Пост из моей группы ВКонтакте. Так как не все читают меня там, приняла решение подтянуть на блогспот полезные тексты.
Посвятив 14 лет жизни защите персональных данных, я
задумалась, как выглядит мой алгоритм ответов на вопросы из этой сферы? Здорово
было бы формализовать метод принятия решений. И вот к чему я пришла.
1. Внимательно изучаем вопрос. Выделяем ключевые
слова-термины: биометрия, специальные категории, вред, угроза, оператор,
политика, уведомление и т.д.
2. Ищем по ключевым словам в 152-ФЗ любые упоминания по теме
вопроса. Иногда ответ находится уже на этом этапе.
3. Обращаем внимание на фразы в законе “в случаях,
предусмотренных законодательством”. Ищем другие федеральные законы на
тему. Например, “О банках и банковской деятельности”.
4. Обращаем внимание на фразы “в порядке, установленном
Правительством”, “для выполнения требований, установленных
Правительством”. Ищем нужное Постановление Правительства.
5. “В порядке, определенном федеральным органом
исполнительной власти, уполномоченным в области обеспечения безопасности”
– определяется ФСБ России. Федеральный орган исполнительной власти,
уполномоченный в области противодействия техническим разведкам и технической
защиты информации – ФСТЭК России.
6. При упоминании “уполномоченного органа по защите
прав субъектов персональных данных” ищем документы Роскомнадзора.
7. Если речь идет про обработку на бумаге – заглядываем в
687 Постановление Правительства.
8. Технические меры и средства защиты информации – сверяемся
с 21 приказом ФСТЭК России (для ГИС – еще и с 17 приказом).
9. Криптография – 378 Приказ ФСБ России.
10. Биометрия – не забываем про многочисленные документы
Минцифры.
11. После того, как найден документ более менее по теме
высокого уровня: ФЗ, ПП, приказы органов власти спускаемся ниже. Ищем
отраслевые требования (медицина, образование, банки, государственные
корпорации), требования головного офиса, требования на предприятии.
11. Смотрим судебную практику, лучше за 2 последних года.
Начинаем с Верховного суда, постепенно спускаемся до местных судов в вашем
регионе/городе, если ничего нет, смотрим другие регионы, расширяем диапазон до
5 лет. Много информации можно найти по поиску решений по статье 13.11 КоАП РФ +
ключевое слово из вопроса.
12. Если ни в законодательстве, ни в судебной практике
ничего однозначного не нашли, то принимаем своё экспертное суждение по вопросу,
собираем комиссию и утверждаем нужный локальный документ.
Это общий порядок действий, частности вы можете найти в моей
электронной книге “Персональные данные: как защищать” (2023), книга
электронная.
Защита персональных данных и не только – книга рецептов