Комментарии 25
"… штрафы за нарушения интересующего нас федерального закона указаны в статьях 137, 140, 272, 274 УК РФ РФ и статьях 13.11, 13.12, 13.25, 19.5 КоАп РФ…
Но ваша задача — не напугать руководство компании..."
А что же, простите, сделать? Вы перечислили статьи, большинство из которых притянуты за уши, а к ПДн прямо относится только 13.11.
Особенно, конечно, порадовало наличие в списке 272 и 273 УК. И 137, конечно, куда же без нее.
Но ваша задача — не напугать руководство компании..."
А что же, простите, сделать? Вы перечислили статьи, большинство из которых притянуты за уши, а к ПДн прямо относится только 13.11.
Особенно, конечно, порадовало наличие в списке 272 и 273 УК. И 137, конечно, куда же без нее.
Зато честно. Наказать по этим статьям могут, но вероятность не очень большая (это никогда и не скрывается: решения судов по ПДн доступны для ознакомления), зато репутационные риски огромные (пару дней назад, например, была новость про утечку ПДн парковочных сессий).
Бизнес должен знать все последствия, чтобы принять решение: тратить деньги и время на подготовку или нет.
Бизнес должен знать все последствия, чтобы принять решение: тратить деньги и время на подготовку или нет.
горькая пилюля иногда жизненно необходима, главное – это готовность принять её всем вместе
И занять очередь пораньше вечером в пятницу.
не менее 80% рабочих часов
мда… и это только на обслуживание РКН, а сколько у нас еще замечательных надзоров и министерств!
— пожарные кошмарят бизнес!
— ок, вот вам поблажки и каникулы!
— спасибо, а вот вам Зимняя вишня. Власти ничего не контролируют и не проверяют!
— усиливаем контроль!
— *пока ещё шепотом* опять кошмарят бизнес…
— ок, вот вам поблажки и каникулы!
— спасибо, а вот вам Зимняя вишня. Власти ничего не контролируют и не проверяют!
— усиливаем контроль!
— *пока ещё шепотом* опять кошмарят бизнес…
Подготовка к проверке требует временных вложений, что поделать.
В большой компании, ориентированной на продажу услуг физ.лицам, вообще необходимо завести отдельного, специально обученного ПДн, человека — это вопрос не только прохождения проверки, но и клиент-ориентированного бизнеса.
В большой компании, ориентированной на продажу услуг физ.лицам, вообще необходимо завести отдельного, специально обученного ПДн, человека — это вопрос не только прохождения проверки, но и клиент-ориентированного бизнеса.
Куча текста и в итоге непонятно, будут ли реально смотреть, что сеть предприятия «защищена сертифицированным средством», или достаточно будет показать формулярчик от устройства, и то что оно вон там стоит и лампочками мигает.
и вообще нет лопаты
Приезжает на предприятие комиссия. Проверяют все 3 дня — все в порядке, придраться не к чему, на четвертый день инженер по ГОиЧС видит — главный проверяющий что-то радостно пишет около пожарного щита. Подходит и видит: список недостатков из 28 пунктов:
1. Лопата на пожарном щите висит неправильно, с юга на север а не наоборот
2. Черенок лопаты на 2 см короче установленной длины
3. Окраска лопаты по оттенку не совпадает с основным тоном щита
4. На лопате имеются царапины и сколы
и т.д.
Инженер говорит проверяющему — Погоди минуту.
Снимает лопату со щита и выкидывает.
— Пиши — нет лопаты!
1. Лопата на пожарном щите висит неправильно, с юга на север а не наоборот
2. Черенок лопаты на 2 см короче установленной длины
3. Окраска лопаты по оттенку не совпадает с основным тоном щита
4. На лопате имеются царапины и сколы
и т.д.
Инженер говорит проверяющему — Погоди минуту.
Снимает лопату со щита и выкидывает.
— Пиши — нет лопаты!
возможно зависит от грамотности проверяющих, ведь в каждом субъекте свои кадры, а не одна группа экспертов на всю страну. И не уверен, что наличие подробной инструкции действия сильно поможет, ведь везде есть нюансы.
Куча текста направлена исключительно на освещение темы подготовки к проверке РКН.
А РКН проверяет реализацию только организационных мер защиты и (максимум) наличие Модели угроз и Актов присвоения уровня защищённости: именно наличие, а не содержание.
Технические меры, кроме СКЗИ, проверяет ФСТЭК, СКЗИ проверяет ФСБ.
Если интересно, что регуляторы смотрят при проверках, то они этого никогда не скрывали — всё есть в административных регламентах на официальных сайтах.
А РКН проверяет реализацию только организационных мер защиты и (максимум) наличие Модели угроз и Актов присвоения уровня защищённости: именно наличие, а не содержание.
