Резюме выступлений: позиции спикеров конференции по рассмотренным вопросам.
Запись секции доступна на платформах Rutube и VK.
1. Баланс взаимоотношений в поручениях на обработку персональных данных
1) У дата-центров обычно есть своя стандартная документация. IT-компании, особенно крупные, часто диктуют свои условия договоров, стремясь минимизировать ответственность. Малые IT-компании чаще соглашаются с условиями оператора из-за рыночной зависимости. Никто не хочет нести ответственность ни за что.
2) Нормы № 152-ФЗ не учитывают специфику автоматизированной инфраструктуры, что создаёт конфликт интересов. Передача данных в дата-центр с позиции оператора приравнивается к обработке, требующей поручения, а дата-центры считают, что предоставление инфраструктуры не является обработкой, так как отсутствует доступ к содержанию данных.
4) Баланс интересов зависит от архитектуры продукта. Старайтесь разобраться в сервисе. Будет проще договариваться, потому что поймете, как это работает.
5) Куда движется рынок? Опять же зависит от типа сервиса. Если массовый, то формат СС - либо присоединяйся, либо отказывайся. Если кастомизированный, то нужно разговаривать с командой продукта и в зависимости от того, что хочет клиент, соблюсти юридические формальности, удовлетворяя его потребности.
6) В отношениях с провайдерами, которые имеют доступ к данным, видят их и могут с ними работать, советую бороться за роль обработчика. Здесь вы никак не влияете на то, какие правовые основания будут обеспечены, какие цели обработки будут определены, вообще, по сути, не влияете на обработку. При этом, можете попадать под существенные риски и потенциальную ответственность. Именно наличие поручения для компании-обработчика в отношениях с операторами является существенно снижающим риски документом.
2. Как учитывать последующее поручение при заключении договоров с клиентами ИТ-сервисов?
С последующими поручениями бывает такое, что невозможно оказывать сервис без привлечения субподрядчиков, о чем необходимо указывать в поручении на обработку и, если не получается в договорном порядке прийти к согласованию, использовать все возможные инструменты (описывать в политиках, например, к которым присоединяется клиент).
3. Утечки ПД. Кого накажут с 30 мая: клиента или владельца ИТ-системы? Реально ли взыскание убытков и что учесть в договоре для каждой из сторон (оператор/обработчик)?
Здесь вопрос разграничения ответственности, тех задач и действий с персональными данными, которые стороны выполняют. Бывают моменты, когда оператор есть без доступа к персональным данным, но при этом он определяет политику обработки, но никаким образом не имеет о влияние на модификацию либо на организацию порядка обработки уже физически, в инфраструктуре обработчика. Есть ситуации, когда оператор наравне с обработчиком участвует в обработке персональных данных, и обработчик лишь выполняет часть аутсорсинговых функций. Вопрос опять же, как вы это определите у себя в договоре.
4. Проблемные вопросы удаления персональных данных. Нужно ли удалять ПДн с бэкапов в случае досрочного прекращения оснований обработки?
Чтобы понять, что, когда и как удалять, важно провести инвентаризацию продуктов и сервисов, с указанием вашей роли, сроков, критериев наступления события по удалению данных, потом понять в каких базах информация крутится, насколько она нужна и насколько она видна. Взвешивая риски, принимать решение об удалении, потому что риски здесь существенные.
