На тему новости вспомнился анекдот.

Моя жена спросила меня, почему я так тихо разговариваю в доме. Я сказал, что боюсь, что Марк Цукерберг слушает. В ответ она засмеялась. И я тоже засмеялся. И Алиса засмеялась. И Сири засмеялась

Мне вот интересно, а в каком месте и когда Яндекс оформил запись и обработку общения (персональных данных) с Алисой?

Заканчивался октябрь 2025 г.

А в договор купли-продажи крупной организации на полном серьезе вставляют вот такое. Впору конкурс объявлять - кто больше найдет нарушений. Или давать такой документ в анализ кандидату на вакансию DPO. Для первичного отсева.

Но в первый раз сталкиваюсь с отсылкой к ст. 15 ФЗ152. Удивлен безмерно.

Немного про уничтожение персональных данных.

Мы с детства привыкли к взаимоисключающим требованиям, но что позволительно в быту, смотрится крайне странно в законодательстве.

Итак, наш горячо любимый ФЗ152 требует, и вполне резонно, уничтожать ПДн по разным причинам - цель достигнута, утрачено основание обработки, оператор решил перестать быть оператором. И на этот случай еще в конце 2022 года (не 2002, 2022-го) наш замечательный регулятор выпустил приказ №179 "О подтверждении требований к уничтожению ПДн". Кратко расскажу его суть - после уничтожения Оператор должен оформить акт, где очень тщательно запишет ФИО или иную информацию о субъекте, чьи данные безжалостно вычеркнуты из процессов; типы исключенных из обработки ПДн; носители, ИСПДн, где происходило торжество закона; дату события и причины, приведшие к уничтожению.
Таким актом Оператор как бы подтверждает, что он законопослушен. Акт может подписывать и комиссия, и кто-то уполномоченный. Главное подписать. Тогда точно закон будет исполнен. Без этого в нашем, 2025м году, никуда.

Но это не все, если ПДн уничтожались в информационной системе, то нужно прикладывать выгрузку об уничтожении из журнала ИСПДн с кучей полей. Но если такая выгрузка чего-то не содержит, то можно дописать информацию в акт.
Я вот не знаю ни одной ИСПДн, где такое хоть в какой-то мере реализовано. Только голые логи, которые в принципе, из-за количества событий или функциональности, могут не содержать подобного. По этому единственный разумный вариант - сразу оформлять обычный акт и не морочиться с выгрузками.
Тем более, если задуматься, логи существуют в электронном виде, их выгружать и распечатывать? Или как то приклеивать к акту, подписываемому в КЭП (хорошо что разрешено приказом)?

Но самое смешное, что у любой крупной компании, особенно в ритейле, количество записей о ПДн, а следовательно актов/записей в актах, будет исчисляться тысячами и тысячами. Минимум. Километры бумаг, которые надо оформить и хранить 3 года в доказательство соблюдения законов.

А в чем же когнитивный диссонанс?
В августе 2024 г. появился замечательный п.3.1 в ч.2 ст.19 - с этого момента для уничтожения ПДн должны применяться средства защиты, прошедшие оценку соответствия для этих дел. Т.е. в ИСПДн уничтожение и не должно логироваться в том виде, как его увидели в РКН.
Такие дела.

P.S.: Оформляя такие акты всегда ждешь, что скоро ГИБДД начнет заставлять пешеходов подписывать акт о переходе дороги "Дошел до проезжей части, посмотрел налево, достиг середины проезжей части, посмотрел направо, завершил пересечение проезжей части" Число. Подпись.

#ФЗ152 #Уничтожение_ПДн #Акт_уничтожения

РКН не перестает радовать своими полезными и оригинальными инициативами по реформам законодательства в области ПДн.

Очередное новшество, которое уже этой осенью может быть рассмотрено в Госдуме. Глава РКН считает, что соласий стало слишком много, люди в них путаются, не понимают, по этому надо расписать по отраслям, каким операторам что можно обрабатывать.

Очень странная логика - вместо того, чтобы уточнить правовые основания и практику их применения, лучше затолкать операторов за забор ограничений. Как их видят со своей стороны чиновники.

Ну ок, в линейной деятельности это даже может упростить жизнь бизнесу. А в проектах и развитии?
«И они ещё борятся за звание дома высокой культуры быта!» Ну о каких инновациях и импортозамещении тут можно будет говорить?