Технические меры, кроме СКЗИ, проверяет ФСТЭК, СКЗИ проверяет ФСБ.
Если интересно, что регуляторы смотрят при проверках, то они этого никогда не скрывали — всё есть в административных регламентах на официальных сайтах.
РКН точно смотреть не будут, даже формулярчики скорее всего не попросят, но это по опыту проверок на ДВ. Хотя если что-то заподозрят неладное имеют право привлечь специалистов и ФСТЭК. У нас к тому же РКН часто любит повторять что они занимаются не «защитой персональных данных», а «защитой прав субъектов персональных данных», поэтому смотрят: внутренне положение о защите ПДн, политику по защите ПДн на сайте, журнал учета обращений субъектов ПДн, наличия согласий на обработку ПДн и тд и тп
даже только ФИО – это тоже ПДн,
Интересно, когда диктор на вокзале объявляет: "Ваня Иванов, мама тебя ищет и ждет ", он диктор взял расписку о том, что Ваня Мванов согласен на разглашение ПДн?
Мы и сдавали и проверку проходили, ничего такого нет и в помине. В РКН работают малоквалифицированные специалисты, в техническом плане вообще никак, по бумагам еще более менее, но у них нет единого понимание что требовать. Например в 15 году с нас потребовали убрать ПД из биллинга и нам пришлось переименовать Иванов Иван Иванович в Иванов И. И., а в 2017 мы вернули это обратно.
Так вот, как проходит сдача: нанимаем специалиста, он за 50000 подготовил нам список макулатуры, завели несколько журналов учета, потом макулатуру отвезли в РКН, и все, никто даже не приезжал.
Как проходила проверка, уведомили нас о предстоящей проверке, запросили макулатуры, мы ее откопировали и отправили в РКН, в день проверки появились две мадамы, пролистали оригиналы макулатуры и уехали. Ничего не смотрели, ничего не спрашивали.
Так вот, как проходит сдача: нанимаем специалиста, он за 50000 подготовил нам список макулатуры, завели несколько журналов учета, потом макулатуру отвезли в РКН, и все, никто даже не приезжал.
Как проходила проверка, уведомили нас о предстоящей проверке, запросили макулатуры, мы ее откопировали и отправили в РКН, в день проверки появились две мадамы, пролистали оригиналы макулатуры и уехали. Ничего не смотрели, ничего не спрашивали.
Это в Москве было?
Последние 3 проверки, которые я сопровождала в 2018г. в Москве, были весьма тщательные и проводились хорошим специалистом в этой области: никакой халявы и халтуры.
А вот описанный вами подход (что со стороны заказчика, что со стороны проверяющего) я, к сожалению, наблюдала в одном немаленьком городе в тысяче км от столицы.
Последние 3 проверки, которые я сопровождала в 2018г. в Москве, были весьма тщательные и проводились хорошим специалистом в этой области: никакой халявы и халтуры.
А вот описанный вами подход (что со стороны заказчика, что со стороны проверяющего) я, к сожалению, наблюдала в одном немаленьком городе в тысяче км от столицы.
Какой-то копипаст, без капли личного опыта.
Вы никогда их лично не проводили, и даже рядом с вами не сидят люди, которые проводили такие интервью.
Зачем? Недостаточно, что вы с его слов записали? Мб вы еще соберете личные подписи на протоколах? Приумножите ПДн, так сказать.
Каждое интервью должно занимать от 30 до 60 минут:
Вы никогда их лично не проводили, и даже рядом с вами не сидят люди, которые проводили такие интервью.
Обязательно составляйте протоколы интервью во время общения и согласовывайте его с вашим собеседником после
Зачем? Недостаточно, что вы с его слов записали? Мб вы еще соберете личные подписи на протоколах? Приумножите ПДн, так сказать.
Из нетипового могут посмотреть сайт компании («есть ли политика обработки и защиты ПДн? сообщение о cookies и счётчиках?»)
Вот это интересно… А на каком основании РКН может посмотреть или запросить информацию о использовании cookies и счетчиках?
Какой НПА регулирует это?
Где сказано, что cookie являются персональными данными?
К сожалению, у нас нигде нет перечня, что конкретно является ПДн.
РКН запрашивает всё, что касается обработки ПДн, в.т.ч., какие третьи лица привлекаются для обработки ПДн. Сайт = ИСПДн, если там есть формы, куда ПДн можно внести: форма обратной связи, форма заявки на кредит и иные.
