Вчера РКН двери открыл и любезно многое поведал. Традиционно выборочно вашему вниманию несколько тейков из 4+ часов. Полная запись здесь [далее таймкод для удобства]. Всей команде РКН наш поклон — ибо много и долго, wow!
Контроль в цифрах
Количество жалоб граждан растет быстрее инфляции — за 1,5 года РКН получено более 120 тыс. таковых. Сам же РКН проверил почти 80 тыс. сайтов в рамках дистанционного мониторинга. Пу-пу-пу… из них (!) 82% нарушителей. Ну, как не стыдно! [0.29]
Трансграничная передача
Ей будет являться и деловая переписка с зарубежным контрагентом (даже преддоговорная [3.37]), и зарубежные командировки работников, и, конечно же, удаленный доступ из иного государства к вашим ИТ-системам и сбор метрик с использованием зарубежных сервисов. И при том всем передача ПД нашим согражданам зарубеж НЕ трансгран… [2.01]
Куки
РКН любезно привел валидный пример куки-баннера. Пользуемся. [2.07]
«Продолжая использовать сайт, Вы соглашаетесь с обработкой персональных данных, собираемых посредством метрической программы «Яндекс Метрика», в целях аналитики посещаемости сайта. Политика конфиденциальности»
Обезличивание
Инициативное обезличивание ПД компанией (не по требованию гос. органов) в соответствии с Приказом РКН № 140 должно осуществляться на каком-то правовом основании. Да, понятно. НО, РКН прямо исключил из этих оснований п. 9.1 ч. 1 ст. 6 152-ФЗ, который предусматривает ЭПР на обезличенных данных. Так мы никогда ЭПР на данных и не дождемся… [2.18]
Локализация
Вы собрали ПД, локализовали их, а потом обезличили, чтобы передать обезличенные ПД зарубеж. Надо ли локализовать обезличенные ПД? Кто бы мог подумать, но - ДА. [3.17] НО если вторичные, обезличенные или иным образом преобразованные данные готовит иностранная компания зарубежом, то к ней требование о локализации не применимо, ибо не она их собирала. [3.31] Это, видимо, актуально будет только тогда, когда зарубежная компания все-таки самостоятельный оператор, но не обработчик.
Согласия работников
Прекратите их терзать, сказали они! Не нужны согласия работников на передачу их ПД в рамках командировок, зарплатных проектов и выплаты заработной платы, повышения квалификации, мед. страховки, включая ДМС. Это ведь все в рамках трудовых отношений, то есть обязанности работодателя по ТК или на основании трудового договора. [3.58] Вот это поворот! Оказалось, что ст. 88 ТК не такая уж и однозначная. Не будем вспоминать, как появилось прежнее требование о необходимости строгих согласий работников при передаче их ПД.
Основание поручения
Мы помним, чтобы поручить обработку ПД (кстати, и субпоручить — см. тут), у вас должно быть согласие субъекта. Но это согласие может быть включено в текст договора. Все годы до вчера было тревожно поручать без согласия, а, например, на основании лишь договора с пользователем. Жаль, что этим благословлением РКН осталось пользоваться только до понедельника. Ибо с 1 сентября все же это согласие придется «опять» собирать отдельно от договора. Все же «отдельность» согласий — не звук пустой! [4.09]
Ну что ж, вопросов у нас меньше не стало, но кое-где расставили акценты. Где-то вздохнули с облегчением, где-то записали себе очередной «надо срочно...».
Как обычно — не трактовка и не истина в последней инстанции, а лишь набор наблюдений. Don’t take it literally! Берегите себя и свои согласия.