P.S.: Что пугает с учетом скорости появления в законе "согласия должны даваться отдельно от остальных подписываемых документов" - и эти отраслевые стандарты мы получим уже в следующем году. Только на безопасность персональных данных это никак не повлияет.
Такие дела

#Новости #Позиция_РКН

Фантастическая трилогия о рекламе.

Наверное, самое чудесное, что есть из согласий в нашем законодательстве - это про рекламу. В нашем прекрасном правовом поле желание одних людей рассказывать о себе и своих предложениях другим людям, причем в сетях электрической связи, регулируется не двумя, как я писал, законами. Их целых три! Настоящая трилогия. Жаль что автор у них разный.

1. Наш любимый ФЗ152. В ст.15 говорится, что обработка ПДн в целях продвижения товаров и услуг допускается с предварительного согласия субъекта.
2. Хорошо известный всем маркетологам ФЗ38 "О рекламе" и статья 18. Тут уже прямо говорится, что рекламу нельзя отправлять без предварительного согласия абонента или получателя.
3. Редкий зверь на поле оповещения населения о коммерции, хотя раньше встречался чаще - ФЗ126 "О связи" и его статья 44.1. Не смотря на то, что она самая молодая, 2014 года, авторы подошли к терминологии с выдумкой, применили рассылки. Но суть вся таже. Нельзя рассылать без предварительного согласия абонента. Я кстати раньше встречал переключатели про рассылки в ЛК сотовых операторов, сейчас куда-то делись.

Так что делать бизнесу, которому реклама физическим лицам приносит вполне реальные деньги? Собирать два согласия, на рекламу и на обработку ПДн в целях рекламы? Собирать третье, если рекламу отгружать смсками? Любой маркетолог скажет, что любой лишний чек-бокс рушит конверсию на десятки процентов. Так что количество не вариант, хоть и гарантирует защиту от разных надзорных органов (если конечно правильно хранить согласия). Но на DPO у таких компаний денег точно не будет.

Но если немного поразмышлять, станет чуть легче.
Все три требования объединяет две особенности - не указана форма, но однозначно прописано, что реклама "признается осуществленной без предварительного согласия" если отправитель "не докажет, что такое согласие было получено". Конструкция идентичная. Т.е. подойдет любое согласие, имеющее доказательную силу. Из всех трех самое сложное тут про ПДн, потому как есть целая описательная статья 9 ФЗ152. По этому, оно и будет минимальным и необходимым согласием на рекламу, пусть и взятым на обработку персональных данных в целях получения рекламы.
Потому как:
1. Брать 2 и более согласий странно - отзовешь согласие на рекламу, зачем обрабатывать ПДн для этого? Отзовешь согласие на обработку ПДн для рекламы, то и рекламу слать не получится без обработки.
2. Зачем брать согласие на обработку ПДн для получения рекламы, если не собираешься ее отправлять?

В общем, оформляем согласие на сайте как обычно, по ФЗ152 , цель - для рекламы. И спокойно живем. Проверено практикой.

P.S.: Есть смелое предложение - смотреть на основание обработки ПДн для рекламы как на требование закона, вон их три штуки, и брать единственное согласие именно на ее получение, а не на обработку.

P.P.S.: Да, есть судебная практика, где РКН и ФАС предъявляли претензии к совместному согласию на ПДн и рекламу. И суд вставал на сторону регуляторов. Но тут есть один нюанс - эти претензии были про вшитые в договора согласия.
Такие дела.

#Согласие_на_рекламу #ФЗ152 #ФЗ38 #ФЗ126

Как не надо собирать согласия

В продолжение темы согласия на рекламу - подвернулся реальный пример нарушений и непониманий ФЗ152 и прочих ФЗ "О рекламе". Именно за такие фокусы штрафовал ФАС - отсутствие согласия на рекламу у клиентов. Пример реальный, конца октября 2025 года. Контрагент - очень крупная и достаточно известная страховая компания.

