Уважаемые посетители сайта!
Размещаем интернет-интервью с Рудниченко Алексеем Константиновичем,
специалистом по информационной безопасности на тему:
«Защита персональных данных: от теории к практике»
Уважаемые посетители сайта!
Размещаем интернет-интервью с Рудниченко Алексеем Константиновичем,
специалистом по информационной безопасности на тему:
«Защита персональных данных: от теории к практике»
Нужно ли подавать организации уведомление об обработке ПД по обновленной форме, если ранее компания подавала такое уведомление и стоит в реестре операторов обработки ПД, и каких-либо изменений не было?
Такой обязанности нет. Но с появлением новых форм Уведомления скорее всего и актуальность данных уже под вопросом. Рекомендую перечитать то, что вы подали по старой форме и решить, нужно ли актуализировать или нет.
В 2025 году при формировании Уведомления об обработке персональных данных на сайте Роскомнадзора :
— если ООО подразумеваем обработку электронных больничных , то ООО должны выбрать целью «соблюдение страхового законодательства РФ» или «соблюдение законодательства РФ и сфере здравоохранения»?
— если ООО подразумеваем обработку исполнительных листов по работникам , то ООО должны выбрать целью «соблюдение законодательства РФ об исполнительном производстве» или «Исполнение судебного акта»?
Если вы обрабатываете ТОЛЬКО больничные и ничего больше, то в целях прямо пишите про «листки нетрудоспособности» и для чего вы их указываете. Не обязательно выбирать из списка цель, можно написать самостоятельно. Тоже самое и про исполнительные листы по работникам.
Но если у вас кадровый и бухгалтерский учёт, в рамках которого вы обрабатываете как больничные, так и исполнительные листы, то целесообразнее указать «ведение кадрового и бухгалтерского учёта».
Формулировки целей обработки чётко не регламентированы.
В связи с изменением ответственности в области сбора и обработки персональных данных прошу предоставить следующую информацию:
-Что конкретно должно сделать ООО — оптовый поставщик товаров, работающий с покупателями — ИП и юр лицами (без продажи через интернет) с штатом сотрудников до 25 человек для того, чтобы не получить штраф?
— Надо ли подавать уведомление в Роскомнадзор? Надо ли сдавать в последующем какие-то отчеты? Какие именно и в какие сроки, если нужно?
— Как узнать, подавали ли ранее уведомление об обработке персональных данных в Роскомнадзор?
— За какие именно нарушения, какие штрафы возможны применительно к оптовой компании, работающей с ИП и юр лицами без продажи через интернет?
Ответить коротко сложно. Но у вас как минимум есть ИСПДн «Сотрудники» с целью «ведение кадрового и бухгалтерского учёта». А значит необходима разработка всех документов (см. чек-лист), а также определения уровня защищённости ИСПДн.
Подавать Уведомление в Роскомнадзор необходимо. Отчётность сдавать не требуется.
Подавали ли вы уведомление ранее можно в реестре операторов Роскомнадзора. Если вы там есть – то подавали.
Про штрафы – см. слайды со штрафами по ПДн. Никаких дополнительных штрафов по ПДн в зависимости от области деятельности компании нет.
В организации проводится периодический медосмотр работников в соответствии с требованиями действующего законодательства. В процессе организации медосмотра медучреждению передаются списки работников. По результатам медосмотра медучреждение составляет акт, который передает работодателю. Акт содержит информацию о состоянии здоровья работников. В соответствии со ст. 10 ФЗ-152 информация о состоянии здоровья относится к специальным категориям ПДн.
1. Передача медучреждению данных о работниках, необходимых для прохождения медицинского осмотра, будет являться их распространением?
2. Требуется ли от работников помимо согласия на обработку ПДн получать согласие на распространение ПДн в данной ситуации?
Если работодателю передаётся только заключение о прохождении медицинской комиссии – это не является специальной категорией.
1. Распространением – нет. Передачей – да.
2. Это не является распространением. Если данная передача осуществляется в целях выполнения требований законодательства, то согласие не нужно.
С клиентом заключён договор, срок действия которого истёк. В договоре указаны персональные данные представителя клиента (ФИО, телефон и эл. почта).
1. В данном случае обработка пер. данных представителя клиента прекращается автоматически?
2. Нужно ли направлять в адрес представителя клиента какое-либо извещение о прекращении обработки ПД?
3. Нужно ли в данном случае составлять акт уничтожения ПДн по случаю достижения целей обработки данных?
4. Если акт нужно составлять, то, что в нём писать, ведь договор с персональными данными представителя клиента мы должны хранить 6 лет в целях налогового учёта, а, следовательно носитель с ПДн (договор) мы уничтожить не можем?
1. Если вам необходимо хранить договора, то обработка не окончена и цели обработки ещё не достигнуты. Хранение – это тоже обработка.
2. Нет
3. Акт об уничтожении составляется в течении 30 дней после достижения целей обработки.
4. Если хранить 6 лет, то и уничтожить нужно будет только через 6 лет.
