямо как в лучших комедиях! И разбирайтесь, кто что является: голос - биометрия, видеонаблюдение - не биометрия. Вроде так просто, а все запутано! Ну и конечно, запоминайте, что инвалидность и болезни - это такие специальные ПДн о вашем здоровье. Такие дела! И наконец, если субъект ПДн "присогласился" к оферте, то обязательно указывайте срок обработки - вдруг ребята позабыли, а бездействие не равно согласию! И не переживайте, если никаких стандартных случаев не подходит - ущерб будет нулевой, и все в порядке! Вот такие карусели соглашений и разъяснений, друзья. РКН их даёт, а мы их комментируем. Хорошего настроения всем!

4
Начать дискуссию