Итак:
0. В принципе неверный способ сбора согласий через включения в договор.
1. Два лишних согласия - на оформление договорных отношений.
2. Незаконный сбор согласия на рекламу. Причем они в рекламный пункт впихнули вполне легальные опросы о качестве услуг (если включить их в договор).
3. Отсутствие списка третьих лиц, кому передаются ПДн в рамках поручения.
4. Задвоение согласия - про третьих лиц и про аффилированных лиц.
5. Уточнение ПДн в общедоступных источниках (!!! как будто там они точнее), к которым почему то приравняли операторов связи.
6. Согласие на распространение - это меня вообще добило. В рамках договора страхования, распространение, да еще и через согласие не по форме ст.10.1

Посчитаем, по чем нынче такое писать.
Реклама тянет, по ч.4.1 ст.14.1 КоАП, на 300к-1млн. А рекламу я получил :)
Модификация моих ПДн, передача третьим лицам (посчитаем за одно нарушение), распространение - 3 раза по ч.1 ст.13.11 КоАП, 150 - 300 т.р. за случай. Причем я явно писал что не даю им никаких согласий.
Итого, минимум 300+450=750 т.р, максимум 1.9 млн.
Всего один абзац безграмотного текста и так много стоит.

Конечно, это все виртуальные подсчеты. И не учитывают гражданских исков, рвения органов (РКН тут весьма и весьма неэнергичен, в отличии от ФАС). Но все равно впечатляет.

Друзья, регулярно пересматривайте ваши контрактные документы с контрагентами, особенно с физлицами. Там могут быть сюрпризы! Даже если никто раньше не жаловался.

Такие дела.
P.S.: И вот что мне делать с этой страховой... Понять и простить?

#Согласие_на_обработку #ФЗ152 #ФЗ38

ТК РФ и его регуляция обработки ПДн

Наши законы бывают настолько хороши, что отдельные их нормы, как появляются, так и сохраняются неизменными десятилетия. Не исключение и большая часть положений ст. 88 ТК РФ. Они как вступили в силу в начале лета 2006го года, так и остались такими-же до сегодняшнего дня. И вроде нет планов их как-то менять под реалии современной жизни. Совершенство не требует изменений!

Итак, 30.06.2006 года ст.88 дополнилась некоторыми требованиями, чтобы синхронизировать их с вот-вот заработающим ФЗ152. С момента вступления норм в силу стало:
1. Нельзя передавать третьим лицам ПДн без письменного согласия работника.
2. Нужно требовать конфиденциальности ПДн у этих третьих лиц, а им в свою очередь ее обеспечивать
3. Возможно передавать ПДн внутри организации только по ЛНА, с которым всех работников следует ознакамливать под роспись.

Безусловно разумным тут является норма №2. Конфиденциальность это хорошо. А вот дальше начинаются вопросы. Третье требование, если его читать, вызывает смущение - почему только передавать нужно по ЛНА? Как себе представляли это авторы - многостраничный талмуд как перекладывать бумаги с ПДн из одного ящика в другой? Ну ок, в принципе все нашли решение - выпускают положение об обработке ПДн с копипастой из ФЗ152. Проверяющие не жалуются. Хотя смысл требования такой себе, тем более еще и знакомить под роспись людей, которые в используемом в ЛНА языке понимают только отдельные слова.

И, наконец, самое веселое, интересное и везде применимое - передача ПДн работников третьим лицам! Письменное согласие, да еще и в прочтении РКН - одна цель одно согласие. И если подходить дотошно и дословно, то количество согласий начинает зашкаливать. Причем, чем больше организация, тем больше поводов прислать на подпись очередную бумажку с согласием. Группа компаний с одной инфраструктурой? (да-да, по ФЗ152 это очень даже третьи лица) Техподдержка и доработки подрядчиками? Личные кабинеты и прочие внешние сервисы? Все туда. И надо ведь следить, чтобы все все подписали.

Но все таки, есть возможность чуть снизить этот вал бессмысленного документооборота. Воспользовавшись оговоркой из ст.88 ТК РФ "за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами" Конечно, ситуации с угрозой жизни из здоровью не тот инструмент облегчить DPO жизнь (хоть и недалеко от истины ;) ). Но вот про другие законы, очень даже.

Медосмотры? Охрана труда? Профобучение? Гостиницы и самолеты-поезда? Связь? Налоги и перечисления? Все это есть в обязанностях или самой организации, или вообще применимо для всех. По этому, тут согласия не берем. Важно только при регулярном пересмотре согласий работников (а это нужно делать) отличать оператора в силу закона (гостиницу, РЖД, поликлинику) от агрегатора услуг (сервисы командирования, например). Вот последним без согласия работника передавать нельзя, увы.
В общем, DPO, всегда задавай вопрос себе, а нет ли тут законного требования? И жить станет как минимум интереснее. Пока найдешь, пока поймешь...
Такие дела.

