En
uno de nuestros artículos anteriores , que se dedicó a la preparación de las inspecciones de Roskomnadzor para cumplir con los requisitos de la ley "Sobre datos personales", hablamos sobre la importancia de completar correctamente una notificación, sobre los casos en que se debe completar una notificación y allí prometimos brindarle más información sobre cómo completarla cada campo de notificación
Parecería que, por los nombres de muchos campos, debería quedar intuitivamente claro qué escribir exactamente en ellos. Pero la práctica muestra que muchos operadores de datos personales tienen muchas preguntas, y algunas caen en un verdadero estupor cuando intentan completar todos los campos.
Aquí decidimos escribir instrucciones detalladas aquí para no decirles lo mismo a nuestros clientes muchas veces, así como para que siempre esté disponible para todos.
La notificación del operador de datos personales se completa en el portal de datos personales de Roskomnadzor. Ahora veamos cada uno de los campos.
No debería haber ningún problema con las primeras posiciones. Seleccionamos la administración territorial de Roskomnadzor, a la que se debe enviar una notificación. Luego seleccione el tipo de operador. Introducimos el nombre completo y abreviado del operador de acuerdo con los documentos constitutivos. Indicamos la dirección real y legal de la organización. Elija la región (o regiones) en las que opera la organización. Completamos los detalles de la organización (solo TIN y PSRN son obligatorios, el resto se puede dejar en blanco). Si la organización tiene sucursales, agregamos información sobre ellas.
Todo parece ser simple y claro aquí, pero con los siguientes campos ya puede haber preguntas.
En la columna "Base legal para el procesamiento de datos personales", puede especificar todos los documentos reglamentarios e internos que pueden estar relacionados de alguna manera con el procesamiento de datos personales. Por lo general, comienzan con 152- y el Código del Trabajo de la Federación de Rusia, continúan con la legislación relacionada con el ámbito de actividad de la organización (por ejemplo, si se trata de una institución médica, entonces escribimos aquí 323-“ "Sobre los principios básicos para proteger la salud de los ciudadanos en la Federación de Rusia" y otras leyes reguladoras, como las federales y escala regional relacionada con el cuidado de la salud) y termina con el estatuto de la empresa.
La columna "Propósito del procesamiento de datos personales" es una de las más insidiosas. Al completar este campo, no debemos olvidar que la Parte 2 del Artículo 5 de la Ley Federal "sobre datos personales" nos dice que el procesamiento de datos personales debe limitarse a lograr objetivos específicos, predeterminados y legítimos. No se permite el procesamiento de datos personales que sea incompatible con los fines de recopilación de datos personales.
Le damos un ejemplo de cómo no necesita hacerlo.
Algunos empleadores, que invitan a candidatos para un puesto vacante para una entrevista, solicitan completar un cuestionario en el que, entre otras cosas, solicitan los detalles de su pasaporte. Sin embargo, desde el punto de vista de 152-FZ esto no es legal. Dado que el propósito del procesamiento de datos personales es seleccionar un candidato para un puesto vacante y tratar de llegar a una justificación plausible de por qué se necesitan los datos del pasaporte. Experiencia laboral? Si Información educativa? Si Edad? Y aquí ya huele a discriminación, pero no vamos a explotar el trabajo infantil. Pero los datos del pasaporte para la selección de personal no son necesarios.
No, no somos tan ingenuos y entendemos que a menudo el empleador necesita los detalles del pasaporte de un candidato para "atravesar" al candidato, por ejemplo, con préstamos o participando en otras historias desagradables. Pero una vez más, desde el punto de vista de la ley, esto no se puede hacer.
Volvamos a completar el campo "Propósito del procesamiento de datos personales". Aquí debemos formular estos objetivos de manera correcta y adecuada. ¿Y adecuado para qué? Es adecuado para la lista de categorías de datos personales que completaremos más adelante. Después de todo, ¿no queremos que el ILV tenga razones para emitir una receta sobre la base de nuestra notificación ya antes de la verificación? Aquí dibujamos un círculo vicioso: escribimos que procesamos los datos del pasaporte de los solicitantes, seremos castigados por violar la legislación sobre datos personales, decimos que los "datos del pasaporte" se notificaron accidentalmente, escribirán en el protocolo de verificación "información incompleta / inexacta en la notificación del operador de datos personales ".
Como ya entendió, la columna "Propósito del procesamiento de datos personales" para diferentes organizaciones puede variar enormemente, pero para la mayoría de las organizaciones comerciales será correcto escribir "Provisión de personal y contabilidad, selección de personal para puestos vacantes, prestación de servicios [lista de servicios]".
La siguiente sección es una de las más difíciles e incomprensibles. Roskomnadzor quiere que describamos las medidas adoptadas, previstas en los artículos 18.1 y 19 de la Ley de datos personales. Pero, de hecho, esta sección es una de las más simples, simplemente tomamos las disposiciones de los artículos de la ley indicados y escribimos que todo esto se ha hecho con nosotros. Lo hemos hecho, ¿verdad?
