Вчера РКН провел семинар и любезно поделился знаниями. Кроме этого, сделал анонс традиционного дня открытых дверей для операторского сообщества. Ну а пока мы ждем дня открытых дверей, делимся тезисами от РКН и нашими комментариями к ним. Благодарим Контемирова Юрия Евгеньевича за уделенное время и ответы!
Сбор согласий от работников
Все еще сомневаетесь в необходимости сбора от работников именно пакета согласий? РКН, как и прежде, стоит на позиции что согласия работников по ТК РФ – именно строгие письменные согласия по 152-ФЗ. Мы же говорили, не зашивайте эти согласия в трудовой договор и ЛНА.
ПД родственников работников
Согласия не нужны, если вы обрабатываете ПД родственников работников в объеме уже забытой многими карточки Т2. Согласия нужны, если эти же ПД родственников находятся в ИТ-системе, которую, например, поддерживает сторонний вендор. Тогда в большинстве случаев потребуется согласие родственников.
Несовершеннолетние
До 18 лет представитель несовершеннолетнего дает согласие, кроме случаев прямо предусмотренных законом. К таким случаям относятся мелкие бытовые сделки по ГК РФ. Но все также не понятно, может ли 15-летний покупатель стать участником программы лояльности и согласиться на рекламу.
Уничтожение
РКН многократно упоминал об уничтожении. Важно именно подтверждение уничтожения ПД в соответствии с его Приказом 179. Вывод – РКН будет запрашивать акты по своей форме в ходе проверок.
Внутренний контроль
Вы сами определяете периодичность мероприятий внутреннего контроля. По мнению РКН следует их проводить каждые полгода. Согласимся, в законодательстве установлена периодичность контроля соответствия только положениям ПП 1119. Проверку соответствия 152-ФЗ можно подвязать к этому сроку, но держим руку на пульсе.
Кадровый резерв
Для кадрового резерва нужно и отдельное согласие, и ознакомление с положением о кадровом резерве. Из любопытного – в этом положении должны быть обязательно правила об исключении из кадрового резерва. У вас это точно предусмотрено?
Обезличивание
Все также только в случаях, предусмотренных законом, например, в статистических или иных исследовательских целях, ЭПР из 152-ФЗ, 44-ФЗ. Как и прежде в иных случаях и по согласию нельзя заниматься, казалось бы, общественно полезной деятельностью. Но у нас всегда остаются синонимы «обезличивания».
Локализация
Нам напомнили, что для доказывания локализации хорошо бы иметь кроме своих или арендованных серверов и схему информационных потоков данных, демонстрирующую эту самую локализацию. В случае аренды мощностей договор должен предполагать именно хранение ПД, а не просто аренду стоек.
Проверка зарубежного дата-получателя
Недостаточно получить от зарубежного дата-получателя стетймент о его комплаенсе с GDPR. Ведь он заинтересованное лицо, и верить на слово ему нельзя. Более того, нам нужна информация о конкретных мерах, принимаемых этим дата-получателем, так что не забудьте уточнить это для оценки.
Уведомление РКН о трасграничной передаче ПД
Компания А передала компании Б данные и за рубеж. Если такая трансграничная передача происходит в рамках поручения от компании А, то сама компания А и должна уведомить РКН о трансграничной передаче. А вот если поручения нет, то бремя уведомления РКН лежит на компании Б.
Политика об обработке
Да-да, политику об обработке можно сплитить на несколько мини-политик по категориям субъектов. Это должны быть отдельные самостоятельные документы! И в этом случае можно разместить на сайте только ту политику, которая касается пользователей сайтов. Но если политика общая в компании (один ЛНА), то нельзя на сайте публиковать только часть общей политики, нужно опубликовать документ полностью.
Неожиданный поворот
Если обрабатываете куки-файлы на основании соглашения/оферты с пользователем сайта, то недостаточно только куки-баннера со ссылкой на оферту. Пользователь должен еще пройти по ссылке на оферту, по нашему мнению, с логированием перехода. В противном случае пользователь не считается принявшим оферту. А вот согласие может быть конклюдентным.
Адрес электронной почты
Это ПД. А в недавней судебной практике, как оказалось, вовсе и не было выводов ВС РФ о не отнесении адреса электронной почты к ПД.
И еще один резкий поворот
РКН поставил под сомнение мультиоператорские согласия, но при этом согласился с возможностью авто пролонгации согласий как минимум в контексте 115-ФЗ. Например, согласие действует в течение срока действия договора и 5 лет после его прекращения и может пролонгироваться, если субъект не заявит возражение. Да, мы знаем даже о схожей судебной практикебанков. Но, друзья, не грех ли это?!
Это не все вопросы и мысли, которые обсуждал РКН на встрече, однако, на наш взгляд, ключевые.