Главная » Блоги Экспертов И ИТ-Компаний » ПДн. НПА. Рекомендации Роскомнадзора по составлению политики обработки ПДн

ПДн. НПА. Рекомендации Роскомнадзора по составлению политики обработки ПДн

Недавно Роскомнадзор подготовил и опубликовал на сайте Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
223.jpeg
У меня в целом положительное отношение к данным рекомендациям. Объясню почему: зачастую Операторы ПДн относятся к публичной политике ПДн как к типовой декларации на одну страницу – туда попадают какие-то типовые вещи, а все подробности остаются во внутренних документах Оператора. Но пользователю/клиенту этой типовой декларации может быть недостаточно для принятия решения о том, стоит ли пользоваться услугой и насколько она безопасна.
Роскомнадзор порекомендовал указывать в политике некоторые сведения, которые операторы уже обязаны указывать в уведомлении Роскомнадзору. Всё равно эти сведения доступны через реестр операторов ПДн, так зачем заставлять клиента ходить за сведениями на внешние ресурсы, если можно указать это в политики. Роскомнадзор порекомендовал указывать дополнительную информацию о передаче ПДн третьим лицам, которая свидетельствует о том, что оператор соблюдает основные принципы обработки ПДн. Рекомендовали описать регламент взаимодействия с субъектом ПДн и привести в примере формы – это будет полезно клиентам, решившим обратится к Оператору ПДн.
В общем то приведенные рекомендации соответствуют и подходам к политике обработки ПДн, принятым в евросоюзе: пример 1, пример 2.
Но есть у меня и несколько замечаний к Рекомендациям:
·         В уведомлении Роскомнадзора категории ПДн и категории субъектов разбиваются по информационным системам, а в Политике в соответствии с Рекомендациями надо разделять по целям обработки. Для оператора ПДн это двойная работа и сложная кросс аналитика. Можно было бы использовать какой-то единый подход.
·         В описании передачи ПДн третьим лицам Рекомендуется указывать перечень действий которые разрешено совершать с ПДн третьему лицу, требования по защите ПДн, которые Оператор предъявил третьему лицу. Тут Роскомнадзор не учел случаи, когда оператор передает данные не по своему желанию, а потому что обязан передать эти данные в соответствии с каким-то ФЗ (ПФР, ФНС и т.п.). И в таком случае он не знает, какие действия будет совершать с ними третье лицо, не может ограничить эти действия или установить требования по защите.
То, что приведено в Рекомендациях применимо только для таких случаев передачи ПДн третьим лицам, в которых Оператор самостоятельно поручает обработку ПДн третьему лицу (обработчику).
·         Авторам Рекомендаций надо было привести примеры, больше примеров !!!, того что можно писать в каждом разделе. Эти примеры есть у Ромкомнадзора в Реестре операторов ПДн. Они были бы полезны·        Стоило бы рекомендовать указывать в Политике ФИО и контакты лица, ответственного за орг. обр. ПДн  
·         Не мешало бы привести пример полноценной политики, составленной в соответствии с Рекомендациями. Пока что политики Минкомсвязи и управлений РКН не соответствуют данным рекомендациям.
Чтобы немного сгладить последнюю оплошность привожу ниже пример политики обработки ПДн блога (в соответствии с частью 2 статьи 1 152-ФЗ на обработку ПДн физическими лицами для личных нужд не распространяются требования, но мы предположим, что на месте sborisov.blogspot.ruбыл бы какой-то корпоративный блог) имеющего форму обратной связи (недавняя шумиха с наказанием РКН сайтов, имеющих форму обратной связи, но не имеющих политики ПДн)
Альтернативная ссылка на случай если вариант выше недоступен.


Источник: http://sborisov.blogspot.com/2017/08/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>