РКН умеет пользоваться комбинацией клавиш «ctrl+u» на сайте проверяемой компании и далее осуществлять поиск по слову «cookie»:)
И при официальном уведомлении о проверке присылают также «Перечень документов, представление которых необходимо для достижения целей и задач проведения проверки», в котором сказано:
«Под данными посетителей и зарегистрированных пользователей сайтов и мобильных приложений Оператора понимаются все данные о посетителях, собираемые с помощью функционала указанных сервисов, а также те данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя, адрес пользователя или адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, а также сведения о пользователе, включающие ip-адрес, поисковые запросы пользователя, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет-ресурсах Оператора, идентификатор пользователя, преобразованный Оператором при помощи хеш-функции или других модификаций, географический адрес точки подключения пользователя к сети Интернет, информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, но обеспечивающая формирование достаточного для предоставления пользователю рекламной информации.»
РКН запрашивает всё, что касается обработки ПДн, в.т.ч., какие третьи лица привлекаются для обработки ПДн. Сайт = ИСПДн, если там есть формы, куда ПДн можно внести: форма обратной связи, форма заявки на кредит и иные.
РКН умеет пользоваться комбинацией клавиш «ctrl+u» на сайте проверяемой компании и далее осуществлять поиск по слову «cookie»:)
И при официальном уведомлении о проверке присылают также «Перечень документов, представление которых необходимо для достижения целей и задач проведения проверки», в котором сказано:
«Под данными посетителей и зарегистрированных пользователей сайтов и мобильных приложений Оператора понимаются все данные о посетителях, собираемые с помощью функционала указанных сервисов, а также те данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя, адрес пользователя или адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, а также сведения о пользователе, включающие ip-адрес, поисковые запросы пользователя, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет-ресурсах Оператора, идентификатор пользователя, преобразованный Оператором при помощи хеш-функции или других модификаций, географический адрес точки подключения пользователя к сети Интернет, информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, но обеспечивающая формирование достаточного для предоставления пользователю рекламной информации.»
Но, также, мы помним, что многие нарушения, выявленные РКН, с легкостью оспаривались в суде.
Я не спорю, что РКН мог прислать такую информацию. Но на основе какого документа они это делают?
То есть они запрашивают, наказывают за информацию, которая не подкреплена ни одним документом. Так получается?
Из этого можно сделать вывод, что РКН действует незаконно.
Я правильно понимаю, что информацию, которую Вы передаете при проверке РКН, не должна передаваться. Что уведомление об использовании «cookie» не обязательно в нашей стране, которое РКН проверяет (также вопрос почему-то).
Я не спорю, что РКН мог прислать такую информацию. Но на основе какого документа они это делают?
То есть они запрашивают, наказывают за информацию, которая не подкреплена ни одним документом. Так получается?
Из этого можно сделать вывод, что РКН действует незаконно.
Я правильно понимаю, что информацию, которую Вы передаете при проверке РКН, не должна передаваться. Что уведомление об использовании «cookie» не обязательно в нашей стране, которое РКН проверяет (также вопрос почему-то).
Насколько я знаю, сейчас суды наоборот встают на сторону субъекта и РКН в спорных вопросах. Если не трудно, поделитесь, пожалуйста, ссылками на упомянутые оспаривания выявленных нарушений.
РКН запрашивает всё строго и на основании 152-ФЗ. К сожалению, как я писала выше, формулировка ПДн очень обширная и нечёткая — поэтому тут приходится опираться на практику проверок/запросов/решения судов.
Не берусь так глобально судить о законности действий целой федеральной службы :)
Нет, не правильно: мы (=заказчик) передаем только то, что должно передаваться.
А что именно вас смущает в куках?
Смотрите: у оператора должен быть перечень ИСПДн, так? Значит, сайт там по-любому будет.
Также должен быть перечень ПДн и субъектов, так? Значит, посетитель сайта и собираемая о нем информация там точно будут.
А мы знаем, что есть не так много оснований обрабатывать ПДн. Для посетителя сайта — это согласие. Но очень сложно взять согласие с каждого посетителя — поэтому изящный выход (который РКН принимает!) — это повесить сообщение о куках — и всё!
Минус одна проблема в нашем нелёгком деле.
РКН запрашивает всё строго и на основании 152-ФЗ. К сожалению, как я писала выше, формулировка ПДн очень обширная и нечёткая — поэтому тут приходится опираться на практику проверок/запросов/решения судов.
Не берусь так глобально судить о законности действий целой федеральной службы :)
Нет, не правильно: мы (=заказчик) передаем только то, что должно передаваться.
А что именно вас смущает в куках?
Смотрите: у оператора должен быть перечень ИСПДн, так? Значит, сайт там по-любому будет.
Также должен быть перечень ПДн и субъектов, так? Значит, посетитель сайта и собираемая о нем информация там точно будут.
А мы знаем, что есть не так много оснований обрабатывать ПДн. Для посетителя сайта — это согласие. Но очень сложно взять согласие с каждого посетителя — поэтому изящный выход (который РКН принимает!) — это повесить сообщение о куках — и всё!
Минус одна проблема в нашем нелёгком деле.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Подготовка к проверке Роскомнадзора: суровая практика для смелых