P.S.: Ну вот реально, почти 20 лет уже живем со статьей 88 в ее нынешнем виде. Ну страшно же, за прогресс то.

#ФЗ152 #Законное_основание #ТК_РФ #Письменное_согласие

А вот и штрафы объявили за иностранную авторизацию на российских сайтах. Теперь войти через Google может стоить 500-700 тысяч юрлицу. Так же как и не рассказать пользователю о применении рекомендательных технологий.
И что должно мотивировать владельцев сайтов переходить на российские аутентификаторы - такое нарушение легко выявляется извне. РКН уже имеет обширный опыт дистанционного мониторинга нарушений на сайтах.

Мошенники такие мошенники

Знакомые из одного крупного промышленного холдинга столкнулись с волной сообщений в мессенджерах.

Сценарий всегда идентичен - в личные сообщения пишет/пытается позвонить и даже присылает кружочки некто, представляясь руководителем высокого ранга. Сообщает что будет проверка, надо оказать содействие. Дальше подключается ещё один анонимус, представляется офицером ФСБ и начинает охмурять громкими словами, секретностью, приказом. Дада, вот этим самым приказом.

Самое главное, что тут надо знать - ФСБ не занимается проверками соблюдения требований законодательства по ПДн! Это поляна РКН. В части персональных данных ФСБ может только проверить криптографическую защиту (если вдруг появятся ресурсы на это). А технической защитой занимается вообще ФСТЭК (тоже полностью увязли в теме КИИ).

Я не буду говорить про остальные признаки мошенничества (способ отправления приказа, формат, объект проверки из другого региона и т.п.). DPO тут тоже важно делать оповещения и вести просветительскую работу.

Такие вот атаки псевдосиловиков прекрасный повод напомнить работникам к кому нужно обращаться при виде сочетания "приказ"+"персональные данные" и кто за что отвечает в органах и в их организации.

P.S.: Очень интересно, откуда они берут данные по работникам. Пишут даже уволенным, причем уволенным 5+ лет назад.
Такие дела

#Мошенники #ПДн

Очень странное кино странный ответ РКН

Так и хочется процитировать незабвенный афоризм Виктора Степановича Черномырдина "Хотели как лучше, получилось как всегда". Я как-то писал свое мнение про ТГП в использовании сервисов Google. И вот вчера по профильным чатам и каналам начала гулять вот эта выдержка из ответа РКН. Что обращает на себя внимание:
1. Кто-то решил уведомить РКН о трансграничной передаче.
2. Кто-то уведомил не просто в отношении отправить куда-то данные, а про вполне понятный кейс работы с Google Таблицами. Т.е. про постоянные передачу и обработку ПДн в иностранном (как считал кто-то) сервисе.

И тут случилось невероятное. РКН ответил, что обработка ПДн в гуглотаблицах не есть трансграничная передача, если ведется в производственных целях и данные собраны в РФ. По этому уведомление не подлежит рассмотрению.
Переведя на русский: РКН в лице его эксперта заявило: Google не иностранный сервис, таблицы с ПДн вести в нем можно, главное чтобы локализация сбора была. И уведомлять не о чем.

Это как раз тот самый случай, когда не надо верить глазам своим. Google.Docs и все его варианты это классический SaaS. Ровно такие же сценарии использования внешних сервисов российского происхождения классифицируются как обработка третьим лицом по поручению. А значит для сервисов Google выполняется условия трансграничной передачи - на территорию иностранного государства (дата центров Google в РФ нет) и иностранному лицу (резидент США). Плюс ко всему, страна еще и не входит в перечень адекватных, значит нужно согласование РКН.

И кажется, в этом и кроется истинная причина такого ответа - кто-то не хотел работать.

Подождем новых комментариев от РКН. Наверняка они последуют, при такой то реакции общественности.

Я своего мнения не изменю - что Google, то ТГП.
Такие дела.

#Позиция_РКН #Трансграничная_Передача_ПДн

Товарищи! То, о чем так долго говорили большевики, свершилось! Революционная справедливость восторжествовала!
Начала действовать ст. 10 ч.13.11 КоАП и самым неожиданным образом

Появилась информация о сентябрьском решении суда г. Уфы со штрафом за неуведомлении о намерении осуществлять обработку ПДн.

