ПДн. НПА. Рекомендации Роскомнадзора по составлению политики обработки ПДн

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(2)
()
Недавно Роскомнадзор подготовил и опубликовал на сайте Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».



У меня в целом положительное отношение к данным рекомендациям. Объясню почему: зачастую Операторы ПДн относятся к публичной политике ПДн как к типовой декларации на одну страницу – туда попадают какие-то типовые вещи, а все подробности остаются во внутренних документах Оператора. Но пользователю/клиенту этой типовой декларации может быть недостаточно для принятия решения о том, стоит ли пользоваться услугой и насколько она безопасна.


Роскомнадзор порекомендовал указывать в политике некоторые сведения, которые операторы уже обязаны указывать в уведомлении Роскомнадзору. Всё равно эти сведения доступны через реестр операторов ПДн, так зачем заставлять клиента ходить за сведениями на внешние ресурсы, если можно указать это в политики. Роскомнадзор порекомендовал указывать дополнительную информацию о передаче ПДн третьим лицам, которая свидетельствует о том, что оператор соблюдает основные принципы обработки ПДн. Рекомендовали описать регламент взаимодействия с субъектом ПДн и привести в примере формы – это будет полезно клиентам, решившим обратится к Оператору ПДн.


В общем то приведенные рекомендации соответствуют и подходам к политике обработки ПДн, принятым в евросоюзе: пример 1, пример 2.


Но есть у меня и несколько замечаний к Рекомендациям:

·         В уведомлении Роскомнадзора категории ПДн и категории субъектов разбиваются по информационным системам, а в Политике в соответствии с Рекомендациями надо разделять по целям обработки. Для оператора ПДн это двойная работа и сложная кросс аналитика. Можно было бы использовать какой-то единый подход.

·         В описании передачи ПДн третьим лицам Рекомендуется указывать перечень действий которые разрешено совершать с ПДн третьему лицу, требования по защите ПДн, которые Оператор предъявил третьему лицу. Тут Роскомнадзор не учел случаи, когда оператор передает данные не по своему желанию, а потому что обязан передать эти данные в соответствии с каким-то ФЗ (ПФР, ФНС и т.п.). И в таком случае он не знает, какие действия будет совершать с ними третье лицо, не может ограничить эти действия или установить требования по защите.

То, что приведено в Рекомендациях применимо только для таких случаев передачи ПДн третьим лицам, в которых Оператор самостоятельно поручает обработку ПДн третьему лицу (обработчику).

·         Авторам Рекомендаций надо было привести примеры, больше примеров !!!, того что можно писать в каждом разделе. Эти примеры есть у Ромкомнадзора в Реестре операторов ПДн. Они были бы полезны


·        Стоило бы рекомендовать указывать в Политике ФИО и контакты лица, ответственного за орг. обр. ПДн  
·         Не мешало бы привести пример полноценной политики, составленной в соответствии с Рекомендациями. Пока что политики Минкомсвязи и управлений РКН не соответствуют данным рекомендациям.


Чтобы немного сгладить последнюю оплошность привожу ниже пример политики обработки ПДн блога (в соответствии с частью 2 статьи 1 152-ФЗ на обработку ПДн физическими лицами для личных нужд не распространяются требования, но мы предположим, что на месте sborisov.blogspot.ru был бы какой-то корпоративный блог) имеющего форму обратной связи (недавняя шумиха с наказанием РКН сайтов, имеющих форму обратной связи, но не имеющих политики ПДн)






Оцените материал:
Total votes: 22
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

Не прошло и семи лет, как РКН придумал, что должно быть в Политике. Еще лет 5-6 и мы увимдим на сайте регулятора его Политику в области обработки ПДн. Или РКН не считает себя оператором?

up
3 users have voted.
Аватар пользователя no

Только что-то никаких сведений о юридической значимости этих рекомендаций ни привели (ничем не утверждены, никем не подписаны). Такое ощущение, будто кто-то на заборе что-то написал... А то, что написано на заборе (не зависимо о того, что этот забор огораживает) руководством к исполнению быть не может :)

up
3 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.