Уважаемые посетители сайта!
Размещаем интернет-интервью с Рудниченко Алексеем Константиновичем,
специалистом по информационной безопасности на тему:
«Защита персональных данных: от теории к практике»
Уважаемые посетители сайта!
Размещаем интернет-интервью с Рудниченко Алексеем Константиновичем,
специалистом по информационной безопасности на тему:
«Защита персональных данных: от теории к практике»
Подскажите, пожалуйста, где публикуют политику в отношении обработки персональных данных, если у организации нет сайта?
ч. 2 ст. 18.1 152-ФЗ
Например, если есть клиенты – то в уголке потребителя в офисе компании. Либо в коридоре офиса, если обрабатываете персональные данные сотрудников.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.
Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет».
Если у нас есть работники с детьми-инвалидами (справка по инвалидности) и работники проходят медкомиссию и приносят нам результаты — это считается обработкой биометрических данных в части — состояние здоровья?
Сведения о здоровье не являются биометрическими персональными данными, они являются специальной категорией персональных данных.
Если вам приносят заключение по медкомиссии – это не является сведениями о здоровье, так как нет не описан диагноз, жалобы, анамнез и прочее.
Но факт инвалидности с большей долей вероятности – это специальная категория, так как злоумышленнику это даёт представление о здоровье. Судебная практика неоднозначна в данном вопросе, а закон не даёт чёткого понимания.
Персональные данные работников обрабатываются в системе 1С. Нужно ли оператору в Уведомлении указывать в качестве ЦОД реквизиты компании-поставщика 1С или нужно указать в качестве ЦОД свой адрес?
Смотря где находится база данных 1С. Если она находится в облаке – потребуйте у них адрес размещения серверов. Если база данных 1С физически хранится у вас в компании, то указываете свой адрес.
Как правильно оформить акт уничтожения резюме соискателей на вакантную должность. Нужно ли в акте указывать ФИО соискателей, резюме которых были уничтожены? Или нужно указать только количество уничтоженных резюме?
Считаем, что если в акте указать ФИО соискателей, то обработку ПД нельзя считать оконченной, так как ФИО тоже являются ПД.
В 2023 году вступили в силу изменения в форме акта об уничтожении персональных данных. Теперь необходимо указывать не только наименование документа, который уничтожается, но и ФИО субъекта персональных данных, которое там указано. Но Приказ Роскомнадзора разрешает указывать «иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены». А какие именно – не уточняют. Обобщать субъектов ПДн в группы запрещено.
Данное нововведение, по моему мнению, сильно усложняет процесс уничтожения. Так как при уничтожении хотя бы 3-4 коробок документов переписать все ФИО субъектов очень проблематично. Надеюсь, что в будущем требования будут изменены.
Подробнее требования описаны в Приказе Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
При подготовке приказа о предоставлении доступа в помещения, в которых проводится обработка ПД, возник следующий вопрос.
В кабинете кадровой службы идет обработка перс. данных работников, однако туда постоянно приходят все сотрудники (подписывать приказы, решать вопросы по воинскому учёту, за справками и т.д.).
Аналогичная ситуация с бухгалтерией, где обрабатываются перс. данные. То же самое и у сисадминов, которые отвечают за собственную базу данных клиентов.
Кого нужно указать в приказе о предоставлении доступа в конкретный кабинет: только тех работников, которые в силу служебных обязанностей осуществляют в этом кабинете обработку ПД, или помимо указанных сотрудников, всех кто может войти в этот кабинет для решения рабочих вопросов?
Скорее всего необходимо сделать 2 разных приказа:
• Приказ об утверждении перечня помещений, в которых ведётся обработка ПДн. Здесь перечислены помещения в таблице.
• Порядок доступа в помещения, в которых ведётся обработка ПДн. Здесь перечислены особенности доступа. Например, доступ к кабинету, который является рабочим местом сотрудников определённого отдела имеют только сотрудники данного отдела. Нахождение других сотрудников возможно только в их присутствии. Сотрудники отдела несут ответственность за безопасность персональных данных в своём кабинете.
В приказе о предоставлении доступа в помещения, в которых проводится обработка персональных данных, можно указать только должность лиц, которые работают в этом кабинете (без указания ФИО)?
В противном случае при увольнении и приеме на нового работника нужно будет опять переделывать приказ.
Если брать во внимание 2 документа из прошлого вопроса, то ФИО и должности вам не понадобятся. Если вы хотите однозначно закрепить сотрудников за кабинетами, то лучше указывать как ФИО, так и должность.
Позиция регулятора (Роскомнадзора) такова, что при составлении перечня сотрудников, допущенных к обработке ПДн (это уже другой документ) обязательно указывать ФИО и должность. Такого рода документы необходимо актуализировать хотя бы 1 раз в полгода.
С большей частью контрагентов перешли на ЭДО.
Фактически, мы передаём оператору, предоставляющий услуги по обмену электронными документами, персональные данные клиентов.
Нужно ли вносить какие изменения в раннее поданное в РКН Уведомление об обработке персональных данных? Каков статус оператора ЭДО в данном случае?
Тут необходимо понять почему контрагентам вы передаёте данные клиентов. Это необходимо для исполнения договора с клиентом, то в согласии просто указывается перечень юридических лиц, которым вы передаёте ПДн клиентов.
Изменения в Уведомление Роскомнадзора вносить нужно в том случае, если вы ранее не передавали и указали это в уведомлении, а теперь передаёте. Там есть пункт о передаче ПДн по внутренней сети организации и через сеть Интернет.
Напоминаю, что передача ПДн по незашифрованным каналам связи запрещена. Такая передача через ЭДО должна быть зашифрована электронной подписью.
Должен ли в организации быть разработан регламент/правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»? В случае утвердительного ответа, прошу направить образец.
Да, должен. Это одно из требований части 1 статьи 18.1 152-ФЗ.
Необходимо выпустить приказ по созданию комиссии по оценке вреда и правилами оценки вреда, он должен повторять Приказ Роскомнадзора от 27 октября 2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Кроме этого, необходимо составить акт оценки вреда.
Пример: https://clck.ru/3Ma9PX
При подаче уведомления об обработке перс. данных в Роскомнадзор (организация занимается сдачей неж. помещений офисных в аренду) необходимо указать цель обработки перс. данных, достаточно ли указать целью обработки ПД лишь ведение кадрового и бухгалтерского учета. Необходимо ли еще указывать цели обеспечение соблюдения трудового законодательства, соблюдение пенсионного, налогового законодательства, обеспечение соблюдения страхового законодательства, подготовка, заключение и исполнение гражданского-правового законодательства? (ранее уведомление подавалось, организация состояит в реестре операторов обработки ПД). Или цели (обеспечение соблюдения трудового законодательства, соблюдение пенсионного, налогового законодательства, обеспечение соблюдения страхового законодательства, подготовка, заключение и исполнение гражданского-правового законодательства) являются целями для специализированных организаций по видам деятельности?
Я лично всегда выбирал более общую цель «ведение кадрового и бухгалтерского учета». А в согласиях с сотрудниками мы прописывали более подробно это. Проблем не возникало пока.
Формулировки целей обработки чётко не регламентированы.
Цель обработки в согласиях должна быть наиболее точной – это требование законодательства.