Итак, организация возила школьников в иностранные государства, в частности этим летом прокатила их в UK. Прокуратурой РБ "проверено исполнение
законодательства о противодействии экстремизму, персональных данных директором
общества". Что бы это ни значило, но в почте найдена отправка персональных данных с российской электронной почты на великобританскую. И суд признал директора нарушителем! Ведь он не уведомил о ТГП.

Итого: прокуратура проверила, возбудила административку, а суд признал виновным руководителя по ч.10 ст.13.11 за неуведомление о ТГП.

Конечно, случай единичный и организован не совсем уж профильным регулятором, но звоночек тревожный. Если раньше все думали, вот сейчас подадим какое-никакое уведомление, что начали обрабатывать ПДн, и можно спать спокойно. Но нет. Риск налететь на штрафы за неинформирование о ТГП, за отсутствие своевременной информации об изменениях в уведомлении (привет ч.7 ст.22 ФЗ152) - стал очень даже не виртуальным. А все поданные "на авось" уведомления стали немного бессмысленными. и даже вредными токсичными.
Такие дела

#КоАП_13.11 #Прокуратура #Уведомление_об_обработке #Штрафы

Сравнительно честный способ обойти ст. 88 ТК РФ

Так и хочется написать «Не повторяйте! Данный трюк выполнен профессионалами!» Но как-то облегчить жизнь себе и снизить расходы на комплаенс работодателю надо, надо пробовать…

Итак, какие могут быть варианты обойтись без согласий при передаче ПДн третьим лицам? А их много, которые не влезают в «требования закона» (как те же аудиторы или мед организации). Ст. 88 не оставляет вариантов и просит углубиться в законы.

1. Самые смелые DPO трактуют ч.1 ст.6 как требования закона, по-этому можно пользоваться всякими законными интересами, обязанностями, возложенными на оператора (п.2). Я не могу так широко трактовать. Для меня ч.1 ст.6 это условия, а не требования. Т.е. если есть какой-то еще закон, который говорит «надо то-то, передай ПДн» (образование по охране труда, например) – то можно. Да и тот же законный интерес слишком шаткая конструкция и непонятная, в первую очередь самому регулятору, чтобы ее применять. Сообщества прайвасистов аж целые плейбуки рисуют как этим пользоваться. И то без особой уверенности.

2. А если посмотреть на сам ТК? Вот тут и можно найти потенциальный выход. Ст.21 и 22 говорят, что работник обязан исполнять трудовые обязанности, а работодатель их излагать в ЛНА и знакомить работника под роспись с ними. И можно попробовать выстроить такую схему: оформить несколько ЛНА по направлениям, скажем про ИТ поддержку, про доп обучение, про командировки (хотя это чаще всего есть) и в них прямо прописать действия работодателя. Т.е. сообщить работнику о привлечении к задачам подрядчиков, о том что они будут обрабатывать его ПДн, а сам список этих третьих лиц вывешивать где-то внутри в общем доступе, чтобы работник самостоятельно его изучал.

3. Есть и третий вариант – все-таки миксовать законные требования и законный интерес в качестве оснований для передачи третьим лицам, привлекать подрядчиков по поручению и принимать риск долгих и нудных разборок в суде случись чего. Судебный прецедент есть, суд не признал виновным работодателя, который привлекал аутсорс-бухгалтерию и не получал согласия работников на передачу именно потому, что работодатель так выполнял свои обязанности по закону. Но тоже шатко, на мой взгляд.

Итого, вариант 2 кажется самым интересным в плане управляемости и простоты. Особенно если учесть, что в эту схему хорошо влезают все ГПХшники (кадровик на ГПХ тоже третье лицо, как ни странно). Надо только чтобы специалисты по трудовому праву подтвердили эту схему.
Такие дела.

#Согласие_на_обработку #ФЗ152 #ТК_РФ

В ст.19, а так же в 21м приказе ФСТЭК есть очень интересные требования к оператору - он должен оценивать эффективность принимаемых мер по безопасности ПДн при их обработке. Правда есть отличия. В ФЗ152 говорится об оценке эффективности до ввода ИСПДн в эксплуатацию. В Приказе №21 ФСТЭК - про регулярную, не реже 1 раза в три года, оценку эффективности принятых мер.

И кажется, надо начать объяснять с Приказа 21, как более узкого по охвату.

