РКН и GDPR в 2020 году

Дата: 10.12.2020. Автор: Андрей Прозоров. Категории: Блоги экспертов по информационной безопасности
РКН и GDPR в 2020 году

Сегодня я посетил вебинар — встречу с новым финским Омбудсменом по защита персональных данных (the Data Protection Ombudsman) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН, который прошел 26 ноября 2020.

Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:

1. GDPR к деятельности российских компаний может применяться в исключительных случаях. 

2. Российский оператор, который обрабатывает ПДн европейских граждан, находясь на территории РФ, обрабатывая ПДн в целях, которые предусмотрены законом о персональных данных [152-ФЗ], под действия GDPR в данном контексте НЕ подпадает.

3. Если говорить о случаях, когда положения GDPR распространяются на российского оператора, то их можно определить как два основных и один вспомогательный. Основной: когда российский оператор имеет филиальную сеть, и она находится на территории ЕС. Вторая составляющая: это когда российские операторы действуют по поручению европейской компании и, соответственно, несут ответственность перед европейской компанией, и организация деятельности в рамках этого поручения осуществляется в соответствии с GDPR. 

4. Третий момент (вспомогательный), который может отнести деятельность российских компаний под действие GDPR — это направленность на европейского потребителя. В первую очередь это касается интернет-сайтов, оказывающих услуги по продаже товаров и предоставлению услуг. В этом случае есть ряд условий: наличие предложения на официальных языках стран ЕС и расчет в национальной валюте (например, евро). Эти критерии должны действовать одновременно.

Не много, но важно. А вот про совершенствование и гармонизацию российского законодательства с европейским (с учетом подписания протокола Конвенции 108) ничего конкретного не сказали… Ждем.

Ну, а, в целом, РКН дал много полезной информации и комментариев. Это, традиционно, аналитика про основные нарушения и жалобы субъектов, много комментариев про реестр операторов ПДн, формы согласия, договоры поручения, биометрические ПДн и локализацию баз данных. Крайне рекомендую посмотреть!

А теперь я хочу остановиться на тех моментах, на которые обратил внимание, сравнивая выступления российского и европейского (финского) надзорных органов.

1. Оба надзорных органа говорят про права субъектов ПДн, а не только про защиту и обработку ПДн. И это хорошо и правильно!

2. Европейский надзорный орган много говорит про прозрачность обработки (transparency) и выбор обоснованного основания для обработки. А вот РКН меня печалит своим подходом берем согласие практически при любой обработке ПДн. РКН хоть и дает вполне зрелые рекомендации по сбору согласий, но своими комментариями дает операторам ложный посыл о главенстве согласия над другими формами основания для обработки ПДн. Напомню, что в ЕС согласие рассматривается скорее как самая рискованная для организации форма и его рекомендуется брать только в случае крайней необходимости, когда другие основания для обработки не применимы. 

3. Европейский надзорный орган фокусирует внимание на необходимости дополнительной защиты номера социального страхования (ID) субъектов ПДн и, зачастую, отсутствие необходимости в его сборе и обработке. А российские коллеги ничего не видят предосудительного в сборе номеров паспортов, ИНН и других уникальных идентификаторов…

4. Европейский DPA напоминает о важности DPIA (Data Protection Impact Assessment, оценка воздействия на защиту данных) и, вообще, много говорит о рисковом подходе при обработке и защите данных. А РКН, на мой взгляд, уже забыл про оценку вреда, который может быть причинен субъектам ПДн (152-ФЗ ст.18.1). Это важное требование никогда не обсуждалось, не комментировалась и, видимо, не проверялось…

5. РКН много и часто говорит про реестр операторов ПДн и необходимость актуализации данных, а европейский коллега даже ни разу не напомнил о необходимости передавать ему контакты DPO.

6. Европейский DPA планирует в ближайшее время выпустить ПО для самооценки соответствия требованиям GDPR для малых и средних компаний (SME). РКН про нужды SME, на моей памяти, никогда и не говорил… Но, что приятно и полезно, РКН планирует в следующем году опубликовать некий методический портфель, содержащий шаблоны документов, актов и типовых форм по ПДн, которые смогут использовать российские операторы.


Источник — блог Прозорова Андрея. Жизнь 80 на 20.

Андрей Прозоров

Об авторе Андрей Прозоров

Андрей работает менеджером по информационной безопасности и защите данных в международной компании, обладает сертификатами CISM, CIPP/E, CDPSE, является экспертом и автором блога «Жизнь 80 на 20», посвященного вопросам управления ИБ.
Читать все записи автора Андрей Прозоров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *