2013年から2014年にかけて、多くのクライアントがRoskomnadzorの検査計画に陥りましたが、クライアントが検査に早く合格し、非常に前向きな経験があるため、特に恐れることはありませんでした。 新規のお客様についても、すべてが整頓されていて、次のチェックを待って「規制当局の検査に成功しました」のポートフォリオセクションに新しいチェックマークを付けるだけであることがわかりました。 しかし、すべてが私たちの楽観的な期待に対応していれば、この記事は生まれませんでした...
昨年の初めに、私はそのようなチェックの準備の段階について話をするために段階的に試みた記事を書きました 。 そして、このアルゴリズムは2013年半ばまで明らかに機能していました。 どうしたの? 以下では、個人データの検査中にILVの専制のいくつかのケースについてより詳しく説明しますが、要するに、機関はそのような検査に関連してスティックシステムを導入しました。 監査人は今度は小さな違反を探し、注文を出し、少額だが不快な罰金を支払うようにします。 スティックは私たちの地域でのみ考慮される可能性がありますが、ロシア連邦の他の主題の同僚とのコミュニケーションは反対を示唆しています。
特定のケースを話す前に、心に留めておくべきいくつかの事実を読むようお願いします。
- テスターの構成は変化しませんでした。つまり、検討したすべてのケースで、テスターは同じ人でした。
- 一連の措置と、2013年後半から監査されたすべての監査の検証の準備の質は、同じレベルでした。
- その後の各検査では、検査官の以前の気まぐれが準備プロセス中に考慮されました。
私の古い記事では、ほとんどの要件は、オペレーターの通知で提供されたデータと現在の状況との不一致、つまり、個人データ主体の名前、住所、連絡先電話番号を処理していることを示した場合、別の性別と生年月日を処理すると、処方箋が届きます。 最初の話はこれに関連しています。
顧客の1人からの最初の指示は、従業員の個人データのカテゴリにおけるオペレーターの通知が、何らかの目的で従業員に発行された委任状の数を処理することを示していないという事実によるものでした。 多くの人が常識に訴えようとせず、委任状は独立した文書であり、この人は委任状の委任の必要性であり、委任状の数は人の必要性ではなく、委任状の数が人の必要性であることを説明しませんでした-それは助けにはなりませんでした。 そしてこれは、152-の「個人データ」の概念の非常に曖昧な定義(直接的または間接的に決定または決定された個人に関する情報)によって促進されました。 私たちの国では、議員は一般的にあいまいな言葉遣いが大好きです。 この場合、法務省の法案の腐敗防止審査が特に明確ではないのはなぜですか。
さて、私たちが今考慮した委任状の数で、私たちは次のチェックを待ち始めました。 そして、ここで再び驚きが待っていました。
今回、Roskomnadzorの検査官は明らかに個人データのカテゴリに矛盾を見つけなかったので、個人データのカテゴリの不一致を見つけるために耳をかすめることにしました。 ここで、状況はPD自体のカテゴリーと同じです-従業員と顧客の個人データを処理していることを通知で示したが、実際には一部のボランティアの追加PDを処理している場合、注文を取得します。 また、この場合、ILVの代表者は、組織の現在の従業員と解雇された従業員が実際には異なる個人データサブジェクトのカテゴリであると言う方法は発生しませんでした ここでも、常識に対する訴えは役に立たなかった。
クライアントの1人が、個人データに関する公共政策の内容の一番下に到達しました。 これは、パブリックドメインで公開する必要があるドキュメントです(Webサイトがある場合は、その上にあります)。 当然のことながら、このドキュメントでは、私たちが保護している詳細、方法、対象、および誰からも記述しません。 そして、なぜ私たちのポータルで潜在的な侵入者に役立つ情報を実際に公開する必要があるのでしょうか? そのため、Roskomnadzorの住民は、公開文書で個人データを保護するために講じた対策を詳しく説明してほしいと望んでいました。 なぜ-明確ではありません。 一般的に、ロスコムナゾールでの露出症に対する異常な渇望は長い間懸念されていました。 状態情報システムのレジストリとは何ですか?このシステムの責任者の作業番号とモバイル番号(たとえば、 こちら )、電子メール、およびシステムで使用されるサーバーとクライアントのオペレーティングシステムに関する情報、システムのアプリケーションソフトウェア、資金調達など。 ソーシャルエンジニア、スパマー、その他の黒い帽子の楽園です。
しかし、チェックに戻ります。 後者のケースは、他のケースとは多少異なります。 確認の1週間前に、クライアントから問い合わせがありました。 予備的な会話とPDオペレーターのレジストリの検証の過程で、組織は個人データの処理に関する通知を以前に提出していないことが判明しました。 つまり、クライアントはオペレーターのレジストリにありませんでした。 控訴の日に通知を作成した場合でも、152-FZはRoskomnadzorに通知の瞬間からオペレーターが登録簿に入力されるまで最大30日間の期間を提供し、練習はレジストリのエントリがその日から20-25日後に現れることを示していることをここで理解する必要があります通知を提出します(ただし、これは私たちの地域に直接適用されますが、ILVのメンバーの方がより迅速になる可能性があります)。 一般的に、彼らは152-で、特に労働関係の実施中および合意の締結中にPD処理が行われる場合、通知の提出が必要ない場合があるという立場から行動することを決定しました。 顧客はロシア連邦の労働法の従業員に関する個人データを処理し、顧客との契約を締結する小さな商業会社であるため、原則として、ILVが組織を罰するという目標を持っていない場合、これは機能します。 監査に基づいて発行された命令は、この会社は通知を提出するべきであると述べていましたが、提出しなかったため、152-FZに違反しました。 さらに、処方自体には正当化がなく、単に「通知がなく、例外に該当しないため、違反します...」。 口頭で、検証者は、顧客との契約関係に誤りを見つけるのは難しいと言ったので、(注意!)組織が従業員の個人データを第三者-連邦税務局とFIUに転送するため、通知を提出する必要があります! 行くぞ! ここでは、もちろん、すぐに不明確になります。なぜ、連邦法では、PDオペレーターに通知を提出できないこれらの例外がすべてあるのでしょうか。 「すべての法人が通知を提出する必要があります」と書いてこれを完了するのは簡単ではありませんか?
どうする?
正直なところ、スティックシステムが存在するため、ILVの代表者は何を思いつき、次のチェックで何に到達するのかとさえ思っています。 しかし、時には考えが生じます-それは明確な欠陥を顕著な場所に明確に残すことができますか? 結局のところ、罰金はまだ小さく、目立った場所で違反を見つけた場合、検査官がそれを命令に追加する可能性が高く、私たちは小さな罰金を支払い、違反を適時に排除し、私たちは平和に生き続け、検査官はより深く掘ることはありません。 別の選択肢があります-Roskomnadzorの令状に裁判所で異議を申し立てる、それが私たちの最後のクライアントが行うことを決定した方法です。 残念ながら、物語自体はまだ終わっていないため、この物語の否定を共有することはできません。 いずれにしても、スティックシステムはまだあなたの地域に到達していないかもしれませんが、誰もが自分の道を選ぶでしょう。