В Евросоюзе (с которым у нас много общего в части законодательства о персональных данных) есть такой орган EuropeanDataProtectionSupervisor (EDPS). Задачи его во много схожи с задачами Минкомсвязи (Роскомнадзор) в части ПДн: контроль обработки ПДн в организациях, мониторинг того что соблюдаются права граждан и безопасность данных.
Но кроме схожих задач EDPSделает ещё некоторые полезные активности, которые хорошо было бы перенять Минкомсвязи или Роскомнадзору:
· Разрабатывают
руководства, инструкции, некоторые шаблоны документов, которые необходимо применять в гос. органах, но могут применяться и в других компаниях.
Рекомендую почитать, хотя некоторые нормы законодательства у нас расходятся, поэтому полезно было бы увидеть подобные рекомендации от российских регуляторов.
· Для Data Protection Officers есть
отдельный раздел, где для них четко и понятно, с инструкциями и шаблонами, объясняется с чего им начинать и что необходимо делать.
· Помимо основных проверок в рамках гос. контроля, EDPSпроводит также дополнительный анализ и консультации (без наказаний):
-
при получении уведомления о начале обработки данных,
EPDSможет сразу запросить дополнительную информацию и проверить законность обработки. Операторы данных перед запуском каких-то критичных сервисов по обработке данных должны предварительно согласовать с
EPDS (
Opinions Prior Check,
Opinions Non Prior Check)
При этом многие ответы, которые имеют общественное значение – публикуются на сайте.
Not all of our replies to consultations are made public; those that we believe are useful for other institutions and the persons affected are published on this website.
В результате имеется хорошая база, в которой многие операторы могут найти интересующий их ответ или пример, не обращаясь за помощью к консультантам или регулятору (что в итоге повышает эффективность)
Несколько недавних примеров:
- OfficeforInfrastructureandLogisticsinBrusselsпроинформировали что обрабатывают данные в системе 360° tool - feedbackandleadershipcompetencies, указав меры и политики. EDPS дали рекомендации что ещё необходимо предпринять и просили в течении 3х месяцев сообщить о принятых мерах.
- European Ombudsman отправил на согласование свежую политику обработки данных. EDPSрекомендовали лучше адаптировать политику к конкретным условиям обработки данных (была не учтена одна из ИС – CMS, просили более подробно описать принципы защиты и права субъектов, принципы взаимодействия с субъектом и т.п.) и предоставить свидетельства выполнения в течении 3х месяцев
- EDPSспросили, законно ли обрабатываются данные чиновников на портале EU Whoiswho Directory (публичный телефонный справочник), какие права есть у субъектов и какие меры защиты должны быть приняты. Тут просто дали публичный ответ.
В целом, среди этой информации можно найти достаточно много полезной и для российских операторов, но лучше накапливать локальные практики и регулятору не стесняться публично доносить свою позицию по тем или иным вопросам обработки ПДн.