Как ответить на любой вопрос по персональным данным?

Пост из моей группы ВКонтакте. Так как не все читают меня там, приняла решение подтянуть на блогспот полезные тексты.

Посвятив 14 лет жизни защите персональных данных, я задумалась, как выглядит мой алгоритм ответов на вопросы из этой сферы? Здорово было бы формализовать метод принятия решений. И вот к чему я пришла.

1. Внимательно изучаем вопрос. Выделяем ключевые слова-термины: биометрия, специальные категории, вред, угроза, оператор, политика, уведомление и т.д.

2. Ищем по ключевым словам в 152-ФЗ любые упоминания по теме вопроса. Иногда ответ находится уже на этом этапе.

3. Обращаем внимание на фразы в законе "в случаях, предусмотренных законодательством". Ищем другие федеральные законы на тему. Например, "О банках и банковской деятельности".

4. Обращаем внимание на фразы "в порядке, установленном Правительством", "для выполнения требований, установленных Правительством". Ищем нужное Постановление Правительства.

5. "В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности" - определяется ФСБ России. Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации - ФСТЭК России.

6. При упоминании "уполномоченного органа по защите прав субъектов персональных данных" ищем документы Роскомнадзора.

7. Если речь идет про обработку на бумаге - заглядываем в 687 Постановление Правительства.

8. Технические меры и средства защиты информации - сверяемся с 21 приказом ФСТЭК России (для ГИС - еще и с 17 приказом).

9. Криптография - 378 Приказ ФСБ России.

10. Биометрия - не забываем про многочисленные документы Минцифры.

11. После того, как найден документ более менее по теме высокого уровня: ФЗ, ПП, приказы органов власти спускаемся ниже. Ищем отраслевые требования (медицина, образование, банки, государственные корпорации), требования головного офиса, требования на предприятии.

11. Смотрим судебную практику, лучше за 2 последних года. Начинаем с Верховного суда, постепенно спускаемся до местных судов в вашем регионе/городе, если ничего нет, смотрим другие регионы, расширяем диапазон до 5 лет. Много информации можно найти по поиску решений по статье 13.11 КоАП РФ + ключевое слово из вопроса.

12. Если ни в законодательстве, ни в судебной практике ничего однозначного не нашли, то принимаем своё экспертное суждение по вопросу, собираем комиссию и утверждаем нужный локальный документ.

 

Это общий порядок действий, частности вы можете найти в моей электронной книге "Персональные данные: как защищать" (2023), книга электронная.

По вопросам приобретения моей новой книги, а также получения бесплатной книги "Мысли про... информационную безопасность и жизнь" (2020) и бесплатной книги "Персональные данные: что было, что будет, чем сердце успокоится" (2015) обращайтесь ко мне напрямую:

E-mail: shudrova87@mail.ru

Telegram: @KseniaShudrova

Вконтакте: @shudrova