29 подписчиков

Роскомнадзор с проверкой: как мало нужно, чтобы он пришёл внепланово

3 дня назад3 дня назад

2 мин

)) Какие индикаторы риска повлекут проверку Роскомнадзором? Для ВУЗа достаточно и одного индикатора (с учётом значения и объёма официального сайта): "Установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в контролирующий орган в соответствии с частью 3 статьи 12 и частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", сведениям, размещенным на принадлежащем такому контролируемому лицу сайте" п.3 Перечня индикаторов риска, утв. приказом Минцифры от 15.11.2021 N 1187. ВУЗы, как и прочие операторы, обязаны направлять в Роскомнадзор уведомления о начале обработки персональных данных, о трансграничной передаче ПДн (привет международному сотрудничеству и импортным индексируемым и рецензируемым...). ‼️В уведомлении нужно указывать для каждой цели обработки персональных данных следующую информацию: - категории обрабатываемых ПДн - категории субъектов ПДн -

Роскомнадзор с проверкой: как мало нужно, чтобы он пришёл внепланово))

Какие индикаторы риска повлекут проверку Роскомнадзором?

Для ВУЗа достаточно и одного индикатора (с учётом значения и объёма официального сайта):

"Установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в контролирующий орган в соответствии с частью 3 статьи 12 и частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", сведениям, размещенным на принадлежащем такому контролируемому лицу сайте"

п.3 Перечня индикаторов риска, утв. приказом Минцифры от 15.11.2021 N 1187.

ВУЗы, как и прочие операторы, обязаны направлять в Роскомнадзор уведомления о начале обработки персональных данных, о трансграничной передаче ПДн (привет международному сотрудничеству и импортным индексируемым и рецензируемым...).

‼️В уведомлении нужно указывать для каждой цели обработки персональных данных следующую информацию:

- категории обрабатываемых ПДн

- категории субъектов ПДн

- правовое основание обработки ПДн

- перечень действий с ПДн

- способы обработки ПДн

А если в ВУЗе произошли какие-то изменения по ранее заявленным сведениям, то

"оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях"

(ч.7 ст.22 152-фз).

И если проверяющий/бот Роскомнадзора "что-то" увидит на сайте ВУЗа, что не вписывается, не соответствует данным в уведомлениях, он начинает считать до трёх)))

Чтобы таких несоответствий не было, надо постоянно самим делать проверку сайта.

Сайтом обычно занимаются коллеги с повышенной креативностью, которая (креативность) обычно не признаёт ни бюрократии, ни формализма, и до трёх считать не готова. А потому готова размещать на сайте самые неожиданные для DPO и юристов вещи... Начиная от формы обратной связи с "интересными" полями ввода ПДн, заканчивая импортными Analytics (и не только).

И айтишники всегда готовы оставить "уши" от импортных сервисов, облаков, часть из которых признана экстремистскими.

👉 Например, в уведомлении не указали какую-то цель обработки ПДн, а по сайту видно, что ПДн обрабатываются под не заявленную цель.

👉 Или цель сформулирована так креативно, что проверяющему/боту невозможно понять, к какой заявленной цели нужно отнести то, что она на сайте видит.

👉 Или перечень обрабатываемых ПДн - в уведомлении и на сайте – отличается.

👉 Или на сайте используется Google analytics (или иные amo crm импортные/облачные ПО), а ВУЗ про трансграничную передачу ПДн ничего не указывал в своих уведомлениях.