#ркн #hotquestions
Публикую ответы РКН на вопросы:
1. Организация, обрабатывающая ПДн по поручению, должна ли подавать уведомление?
Ответ: требования по предоставлению уведомления применяются равнозначно ко всем: и к операторам, и к обработчикам с учетом исключений, определенных в статье 22.
Например: оператор передает ПДн своих работников для последующей обработки третьему лицу по поручению. Такое третье лицо не попадает под исключение, так как осуществляет обработку ПДн для достижения бизнес-выгоды и обязано подать уведомление в РКН.
2. Что отнести к ПДн
Ответ:
- Электронная почта без дополнительной информации является особенным идентификатором пользователя и относится к ПДн.
- номер мобильного телефона, должность и адрес корпоративной электронной почты в совокупности являются ПДн.
- номер мобильного телефона не является ПДн и относится к устройству.
- номер транспортного средства не является ПДн и относится к транспортному средству.
- номер лицевого счета в платежном поручению не является ПДн.
- информация о судимости в формате (да/нет) без дополнительного указания статьи не относится к специальным категориям ПДн.
- сведения об инвалидности с указанием группы к специальным категориям ПДн относятся.
- код болезни к специальным категориям ПДн не относится.
3. Нужно ли указывать всех третьих лиц, которым передаются ПДн в согласии/положении
Ответ: Прописывать привлекаемое к обработке третье лицо или третье лицо, которому передаются ПДн, необходимо в согласии, если это требуется законодательством, к примеру в рамках трудовых отношений. Нужно исходить из категорий субъектов ПДн.
4. Регламентирован ли порядок отзыва согласия на обработку Пдн.
Ответ: Порядок отзыва согласия определяется оператором самостоятельно. Но в рамках цифровой экономики разрабатываются проекты документов по процедуре отзыва, к примеру: согласие должно отзываться только в той форме и каналу, в котором было предоставлено.
5. Доменом владеет одно юридическое лицо, а использует веб-сайт несколько организаций. Как регламентировать обработку ПДн?
Ответ: Если другая организация выполняет функционал, не пересекающийся с функционалом первой организации, то в документах можно прописать информацию о передаче ПДн третьему лицу без уточнения третьего лица.
6. Может ли компания передавать ПДн своим партнерам?
Ответ: В согласии на участие в бонусной программе следует указать партнеров. При этом цели обработки ПДн партнерами не должны отличаться от целей сбора ПДн.
7. Если субъект разместил ПДн в социальных сетях, можно ли такие ПДн использовать свободно?
Ответ: Нет, данные не становятся при этом общедоступными, обрабатываются по пользовательскому соглашегию.
8. Сведение собираемые с использованием метрических программ относятся ли к ПДн?
Ответ: Да
Но в настоящий момент на площадке цифровой экономики идет работа по разработке понятия пользовательских данных.
9. Куки-файлы и результаты хэширования информации - не являются обезличенными ПДн.
10. Являются ли сведения, содержащиеся в сертификате ЭП, общедоступными?
Ответ: нет.
Сведения из реестра сертификатов ЭП относятся к общедоступными, а сведения из самого сертификата общедоступными не являются.
11.Можно ли в одной форме письменного согласия указать много разных целей, напротив которых субъект может оставить свою роспись.
Ответ: подобная форма в контексте действующего законодательства является нежизнеспособной. Разные записи на одном материальном носителе не относятся к разным согласиям.
Но в настоящий момент идет проработка требований к согласиям - в одном согласии можно будет указывать несколько целей.
12.Передача ПДн иностранному посольству, расположенному на территории РФ, относится к трансграничной передаче ПДн.
Передача ПДн в посольство РФ, расположенное за пределами РФ, также относится к трансграничной передаче ПДн.
Планируется изменить понятие трансграничной передачи.
13.
Публикую ответы РКН на вопросы:
1. Организация, обрабатывающая ПДн по поручению, должна ли подавать уведомление?
Ответ: требования по предоставлению уведомления применяются равнозначно ко всем: и к операторам, и к обработчикам с учетом исключений, определенных в статье 22.
Например: оператор передает ПДн своих работников для последующей обработки третьему лицу по поручению. Такое третье лицо не попадает под исключение, так как осуществляет обработку ПДн для достижения бизнес-выгоды и обязано подать уведомление в РКН.
2. Что отнести к ПДн
Ответ:
- Электронная почта без дополнительной информации является особенным идентификатором пользователя и относится к ПДн.
- номер мобильного телефона, должность и адрес корпоративной электронной почты в совокупности являются ПДн.
- номер мобильного телефона не является ПДн и относится к устройству.
- номер транспортного средства не является ПДн и относится к транспортному средству.
- номер лицевого счета в платежном поручению не является ПДн.
- информация о судимости в формате (да/нет) без дополнительного указания статьи не относится к специальным категориям ПДн.
- сведения об инвалидности с указанием группы к специальным категориям ПДн относятся.
- код болезни к специальным категориям ПДн не относится.
3. Нужно ли указывать всех третьих лиц, которым передаются ПДн в согласии/положении
Ответ: Прописывать привлекаемое к обработке третье лицо или третье лицо, которому передаются ПДн, необходимо в согласии, если это требуется законодательством, к примеру в рамках трудовых отношений. Нужно исходить из категорий субъектов ПДн.
4. Регламентирован ли порядок отзыва согласия на обработку Пдн.
Ответ: Порядок отзыва согласия определяется оператором самостоятельно. Но в рамках цифровой экономики разрабатываются проекты документов по процедуре отзыва, к примеру: согласие должно отзываться только в той форме и каналу, в котором было предоставлено.
5. Доменом владеет одно юридическое лицо, а использует веб-сайт несколько организаций. Как регламентировать обработку ПДн?
Ответ: Если другая организация выполняет функционал, не пересекающийся с функционалом первой организации, то в документах можно прописать информацию о передаче ПДн третьему лицу без уточнения третьего лица.
6. Может ли компания передавать ПДн своим партнерам?
Ответ: В согласии на участие в бонусной программе следует указать партнеров. При этом цели обработки ПДн партнерами не должны отличаться от целей сбора ПДн.
7. Если субъект разместил ПДн в социальных сетях, можно ли такие ПДн использовать свободно?
Ответ: Нет, данные не становятся при этом общедоступными, обрабатываются по пользовательскому соглашегию.
8. Сведение собираемые с использованием метрических программ относятся ли к ПДн?
Ответ: Да
Но в настоящий момент на площадке цифровой экономики идет работа по разработке понятия пользовательских данных.
9. Куки-файлы и результаты хэширования информации - не являются обезличенными ПДн.
10. Являются ли сведения, содержащиеся в сертификате ЭП, общедоступными?
Ответ: нет.
Сведения из реестра сертификатов ЭП относятся к общедоступными, а сведения из самого сертификата общедоступными не являются.
11.Можно ли в одной форме письменного согласия указать много разных целей, напротив которых субъект может оставить свою роспись.
Ответ: подобная форма в контексте действующего законодательства является нежизнеспособной. Разные записи на одном материальном носителе не относятся к разным согласиям.
Но в настоящий момент идет проработка требований к согласиям - в одном согласии можно будет указывать несколько целей.
12.Передача ПДн иностранному посольству, расположенному на территории РФ, относится к трансграничной передаче ПДн.
Передача ПДн в посольство РФ, расположенное за пределами РФ, также относится к трансграничной передаче ПДн.
Планируется изменить понятие трансграничной передачи.
13.