Пост из моей группы ВКонтакте. Так как не все читают меня там, приняла решение подтянуть на блогспот полезные тексты.
Посвятив 14 лет жизни защите персональных данных, я
задумалась, как выглядит мой алгоритм ответов на вопросы из этой сферы? Здорово
было бы формализовать метод принятия решений. И вот к чему я пришла.
1. Внимательно изучаем вопрос. Выделяем ключевые
слова-термины: биометрия, специальные категории, вред, угроза, оператор,
политика, уведомление и т.д.
2. Ищем по ключевым словам в 152-ФЗ любые упоминания по теме
вопроса. Иногда ответ находится уже на этом этапе.
3. Обращаем внимание на фразы в законе «в случаях,
предусмотренных законодательством». Ищем другие федеральные законы на
тему. Например, «О банках и банковской деятельности».
4. Обращаем внимание на фразы «в порядке, установленном
Правительством», «для выполнения требований, установленных
Правительством». Ищем нужное Постановление Правительства.
5. «В порядке, определенном федеральным органом
исполнительной власти, уполномоченным в области обеспечения безопасности»
— определяется ФСБ России. Федеральный орган исполнительной власти,
уполномоченный в области противодействия техническим разведкам и технической
защиты информации — ФСТЭК России.
6. При упоминании «уполномоченного органа по защите
прав субъектов персональных данных» ищем документы Роскомнадзора.
7. Если речь идет про обработку на бумаге — заглядываем в
687 Постановление Правительства.
8. Технические меры и средства защиты информации — сверяемся
с 21 приказом ФСТЭК России (для ГИС — еще и с 17 приказом).
9. Криптография — 378 Приказ ФСБ России.
10. Биометрия — не забываем про многочисленные документы
Минцифры.
11. После того, как найден документ более менее по теме
высокого уровня: ФЗ, ПП, приказы органов власти спускаемся ниже. Ищем
отраслевые требования (медицина, образование, банки, государственные
корпорации), требования головного офиса, требования на предприятии.
11. Смотрим судебную практику, лучше за 2 последних года.
Начинаем с Верховного суда, постепенно спускаемся до местных судов в вашем
регионе/городе, если ничего нет, смотрим другие регионы, расширяем диапазон до
5 лет. Много информации можно найти по поиску решений по статье 13.11 КоАП РФ +
ключевое слово из вопроса.
12. Если ни в законодательстве, ни в судебной практике
ничего однозначного не нашли, то принимаем своё экспертное суждение по вопросу,
собираем комиссию и утверждаем нужный локальный документ.
Это общий порядок действий, частности вы можете найти в моей
электронной книге «Персональные данные: как защищать» (2023), книга
электронная.
Защита персональных данных и не только — книга рецептов