Итак, Приказ 21 детализирует технические меры защиты в привязке к уровням защищенности по Постановлению Правительства №1119 от 01.11.2012. В нем много-много требований по различным аспектам. Меньше всего обязательных для 4го УЗ, и далее по возрастающей.

Что тут хотели сказать законодатели, если простым языком и в привязке к оценке эффективности? DPO должен регулярно и в отношении каждой ИСПДн проверять как выполняется применимый к ней набор мер. Результат оценки оформлять актом и далее организовывать устранение недостатков или планировать следующую дату проверки. И так для каждой ИСПДн. Естественно, это не обязательно должен делать сам DPO. Его главная задача организовать такие активности и получить положительный результат. Ну или добиться, чтобы все двигались в сторону его скорейшего получения.
Почему DPO? Привет статье 22.1 и ее ч.4 с обязанностями ответственного за организацию обработки.

Возникает вопрос - а кто все таки точно должен реализовывать всю технику? Конечно, все зависит от внутренней кухни организации. Но издревле, еще с начала нулевых (точно видел этот принцип в страшных СТР-К), реализацию мер по безопасности обеспечивает эксплуатирующее подразделение. Этой же логики придерживается и вся последующая нормативка, вплоть до КИИшных документов. Это и надо учитывать.

А про эффективность по ФЗ152 и вообще зачем это надо обязательно расскажу. Но чуть позже.

Про эффективность и защиту ПДн. Часть 2.

Теперь поднимемся на уровень выше, п.4 ч.2 ст. 19 говорит нам, что обеспечение безопасности персональных данных достигается, в частности:
"оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных"

Если сделать разбор этого положения, то увидим:
1. Оценка проводится для ИСПДн.
2. Оценка проводится до ввода ИСПД в эксплуатацию.
3. Не уточняется какие именно меры должны быть оценены.
4. Не уточняется в какой форме должна быть проведена оценка.

Итак, требование ФЗ конечно же шире, чем приказа одного из ведомств. Но имеет и условия применения, а так же очень широкие, даже размытые границы определения этой самой эффективности. По этому сами и будем определять что и как.

Начнем от триггера - ввод ИСПДн в эксплуатацию. Т.е. внедряется некая система, где будут обрабатываться ПДн. И мы должны оценить, как хорошо защищены в ней ПДн. Причем не только технически, но и организационно. Меры бывают разные, да. Я могу тут выделить три уровня:
1. Общий организационный. Проверить, есть ли достаточный комплект ЛНА для целей обработки в ней. Например, учтены ли цели, сроки обработки. Это все можно выписать в блок требований №1
2. Локальный организационный. Оформить все документы, что от нас просят в ПП1119, ФСТЭК21 и т.п. На выходе будет акт оценки уровня защищенности, перечень допущенных к обработке лиц, приказ о назначении ответственного за безопасность в ИСПДн (для УЗ3+). И так далее. Будет блок требований №2
3. И в конце проверить, как реализуются технические меры защиты. Может и не самому DPO это проверять, но точно надо организовать. Сам не сделаешь,. никто не сделает. Тут смотрим в первую очередь на приказ ФСТЭК №21, на модель угроз и выписываем что получилось. Есть артефакты по технике и в самом ФЗ (те же требования применять для уничтожения сертифицированные средства защиты информации). Вот и самый большой блок требований, №3

Логично, что весь результат нужно будет оформить в некий акт оценки эффективности. Чтобы он был под рукой, на него можно было любоваться и восхищаться собственными достижениями.

Ну а какая в этом практическая польза? Попробую рассказать в следующем посте.

Такие дела.

#ФЗ152 #Оценка_эффективности #СЗИ

Про эффективность и защиту ПДн. Часть 3. Возвращение короля.

Итак, все ЛНА утверждены, оценка проведена, акты подписаны, планы намечены, KPI поставлены. Все при деле. Осталось только понять, “зачем все это, зачем?”

Все достаточно просто и очевидно.

Во-первых, это очень хороший повод распределить ответственность по мерам защиты ИСПДн. Что делает DPO, что делает ИБ, ИТ и, самое главное, кто в ответе за сделанное. Это важно, сразу распределить тяжесть гордости за работу. DPO же не сможет проверить, что там устроили ИТ. Зато сможет спросить у аудиторов потом, все ли так, как сказали? Спросить и порадоваться за коллег, что все так.

