Комментарии 17
Кто нибудь может подсказать, что в России является персональными данными? Есть какой то документ, который со 100% уверенностью трактует это понятие и содержимое этих самых «персональных данных»? Как мне кажется ни одно из ведомств нашего государства пока что не хочет брать на себя ответственность заявляеть что ПД это *однозначная формулировка1* и *однозначная формулировка2*
Нет такого документа, я не буду повторяться, лучше оставлю ссылку на свой же комментарий.
Если коротко, то в РКН целую рабочую группу якобы собирали для определения матрицы ПДн, но так и не определили что считать перс данными, а что нет. Пишут, что размытое определение — благо для всех участвующих сторон (субъект перс данных/оператор/регулятор), но пока явно видно что это благо только сами знаете для кого.
Если коротко, то в РКН целую рабочую группу якобы собирали для определения матрицы ПДн, но так и не определили что считать перс данными, а что нет. Пишут, что размытое определение — благо для всех участвующих сторон (субъект перс данных/оператор/регулятор), но пока явно видно что это благо только сами знаете для кого.
Кроме того не совсем ясно с автоматической обработкой ПД. Ибо есть документ который заявляет, что использование ПК не дает права называть обработку ПД на нём автоматической.
Речь скорее всего идет о постановлении правительства №687, там действительно написано
Однако уже после утверждения этого ПП в 152-ФЗ добавили определение:
Поскольку ФЗ выше в законодательной иерархии, чем ПП, то на то что написано в ПП можно не обращать внимания, если оно противоречит ФЗ, так что в этом плане сейчас все нормально.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Однако уже после утверждения этого ПП в 152-ФЗ добавили определение:
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Поскольку ФЗ выше в законодательной иерархии, чем ПП, то на то что написано в ПП можно не обращать внимания, если оно противоречит ФЗ, так что в этом плане сейчас все нормально.
Это ведомство (тут эмоции уменьшены на 50 дБ) в лучшем случае не сильно вредит.
Из практики: приходят на серьёзный завод (не хочу называть имён и ИНН, в личку) двое проверялок из РКН. И задают вопрос — как обеспечивается соблюдение 152 в случае отзыва разрешения на обработку этих самых персональных данных. Как обрабатываются архивные копии данных в этом случае?
Напряглись коллеги. Чистить все бекапы — грубое нарушение в части ИБ, не чистить — ПДн.
Но. Сделав лицо прямоугольным, объясняю всем участникам совещания. Что у нас такая хорошая инфраструктура (вообще-то километровая сетка на D-Link), такие опытные пользователи (душить и плакать) и админы (толковые, но задёрганные), что мы
не
используем
архивных
копий.
И таким образом соблюдаем закон Российской Федерации о защите персональных данных.
Проверялки удивились — это, говорят, всегда был сложный вопрос. А вы вот так. Как Александр с узлом…
Это было сложно. Не рассмеяться на совещании.
Из практики: приходят на серьёзный завод (не хочу называть имён и ИНН, в личку) двое проверялок из РКН. И задают вопрос — как обеспечивается соблюдение 152 в случае отзыва разрешения на обработку этих самых персональных данных. Как обрабатываются архивные копии данных в этом случае?
Напряглись коллеги. Чистить все бекапы — грубое нарушение в части ИБ, не чистить — ПДн.
Но. Сделав лицо прямоугольным, объясняю всем участникам совещания. Что у нас такая хорошая инфраструктура (вообще-то километровая сетка на D-Link), такие опытные пользователи (душить и плакать) и админы (толковые, но задёрганные), что мы
не
используем
архивных
копий.
И таким образом соблюдаем закон Российской Федерации о защите персональных данных.
Проверялки удивились — это, говорят, всегда был сложный вопрос. А вы вот так. Как Александр с узлом…
Это было сложно. Не рассмеяться на совещании.
Вот такой вопрос. Инструктаж по ИБ проводится один раз или (как при ГТ) надо его ежегодно проводить?
