Comply. | Комплаенс-бутик

Инсайдер РКН: и далее без шуток, к сожалению

Прошел очередной ивент с участием РКН во Франко-российской торгово-промышленной палате. РКН представлял Юрий Евгеньевич Контемиров. Мы, как всегда, собрали любопытные тезисы.

🔵И все же бизнес может обезличивать ПД в соответствии с Приказом № 996. Для этого, однако, потребуется правовое основание. Какое? РКН сделал акцент только на основании п. 9 ст. 6 152-ФЗ (обработка ПД в статистических или иных исследовательских целях), по мнению регулятора оно подходит для большинства потребностей бизнеса.

🔵Если происходит сличение фото и видео с камер видеонаблюдения с информацией в социальных сетях / иных открытых и не только источниках, то такая обработка может подпадать под признаки обработки биометрических ПД. Это очевидно. А РКН спасибо за то, что напомнил всем – для признания аутентификации биометрической вовсе не обязательно, чтобы условный вектор лица метчился с идеальным образцом, подкрепленным, например, паспортными данными. Акцент на самом алгоритме работы. Отговорки в стиле – мы установили, что это кто-то похожий на Ваню, но не наверняка, да мы и не знаем точно ли это Ваня – не пройдут!

🔵Не планируется перенос ответственности за утечку на провайдера облачных услуг. Ведь у оператора есть полномочия проводить систематические проверки своего подрядчика, в том числе в части соблюдения требований безопасности ПД. Признавайтесь, когда последний раз проверяли своего облачного провайдера? 🙂

🔵24 часа на уведомление об инциденте начинаются с момента установления факта утечки, даже если факт установлен в выходной или праздничный день. Да-да, у нас такое было однажды 5 января, и РКН ждал уведомление под Рождество...

🔵Для нестрогих согласий на обработку ПД следует собирать информацию о третьих лицах, обрабатывающих ПД, в отдельный список по ссылке из согласия. Такой список должен быть опубликован на официальном сайте оператора. В этом списке должны быть указаны цели передачи ПД третьим лицам.

🔵Не так страшен Приказ Минцифры России № 1187, как его малюют: три факта несоответствия информации в уведомлении и в Политике конфиденциальности должны быть установлены в разные временные периоды. РКН сравнивает уведомление, Политику конфиденциальности и доступные ему процессы обработки ПД. Смотрят в том числе цели обработки ПД, информацию об обрабатываемых ПД, категориях субъектов ПД, действиях с ПД.

🔵Основание обработки ПД представителя контрагента – договор между оператором и контрагентом + или исполнение требований ГК, если выдана контрагентом представителю доверенность, или трудовой договор, если представитель контрагента взаимодействует с вами в рамках своих трудовых обязанностей. В общем какая-то неразбериха. А почему все так сложно? Верно, потому что законный интерес все еще не материализовался для РКН 🙂

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/ms/comply_ru.com/314

2.9K viewsApr 2 at 09:07

Инсайдер РКН: и далее без шуток, к сожалению

Прошел очередной ивент с участием РКН во Франко-российской торгово-промышленной палате. РКН представлял Юрий Евгеньевич Контемиров. Мы, как всегда, собрали любопытные тезисы.

🔵И все же бизнес может обезличивать ПД в соответствии с Приказом № 996. Для этого, однако, потребуется правовое основание. Какое? РКН сделал акцент только на основании п. 9 ст. 6 152-ФЗ (обработка ПД в статистических или иных исследовательских целях), по мнению регулятора оно подходит для большинства потребностей бизнеса.

🔵Если происходит сличение фото и видео с камер видеонаблюдения с информацией в социальных сетях / иных открытых и не только источниках, то такая обработка может подпадать под признаки обработки биометрических ПД. Это очевидно. А РКН спасибо за то, что напомнил всем – для признания аутентификации биометрической вовсе не обязательно, чтобы условный вектор лица метчился с идеальным образцом, подкрепленным, например, паспортными данными. Акцент на самом алгоритме работы. Отговорки в стиле – мы установили, что это кто-то похожий на Ваню, но не наверняка, да мы и не знаем точно ли это Ваня – не пройдут!

🔵Не планируется перенос ответственности за утечку на провайдера облачных услуг. Ведь у оператора есть полномочия проводить систематические проверки своего подрядчика, в том числе в части соблюдения требований безопасности ПД. Признавайтесь, когда последний раз проверяли своего облачного провайдера? 🙂

🔵24 часа на уведомление об инциденте начинаются с момента установления факта утечки, даже если факт установлен в выходной или праздничный день. Да-да, у нас такое было однажды 5 января, и РКН ждал уведомление под Рождество...

🔵Для нестрогих согласий на обработку ПД следует собирать информацию о третьих лицах, обрабатывающих ПД, в отдельный список по ссылке из согласия. Такой список должен быть опубликован на официальном сайте оператора. В этом списке должны быть указаны цели передачи ПД третьим лицам.

🔵Не так страшен Приказ Минцифры России № 1187, как его малюют: три факта несоответствия информации в уведомлении и в Политике конфиденциальности должны быть установлены в разные временные периоды. РКН сравнивает уведомление, Политику конфиденциальности и доступные ему процессы обработки ПД. Смотрят в том числе цели обработки ПД, информацию об обрабатываемых ПД, категориях субъектов ПД, действиях с ПД.

🔵Основание обработки ПД представителя контрагента – договор между оператором и контрагентом + или исполнение требований ГК, если выдана контрагентом представителю доверенность, или трудовой договор, если представитель контрагента взаимодействует с вами в рамках своих трудовых обязанностей. В общем какая-то неразбериха. А почему все так сложно? Верно, потому что законный интерес все еще не материализовался для РКН 🙂