152-ФЗ «О персональных данных»: вопрос-ответ
В работе с персональными данными по всем требованиям регуляторов важно учесть множество нюансов. Поэтому вопросы по теме возникают постоянно. От простого к сложному — сегодня поговорим о нюансах обработки и защиты ПДн по требованиям регуляторов.
Вопрос: можно ли коммерческим организациям применять методы обезличивания, которые предусмотрены приказом Роскомнадзора № 996 «Об утверждении требований и методов по обезличиванию ПДн»?
Ответ:
— Вероника Нечаева, CISO CORTEL
Допускается, но при наличии правовых оснований, предусмотренных законодательством РФ, то есть с целью проведения статистических исследований или иных исследовательских мероприятий.
Моё скромное мнение: На «открытых заседаниях» ранее говорилось, что обезличивание могут производить только госорганы, поскольку методология обезличивания ПДн разработана только для них.
Вопрос: считается ли видеонаблюдение обработкой биометрических ПДн?
Ответ:
Согласно действующему законодательству, потоковое видеонаблюдение не является обработкой биометрических ПДн. Что касается случаев, когда видеонаблюдение устанавливается на рабочих местах с целью контроля за деятельностью сотрудника, работодателю нужно обеспечить:
- информирование работника об осуществляемом видеонаблюдении;
- положение о порядке и условиях ведения видеозаписи и хранения видеоматериалов, которые должны быть зафиксированы в локальных актах, предусмотренных гл. 14 Трудового кодекса, с которыми работник должен быть ознакомлен.
Получение согласия на ведение такого видеонаблюдения не требуется, поскольку это попадает под правовые основания, предусмотренные п. 2 ч.1 ст.6 № 152-ФЗ, то есть, деятельность осуществляется в рамках ТК.
Вопрос: где можно ознакомиться с полным перечнем документации, которая нужна для выполнения требований регуляторов по персональным данным?
Ответ:
У нас есть подробный материал со всей организационно-распределительной документацией и пояснениями.
Вопрос: нужно ли в согласии указывать конкретный перечень третьих лиц или можно обойтись категорией операторов без конкретизации? Подобный перечень может меняться ежедневно, указание списков создает организационные сложности.
Ответ:
Указание перечня наименований лиц, которым передаются ПДн, – требование для письменной формы и поручения обработки, в остальных случаях жесткого требования указывать конкретный список третьих лиц нет. Однако существуют требования к информированности субъекта, то есть он должен знать, кому предоставляются его данные. Это можно обеспечить, включив в текст согласия ссылки на список контрагентов, опубликованный на официальном ресурсе организации.
Вопрос: возможно ли объединять согласие на обработку ПДн и согласие на обработку cookie файлов?
Ответ:
Это не запрещено. При этом текст соответствующего согласия может включать как положение об обработке ПДн в рамках оказываемых услуг, так и согласие на сбор cookie-файлов.
Вопрос: как правильно составлять модель угроз ИСПДн?
Ответ:
Мы писали об этом в статьях:
Вопрос: Есть ли возможность указать несколько целей в форме согласия?
Ответ:
При письменной форме согласия должна быть указана только одна цель. В остальных случаях, когда не требуется письменная форма, в тексте согласия может быть указано несколько целей обработки ПДн. При указании в согласии на обработку ПДн нескольких целей рекомендуется предусмотреть для каждой цели объем ПДн.
Уточнение о cookie файлах:
В Политике о порядке обработки coоkie-файлов должна содержаться информация об объеме и перечне тех cookie-файлов, которые собираются с помощью метрических программ и других программных средств.
Если у вас остались вопросы по обработке, хранению и защите персональных данных по требованиям регуляторов — вступайте в наш закрытый чат в Telegram и задайте его экспертам напрямую.
Или заполните форму, чтобы получить решение всех проблем и вопросов одним решением — мы сами свяжемся с вами, проконсультируем и проведём аудит вашего веб-ресурса на соответствие требованиям регуляторов.