Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Где и когда поговорим о контроле и надзоре

Аватар пользователя mezp11@gmail.com
Автор: Емельянников Михаил, Консалтинговое агентство «Емельянников, Попова и партнеры»
(7)
()
За последние дни к нам поступило много запросов с просьбами прокомментировать те или иные аспекты проведения проверок выполнения законодательства о персональных данных. Один из наиболее частых вопросов – где в ближайшее время будем рассказывать о проведении контрольных мероприятий Роскомнадзором в 2016 году.

25-26 января – первый в этом году курс «Защита персональных данных», который я провожу в Учебном центре «Информзащита» уже почти 9 лет. Мы решили радикально изменить содержание темы «Контроль и надзор за соблюдением законодательства о персональных данных», полностью отказаться от рассмотрения так и не подписанного проекта «Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Вместо этого будет детально рассмотрен «Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», а также особенности планирования контрольной деятельности Роскомнадзора в 2016 году. Больше внимание будет уделено набирающей силу практике систематического наблюдения за деятельностью операторов персональных данных.

Конечно, будут добавлены примеры из судебной практики, из материалов проверок и Научно-практического комментария к закону «О персональных данных», подготовленного специалистами Роскомнадзора, иллюстрирующие существующие на сегодняшний день подходы к требованиям законодательства. В частности, слушатели курса узнают, почему работодателю опасно сканировать и хранить паспорт и иные документы работника, можно ли привлекать к взысканию долга коллекторов и иные организации, и как на это смотрят суды и надзорные ведомства, имеет ли право кассир в магазине требовать паспорт у покупателя и многое другое.

Как обычно, поделюсь опытом реализации нашим агентством проектов по персональным данным в различных отраслях, в том числе, в иностранных и  международных компаниях

Точно, что скучно не будет!

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Михаил, добрый день!
Решил  к Вам обратиться  с вопроом о ЗПд. Может поможете.
Где можно найти полный перечень персональных данных? Есть ли таковой в природе?
 

up
27 users have voted.
Аватар пользователя mezp11@gmail.com

Михаил, такого полного перечня не сущесвует и, на мой взгляд, не может существовать в принципе. До сих пор не только в России не могут договориться, что такое персональные данные в принципе. Ау же перечень...

up
26 users have voted.
Аватар пользователя riskmn

Михаил, это конечнео печально. Но, если нет такого перечня, тогда все действия по защите ПДн становятся шаманством;
- субъективным бует то, то и как защищть;
- "безгранчны" станвоятся вариации по требованим;
- копатья" моно удет люго - все будет зависеть от "желаний"/ "блгослоности" проверяющих;
Учитыва это система по защите ПДн будт скорее формальной технологией отмазки от проверок, чем реальной защитой.

up
50 users have voted.
Аватар пользователя mezp11@gmail.com

Михаил, ну это так и просходит, и об этом написано и сказано очень много.
Для понимания проблемы, вот цитата из Научно-практического комментария к закону, подготовленного Роскомнадзором: "При буквальном толковании (применяемом в правоприменительной практике «по умолчанию») рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте. В частности, в нем нет указания на связь между информацией и прямой или косвенной определенностью или «определяемостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких – нет".

up
34 users have voted.
Аватар пользователя riskmn

Михаил, спасибо за разъяснение. Если занимаю время - написшите прямо, если возможно - еще спрошу.
Тогда как описать предмет защиты?
И еще, более ценно для меня, как доказать, что "что-то" не попадает под действие этого закона?
Не могу найти концов, дабы размотать этот клубок?

up
40 users have voted.
Аватар пользователя mezp11@gmail.com

Предмет защиты - персональные данные. На сегодня, с учетом позиций надзора и регуляторов, это любая информация, соотносимая с конкретным лицом, т.е. на основании которой можно определить, о каком конкретно Иванове Петре Сергеиче идет речь.
А вот доказать, что не подпадает, можно только тогда, когда оснований полагать, что информация относится к определенныму лицу, нет. Например, если данные обезличены. Пример: то что, я вижу на странице (Ваше имя, фамилия и фото) - это персональные данные. То, что я вижу в почте как уведомление о вашем комментарии -"Только что riskmn оставил комментарий к вашей записи" - это не персональные данные
 

up
27 users have voted.
Аватар пользователя riskmn

Ну это как-то с сильной наяжкой. И что? Фото и ФИО - хорошо - это ПДн.
Дальше то что? Ну узнал кто-то и чего? Я занимаюсь ИБ более 30 лет и не могу уяснить суть этого - как можно реализовать эти знания???
Другое - система ЗИ настолько сложна/ дорога по реализации и при этом элементарно компрометируется!!! Причем доказать из какого источника получается инфа - практическ4и невозможно.
Получается просто "виток пустых затрат на непонятную/ неэффективную/ неизвестно для чего организуемую   деятельность"?
 
 

up
26 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.