Во-вторых, это точки контроля DPO за деятельностью организации в ИТ сфере. Тоже абсолютно легальные и правильные. Помним же, про оценить до введения в эксплуатацию? Вот тут и административный ресурс DPO появляется, так как его мнение нужно учитывать. Можно, даже нужно, трактовать «до введения ИСПДн в эксплуатацию» несколько шире. Ведь может внедряться не ИСПДн целиком, а некая модификация, касающаяся обработки. Тоже повод проверить, как на самом деле доработали. И учесть изменения ИСПДн.

И в-третьих, очень важно, такие акты и вся оценка эффективности - полноценное свидетельство работы Компании и ее усилий по защите ПДн. И есть мнение, что они могут послужить смягчением наказаний за утечку, как минимум по чч.15 и 18 ст.13.11 КоАП. Которые про повторные утечки. Основание – п.2 ч.3.4-2 ст.4.1 КоАП (сам удивился, что такая нумерация есть): «оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта проведенного в течение двенадцати месяцев, предшествующих моменту выявления административного правонарушения»
В общем, благодаря этой норме DPO может стать весьма уважаемым и полезным работником.

Такие дела.

P.S.: Да, по сути оценка эффективности это финал всех работ по защите ПДн. Когда угрозы смоделированы, ЛНА выпущены, СЗИ внедрены и оценены на соответствие. Долго, сложно, особенно с моделями и оценкой соответствия СЗИ, с уничтожением. Но можно и нужно.

#ФЗ152 #Оценка_эффективности #СЗИ

«Мероприятие без взаимодействия с проверяемым лицом» и его результаты.

Да, есть такое явление в природе, и РКН в условиях запретов на проверки очень их полюбил. Основная тема – поисследовать сайт Оператора в поисках ошибок. Вдруг политики нет, согласия не собираются, правовые основания для обработки ПДн отсутствуют. По проверке, если что-то нашли, то обязательно пришлют предписание. И самое удивительное, что они считают нарушением отсутствие в опубликованной политики сведений о целях обработки, составе ПДн, сроках и т.п. См. скрин.

На самом деле нет. Это не нарушение и РКН не может выдвигать такие требования, потому как в п.2 ч.1 ст.18.1 ясно и русским языком отделена политика от ЛНА с целями обработки. И даже руководство РКН на дне открытых дверей говорила про это как про рекомендацию. Не требование. Рекомендация. И я писал про это.

Что отвечать на такие претензии? Именно так и отвечать, что согласно положению ФЗ152 такому-то оператор должен иметь и политику в области обработки ПДн (где он описывает свои задачи по исполнению законов РФ при обработке ПДн), и локально-нормативные акты по целям (где он и описывает как он их обрабатывает). Которые мы вам с удовольствием направляем.

Да, публиковать цели обработки в отрыве от сопроводительных правовых оснований (в согласии, например), оператор тоже не обязан. А все эти телодвижения РКН, кажется, что следствие желания закрыть план по выявленным нарушениям.

P.S.: Но Оператор все равно должен иметь ЛНА, сугубо внутренние, где он утверждает цели обработки, сроки, условия, правила уничтожения, меры по защите и т.п. И предоставлять их по запросам того же РКН. А с учетом последних трендов в судебной практике, лучше чтобы цели в ЛНА совпадали с целями в РКН и с реальными процессами.

Такие дела.

#РКН #Политика_конфиденциальности #Цели_обработки

Немного о птичках.

Исторически сложилось, что в веб-технологиях чаще всего любое подтверждение собирается через чек-боксы. Они же птички, галки, иногда даже чайки или вообще кресты. Особый шик последнее время - сделать переключатель вкл/выкл.

В получении ПДн на обработку через сайты и формы этот механизм тоже используется очень, очень часто. Но всегда ли оправдано?

Итак, когда чек-боксы все таки необходимы? Очевидно, что когда предполагается несколько ответов. Например, согласие на обработку, согласие на рекламу, согласие на поздравление Дедом Морозом принятие условий правил сайта.
Хотя чем меньше вариантов проставления отметок, тем лучше пользовательский путь. Любой грамотный маркетолог подтвердит.

Что нужно делать в этом случае? Главная задача оператора - зафиксировать в логах (у себя на сайте) с чем согласились, когда и кто. Под кто подразумевается любая полезная информация, прямо или косвенно... - IP адрес, например, или какой то уникальный идентификатор-поле из формы.

