Вчера я по приглашению выступал в рамках московского GDPR Day, на котором меня коллеги из Б-152 попросили разбавить рассказы юристов о мерах по защите прав субъектов ПДн экскурсом в технические меры по защите ПДн и насколько можно совместить требования 32-й статьи GDPR и 21-го приказа ФСТЭК, разработанного во исполнение ФЗ-152. Получилась вот такая презентация:
В рамках презентации я ссылаюсь на исследование, которое проводила Cisco в ряде стран мира, включая и Россию, которое было посвящено готовности компаний к GDPR и что дает выполнение этих нормативов операторам ПДн. Это исследование мы переводили и на русский язык и выложили на сайте.
Слайд 22 — а разве комментарий РКН не противоречит ст.8 ФЗ-152?
В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
с учетом ст.9, ч.4 152-ФЗ:
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…
Ну и пояснения РКН по этому поводу (см. "Вопрос 3")
https://57.rkn.gov.ru/p8924/p14069/p14070/
Двойные стандарты?
Нияесу не противоречит. Я говорил только про защиту ПДн. А есть согласие на их обработку или нет — это в контексте презентации было неважно
Кстати само согласие в рамках 152фз и других аналогичных актов это пустой звук и формальность — никакой защиты ПД оно на даёт, гражданин не знает что с его ПД будут делать, и по сути это согласие снимает ответственность с того, кто согласие требует. Гражданину нужен контракт
Не совсем так.
Согласие — это согласие на обработку ПДн в рамках Закона. И в случае нарушения прав субъекта он (условно) пойдёт в суд. Но не с формулировкой "нарушение п. ХХХ _контракта_ ", а с формулировкой "нарушение п. YYY _Закона_ ".
А отсутствие согласия — это повод обратиться в суд с формулировкой "Оператор обрабатывает мои персональные данные без моего согласия, что является нарушением п. ZZZ _Закона_ ".
По крайней мере так задумано.
А вот как именно оператор будет обрабатывать ПДн — это гражданину знать не обязательно, лишь бы в рамках Закона и данного согласия.
Как-то так.
Презентация недоступна.
Доступна. На Slideshare. Просто в России он недоступен — нужно использовать плагины к браузеры, правильные браузеры или VPN