Периодичность инструктажей законодательно не установлено, поэтому можно делать как угодно. У нас в комплекте документации есть план мероприятий по ИБ, там есть пункт что-то вроде «информирование пользователей о новых угрозах безопасности», то есть если например прочитали про новый способ распространения малвари по электронной почте — проводим инструктаж. Но это не догма и по сути каждый оператор может делать по-своему. Главное прописать порядок инструктажей во внутренних документах.
Хочется пояснения по ситуации с зарплатным проектом.
У компании с банком по-любому есть договор, в рамках которого данные и передаются. Если компания возмет с сотрудников разрешение на передачу данных этому самому банку то, как я понимаю, такая цепочка должна попадать под исключение из операторов ПД. Но в статье это почему то не так — почему?
У компании с банком по-любому есть договор, в рамках которого данные и передаются. Если компания возмет с сотрудников разрешение на передачу данных этому самому банку то, как я понимаю, такая цепочка должна попадать под исключение из операторов ПД. Но в статье это почему то не так — почему?
Может быть потому, что передача данных это лишь подмножество обработки ПД, не могущая существовать отдельно от обработки сама по себе.
Тут главное не путать исключения.
Есть исключения когда можно обрабатывать ПДн без письменного согласия.
Есть исключения когда можно не подавать уведомление оператора в РКН.
В описанной ситуации берем согласие с субъекта в любом случае. А в РКН уведомление подавать все равно нужно, потому что:
Передача данных в банк не описана в трудовом законодательстве, поэтому это исключение не работает. Хотя я давно не проверял, может что-то уже добавили в трудовой кодекс?
Есть исключения когда можно обрабатывать ПДн без письменного согласия.
Есть исключения когда можно не подавать уведомление оператора в РКН.
В описанной ситуации берем согласие с субъекта в любом случае. А в РКН уведомление подавать все равно нужно, потому что:
Статья 22 152-ФЗ:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
Передача данных в банк не описана в трудовом законодательстве, поэтому это исключение не работает. Хотя я давно не проверял, может что-то уже добавили в трудовой кодекс?
Я про исключения перечисленные вслед за вот этими словами: «выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор.»
А конкретно вот про этот:
Для голоса разума тут ответ очевиден. Для продавцов «решений», как не попадающее под кальку, я так понимаю тоже, хотя и противоположен предыдущему :)
А конкретно вот про этот:
уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;Понятно что сотрудники не клиенты, но договорные отношения с ними есть. И вот если сотрудники согласны на передачу своих ПДн третьему лицу (банку), то надо ли подавать уведомление?
Для голоса разума тут ответ очевиден. Для продавцов «решений», как не попадающее под кальку, я так понимаю тоже, хотя и противоположен предыдущему :)
Мы в этом вопросе больше опираемся на опыт проверок. Пока что мнение РКН — да, надо подавать уведомление в таком случае. Опять же, если историю с зарплатными проектами как-то пропишут в ТК, то уже явно по закону оператор будет попадать под исключения.
Абсолютно не хочу спорить ни с Вами, ни, тем более с РКН, но позволю заметить следующее.
Статья 136 ТК РФ прямо указывает, что зарплата перечисляется за счет любой кредитной организации, указанный работником в заявлении, кроме того, такую организацию можно менять. На основании этого, можно считать: 1. такое понятие как «зарплатный проект» может утратить актуальность. 2. налицо обработка ПД в связи с трудовым законодательством.
Статья 136 ТК РФ прямо указывает, что зарплата перечисляется за счет любой кредитной организации, указанный работником в заявлении, кроме того, такую организацию можно менять. На основании этого, можно считать: 1. такое понятие как «зарплатный проект» может утратить актуальность. 2. налицо обработка ПД в связи с трудовым законодательством.
Заработная плата выплачивается работнику, как правило, в месте выполнения им работы либо переводится в кредитную организацию, указанную в заявлении работника, на условиях, определенных коллективным договором или трудовым договором.
Да, уже лучше, чем ничего, но опять много условий — должно быть заявление работника, условия должны быть определены в коллективном договоре или в трудовом. Если этого нет, опять беда.
Поскольку мы работаем в разных регионах, то по таким спорным вопросам всегда советуем позвонить в местное управление РКН и уточнить их мнение, хотя лучше сделать запрос официальным письмом.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как подготовиться к проверке РКН по персональным данным: полное руководство