Что лучше не делать? Проставлять галочки за пользователя. В случае с согласиями очень нарушает принцип добровольности. Не знаю о практике наказаний, но если можно не решать за клиента, то лучше не решать. В теории тут маячат ч.1 ст.13.11 КоАП или ч.4.1 ст. 14.3 про рекламу без согласия.

А если сбор и обработка ПДн основаны на однозначном решении субъекта, согласие, договор, закон, то тут окошки и птички не нужны. Достаточно большой и красивой кнопки. Главное не забывать фиксировать в логах ее работу. РКН на запрос о основаниях обработки ПДн спокойно принимает описание пользовательского пути, где ПДн не попадают к Оператору до момента отжатия кнопки.

Такие дела.

P.S.: Самое мощное что я видел - согласие на распространение в электронном виде, где условия можно было определять через чек-боксы. Кажется, их было как на картинке...

P.P.S.: Про предпроставленные галочки самое впечатляющее, что видел - поставленная галка в тексте согласия на рекламу и все это в нередактируемом PDF.

#Согласие

Все, что вы хотели узнать о кукисах, но боялись спросить.

Год подходит к концу, напряжение сил для закрытия задач на максимуме, но всегда находятся силы сделать что-то приятное и полезное. Совместно с каналом project 101 подготовили подробный гайд по этой технологи. В нем вы найдете:
- основания сбора cookies (стр. 3)
- требования к cookie-баннеру (стр. 4)
- рекомендации к Пользовательскому соглашению (стр. 6)
- формулировки для внесения в Политику и Уведомление РКН

В конце самое важное – чек-лист для самопроверки.

Настоятельно рекомендую подписаться на канал моих соавторов - новости России и мира из ИТ, ИБ, комплаенса, аналитика и гайды - польза в каждом посте. Мое знакомство с каналом началось с полезнейшего поста с аналитикой дела по коммерческой тайне (я много чем интересуюсь, да :) ). Оказывается, есть вариант не маркировать каждый документ грифом КТ, он не перестанет быть ею если про это заявлено в ЛНА. Ну, суд так решил.

UP: Напряжение сил сказывается, сначала добавил старую версию файла. Теперь она та, над которой трудились долгими вечерами.

#Гайд #Кукис #Cookie #ФЗ152

🏛 В Госдуму внесен законопроект о втором пакете мер
противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий («Антифрод-2»)

🔸Статья 5 законопроекта про изменения в 152-ФЗ «О персональных данных»:
- Точечная правка ст. 10 (про специальные категории ПД): в ч. 3 уточняется формулировка — речь прямо про «обработку специальных категорий».
- Добавляется новая ч. 3¹ ст. 10: допускается обработка спецкатегорий ПД об участии граждан РФ в СВО и/или КТО, а также о принадлежности к их семьям — гос/муниципальными органами в пределах полномочий и иными лицами в случаях и порядке, определяемых федеральными законами.

🔸Статья 4 законопроекта про изменения в 149-ФЗ «Об информации, ИТ и о защите информации»:
- Добавляется норма, что Правительство РФ может установить случаи, когда при авторизации по адресу электронной почты такой адрес должен быть создан с использованием доменных имён, входящих в группы доменных имён, составляющих российскую национальную доменную зону.
- Вводится требование подтверждать совершение в интернете «значимых действий» (перечень утверждает Правительство): подтверждение идёт кодом из SMS + кодом/сообщением через MAX, отправляемыми владельцем ресурса (российское ЮЛ/гражданин РФ, деятельность в РФ). Для банков/финрынка перечень дополнительно согласуется с ЦБ.
- Запрет на распространение «вводящей в заблуждение» информации: под видом достоверных сообщений, создающей угрозу имущественного ущерба и/или неправомерного доступа к ПД/иной информации пользователя (вводится как отдельная категория).

🔸Статья 8 законопроекта про изменения в 572-ФЗ (про идентификацию/аутентификацию с биометрией, ЕБС и др.):
- В ст. 4 добавляются ч. 18–19: если доступ к учётной записи в ЕСИА ограничен (в т.ч. из-за выявленного несанкционированного доступа), восстановить доступ можно одним из перечисленных способов: ЕБС; сайт/мобильное приложение банка; УКЭП; MAX; МФЦ; органы/организации, имеющие право выдавать ключи ПЭП для гос/мунуслуг.