События в сфере защиты персональных данных

06.09.2022
События

События в сфере защиты персональных данных


Продолжаем знакомить с событиями в сфере защиты персональных данных. Ранее мы писали о вступивших в силу изменениях законодательства и регуляторных практик, а сегодня расскажем о проектах НПА, находящихся на стадии общественного рассмотрения.

 


До 15 сентября находятся на стадии общественного обсуждения проекты Приказов:

- «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных» 

- «Об утверждении требований к подтверждению уничтожения персональных данных»

-  и до 21 сентября - проект Приказа «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»

 


К слову, формы уведомления уже размещены на сайте Роскомнадзора и доступны для заполнения в электронном виде; и если первый документ не вызывает у нас каких-либо существенных вопросов, то два других вызывают как минимум недоумение.

 


Приказ, касающийся оценки вреда, по сути, представляет собой таблицу требований к оператору ПД, неисполнение которых оценивается в качестве высокой, средней и низкой степени возможного вреда. При этом оценку проводит сам же оператор ПД. К сожалению, эти критерии между собой никак не пересекаются. Возникает логичный вопрос – если оператор ПД нашел у себя несколько признаков высокого, несколько среднего и несколько низкого уровня – какой итоговый уровень он должен зафиксировать? Дело усугубляется тем, что в тексте приказа (п.3) перечислены факторы, которые должны быть учтены при оценке вреда, как, например:

- цели обработки персональных данных;

- количество субъектов персональных данных, персональные данные которых обрабатываются;

- категории обрабатываемых персональных данных; и т.д.

А вот каким именно образом они должны учитываться (повышать или понижать степень возможного вреда и при каких конкретных показателях) – не указано.

 


Еще интереснее выглядит проект Приказа об уничтожении ПД. Согласно процедуре, предлагаемой данным проектом, для обеспечения контроля за уничтожением оператору ПД необходимо оформлять акт об уничтожении персональных данных. Проект предусматривает четкий перечень данных, которые должны быть перечислены в Акте уничтожения. А теперь (следите за руками!): Акт об уничтожении должен содержать сведения о данных, которые были уничтожены. Как планируется уничтожать сведения, содержащиеся в акте об уничтожении, для нас пока остается загадкой.

 


До окончания общественного обсуждения можно направить свои предложения и замечания на адрес ответственного разработчика: g.baimurzaev@rkn.gov.ru 




Выявленные нами замечания и предложения по их устранению в формате Заключения по результатам независимой антикоррупционной экспертизы направлены в Роскомнадзор от имени Ассоциации устойчивого развития промышленности.


https://t.me/aurprom_esg/133

Будьте в курсе последних новостей и событий
Подпишитесь на нашу рассылку и получайте самые свежие новости и события на электронную почту.