ПДн. Общее. Что полезного мог бы сделать Минкомсвязи (Роскомнадзор) для безопасности обработки ПДн

В Евросоюзе (с которым у нас много общего в части законодательства о персональных данных) есть такой орган European Data Protection Supervisor (EDPS). Задачи его во много схожи с задачами Минкомсвязи (Роскомнадзор) в части ПДн: контроль обработки ПДн в организациях, мониторинг того что соблюдаются права граждан и безопасность данных.

Но кроме схожих задач EDPS делает ещё некоторые полезные активности, которые хорошо было бы перенять Минкомсвязи или Роскомнадзору:

·         Организация активного сообщества лиц ответственных за организацию обработки и защиты данных (Data Protection Officers, DPO) в гос. органах. Они хорошо друг друга знают, тесно общаются, проводят встречи 2 раза в год с полезными тренингами без воды и продаж (уже 41-ая встреча по плану). Ну и граждане знают своих героев.  

·         Разрабатывают руководства, инструкции, некоторые шаблоны документов, которые необходимо применять в гос. органах, но могут применяться и в других компаниях.

Из недавнего: Руководство по обеспечению безопасности персональных данных получаемых при запросах гос. органами; Руководство по обеспечению безопасности персональных данных при их обработке на web сайтах или в мобильных приложениях; Типовое положение об ответственном за организацию обработки и защиты данных (DPO).   

Рекомендую почитать, хотя некоторые нормы законодательства у нас расходятся, поэтому полезно было бы увидеть подобные рекомендации от российских регуляторов.

·         Для Data Protection Officers есть отдельный раздел, где для них четко и понятно, с инструкциями и шаблонами, объясняется с чего им начинать и что необходимо делать.

·         Помимо основных проверок в рамках гос. контроля, EDPS проводит также дополнительный анализ и консультации (без наказаний):

-          при получении уведомления о начале обработки данных, EPDS может сразу запросить дополнительную информацию и проверить законность обработки. Операторы данных перед запуском каких-то критичных сервисов по обработке данных должны предварительно согласовать с EPDS (Opinions Prior Check, Opinions Non Prior Check)

-          организация может обратиться за консультацией к EDPS, задать вопрос, отправить на согласование политики безопасности данных (Consultations, Administrative Measures).

При этом многие ответы, которые имеют общественное значение – публикуются на сайте.

Not all of our replies to consultations are made public; those that we believe are useful for other institutions and the persons affected are published on this website.

В результате имеется хорошая база, в которой многие операторы могут найти интересующий их ответ или пример, не обращаясь за помощью к консультантам или регулятору (что в итоге повышает эффективность)

Несколько недавних примеров:

-          Office for Infrastructure and Logistics in Brussels проинформировали что обрабатывают данные в системе 360° tool - feedback and leadership competencies, указав меры и политики. EDPS дали рекомендации что ещё необходимо предпринять и просили в течении 3х месяцев сообщить о принятых мерах.

-          European Ombudsman отправил на согласование свежую политику обработки данных. EDPS рекомендовали лучше адаптировать политику к конкретным условиям обработки данных (была не учтена одна из ИС – CMS, просили более подробно описать принципы защиты и права субъектов, принципы взаимодействия с субъектом и т.п.) и предоставить свидетельства выполнения в течении 3х месяцев

-          EDPS спросили, законно ли обрабатываются данные чиновников на портале EU Whoiswho Directory (публичный телефонный справочник), какие права есть у субъектов и какие меры защиты должны быть приняты. Тут просто дали публичный ответ.

В целом, среди этой информации можно найти достаточно много полезной и для российских операторов, но лучше накапливать локальные практики и регулятору не стесняться публично доносить свою позицию по тем или иным вопросам обработки ПДн.

PS: Про другие практики из Евросоюза: NIS Directive