В статье 9 закона «О персональных данных» указано, что письменное согласие на обработку ПДн должно содержать, в том числе информацию о номере основного документа, удостоверяющего его личность, о дате выдачи указанного документа и выдавшем его органе. Компания получает согласие на обработку ПДн от клиентов на сайте в электронном виде в личном кабинете. При этом форма согласия на обработку ПДн клиента предусматривает поля: «ФИО»; «Название организации»; «ИНН»; «Электронная почта»; «Телефон». Представители организации, ответственные по договору, иногда указывают в согласии свой личный телефон и эл. адрес. В связи с этим вопрос:
Согласие на обработку ПДн, полученное на сайте с помощью электронной формы, тоже должно содержать поля: «номер основного документа, удостоверяющего личность»; «дата выдачи документа»; «орган, выдавший документ»?
В данной статье описано, что такие реквизиты должны быть проставлены в случае письменного согласия.
Также данная статья говорит о том, что «согласие может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».
На сайте данные реквизиты собирать не нужно.
Законом 152-ФЗ предусмотрено, что согласие на обработку персональных данных может быть на бумажном носителе или в форме электронного документа, подписанного ЭЦП. У нас на сайте есть форма для сбора ПДн. Лица, её заполняющие, отправляют её нам, не подписывая ЭЦП. На бумажных носителях мы согласия не собираем.
1. Будет ли в случае проверки РКН такая электронная форма, не подписанная ЭЦП, признаваться надлежащим образом полученным согласием на обработку персональных данных?
2. Обязательно ли на сайте в электронной форме согласия на обработку перс. данных указывать всю информацию о субъекте ПДн, включая паспортные данные (у нас их нет, так как многие не дают или указывают «левые данные»)?
Статья 9 152-ФЗ гласит, что «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.».
Таким образом, вы можете собирать согласие с помощью галочки у формы. Но необходимо предусмотреть, что отравить форму без этой галочки невозможно.
1. Нарушения не будет
2. Нет, не обязательно. Такое обязательство только для бумажных согласий
Субъект ПДн прислал письмо с отзывом об обработке согласия на обработку ПДн.
Что конкретно должен сделать Оператор в этом случае: помимо письма Субъекту ПДн о прекращении обработки перс. данных нужно ли уничтожать само согласие на обработку ПДн? У нас есть опасения, что в случае судебных разбирательств у нас не будет на руках нужных доказательств правомерности обработки ПДн.
Оператору необходимо уничтожить ПДн и направить ответ заявителю. Согласие на обработку персональных данных должно храниться ещё 3 года с даты уничтожения персональных данных.
При заполнении формы на сайте Роскомнадзора при смене адреса ООО необходимо указать какой класс СКЗИ используется. Где брать данные сведения средств шифрования?
Если вы используете средства шифрования, то вы знаете их классы и наименования.
Если вы используете электронные подписи, то это КриптоПро CSP и класс КС1.
Если вы защищаете ПДн при передаче между филиалами, то это может быть ViPNet Coordinator (класс уточняйте по лицензии и сертификату).
Если у вас есть устройства, которые называются СКЗИ, то наименование и класс можно посмотреть в инструкции и сертификате/формуляре на это устройство. Пример устройства: регистратор выбытия (для маркировки «Честный знак»)
Холдинг имеет сайт, на котором заключаются договоры купли-продажи продукции с физическими и юридическими лицами. Договоры заключаются от имени нескольких самостоятельных юридических лиц, входящих в структуру холдинга, но находящихся в других городах региона.
При заключении договора клиент на сайте заполняет согласие на обработку персональных данных, в котором в качестве Оператора может быть указана компания-продавец, которая не является владельцем сайта.
1. Можно ли предъявить при проверке РКН электронное согласие на обработку персональных данных, полученное на сайте другого юридического лица?
2. Какие условия обработки персональных данных должны быть указаны в таком согласии? В частности, нужно ли указывать, что ПДн получает Холдинг-владелец сайта, который передает ПДн другому юридическому лицу?
3. Как юридически оформить отношения между Холдингом, которому принадлежит сайт и компанией-продавцом, которая заключает договор и получает согласие на обработку персональных данных на сайте Холдинга?
1. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Например, в базе данных вам необходимо хранить сам факт согласия, дату и время согласия (нажатия на кнопку). В идеале можно ещё подписывать согласие простой подписью (то есть отсылкой SMS на номер телефона и записыванием кода на сайте). Тогда точно вопросов не будет.
2. Тут необходимо смотреть информационные потоки. Если данные сначала идут владельцу сайта, а потом другое юрлицо, то нужно давать согласие обоим юрлицам. Если это происходит напрямую как-то – то можно только согласие относительно другого юрлица. Но данные где-то хранятся на сайте или передаётся всё вручную, поэтому второй вариант практически нереален.
3. Смотря как у вас сейчас оформлены взаимоотношения. Договор, Оферта и т. д. В них необходимо прописать, что в рамках исполнения договора будут передаваться ПДн, и одна компания даёт обязательство на обработку ПДн другой компании. Либо заключить новое соглашение об этом.