Un ejemplo de completar el campo "Descripción de las medidas previstas en los artículos 18.1 y 19 de la Ley Federal" sobre datos personales "Se ha designado a una persona responsable de organizar el procesamiento de datos personales. Se han aprobado documentos que determinan la política de la organización con respecto al procesamiento de datos personales y establecen procedimientos destinados a prevenir y detectar violaciones de la ley. Dichos documentos en particular incluyen: un plan de acción para garantizar la seguridad de los datos personales en ISPDn "Contabilidad y personal"; una lista de datos personales a proteger; lista de sistemas de información de datos personales; regulación sobre la delimitación del acceso a datos personales; una orden que aprueba la lista de personas autorizadas para procesar datos personales; Regulación sobre el procesamiento y protección de datos personales; política sobre el procesamiento de datos personales; reglas para procesar datos personales sin el uso de automatización; Una orden de aprobación de lugares de almacenamiento de datos personales y personas responsables de mantener la confidencialidad de los datos personales durante su almacenamiento. La eliminación de las consecuencias de las violaciones de la legislación de la Federación de Rusia se lleva a cabo de conformidad con la legislación vigente de la Federación de Rusia, de conformidad con el reglamento sobre el procesamiento y la protección de datos personales, así como de acuerdo con las instrucciones para el administrador de la seguridad de los datos personales y de acuerdo con el procedimiento para respaldar y restaurar la capacidad de trabajo de hardware y software, bases de datos herramientas de seguridad de datos e información. El control interno del cumplimiento del procesamiento de datos personales con la legislación de la Federación de Rusia en esta área se lleva a cabo de acuerdo con el plan de auditoría interna, las instrucciones del administrador de seguridad y la regulación sobre el procesamiento y protección de datos personales. Para el sistema de información de datos personales, se ha desarrollado un modelo de amenazas a la seguridad de los datos personales, en el cual, al determinar el peligro de amenazas, se evalúa el daño que puede causar a los sujetos de los datos personales en caso de violación de la ley. El sitio web www.example.ru ha publicado una política sobre el procesamiento de datos personales. Para el sistema de información de datos personales, se ha desarrollado una tarea técnica para crear un sistema de seguridad de la información y un diseño preliminar para un sistema de seguridad de la información que prevea la implementación de medidas definidas por ley para el sistema de información del tercer nivel de seguridad, así como medidas destinadas a neutralizar las amenazas identificadas como relevantes en el modelo de amenaza de seguridad. El diseño preliminar se implementa completamente, lo que indica la implementación de medidas definidas por la ley y la neutralización de las amenazas de seguridad actuales en el sistema de información de datos personales. Se ha evaluado la efectividad de las medidas tomadas para garantizar la seguridad de los datos personales. La contabilidad de los medios de la máquina se realiza en el diario apropiado. La detección de acceso no autorizado a datos personales y la adopción de medidas se llevan a cabo utilizando las herramientas de protección de información utilizadas de acuerdo con las instrucciones del administrador de seguridad. Las reglas para el acceso a los datos personales se aprueban en la disposición correspondiente y se implementan técnicamente utilizando herramientas de seguridad de la información. Los empleados admitidos al procesamiento de datos personales reciben información sobre la seguridad de la información, firman un acuerdo sobre la no divulgación de datos personales, están familiarizados con los documentos para proteger los datos personales contra la firma. La información para garantizar la seguridad de los datos personales indica la lista de herramientas de protección de información utilizadas en ISPDn. Afortunadamente, esta información no se publica en el dominio público para todos los interesados, a diferencia de otros campos, por lo que puede especificar todos los SZI realmente utilizados.
La fecha de inicio del procesamiento de PD generalmente coincide con la fecha de fundación de la empresa (registro).
El siguiente párrafo generalmente selecciona "La terminación del procesamiento de PD" y como la condición indica "La terminación de la organización".
En la sección "Categorías de datos personales", primero verifique las categorías que se procesan mediante casillas de verificación, y luego en el campo "Otras categorías de datos personales que no figuran en esta lista" indique las PDN que no están en la lista, y es mejor hacerlo por separado para diferentes categorías de temas, por ejemplo: “Otras categorías de días laborales para trabajadores: [lista de días laborales para trabajadores]. Otras categorías de datos del cliente: [lista de datos del cliente] ”.
En la sección "Categorías de sujetos cuyos datos personales se procesan", indicamos la lista de categorías de personas cuyos datos hemos almacenado o procesado, por ejemplo: "Empleados, solicitantes de empleo para puestos vacantes, contratistas, clientes". Tenga en cuenta que se agrega una explicación en el nombre del campo que indica en qué caso se debe indicar la información.
En el campo "Lista de acciones con datos personales" es más fácil citar la definición de procesamiento de PD de 152-FZ: "recopilación, registro, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), extracción, uso, transferencia (distribución, provisión, acceso) , despersonalización, bloqueo, eliminación, destrucción ". Naturalmente, las acciones que no son relevantes para su organización (por ejemplo, despersonalización) deben eliminarse de esta lista. Y no te olvides del caso.
A continuación, indicamos el método para procesar datos personales, generalmente es "mixto, con transmisión a través de la red interna de una entidad jurídica, con transmisión a través de Internet".
Luego quieren saber de nosotros si transferimos datos personales al extranjero. De lo contrario, declare que no hay transferencia transfronteriza. Si es así, también deberá indicar todos los países a los que se transmiten los datos.
Y el último en este bloque es el uso de la criptografía. Si no se usa, continúe. Si respondemos afirmativamente, se nos pedirá que escribamos los nombres de tales remedios y su clase. Todos estos datos se pueden encontrar en la documentación de la instalación de cifrado. Solo diremos aquí que los fondos criptográficos de las clases KV y KA generalmente se usan para secretos de estado, y los secretos de estado 152- no están regulados, por lo tanto, en los ISPD ordinarios, a menudo tiene que elegir entre 3 opciones de la instalación de criptografía utilizada: KC1, KC2 o KC3. Si se utilizan diferentes instalaciones hospitalarias de diferentes clases, el formulario le permite especificar toda la información necesaria.
La siguiente sección del formulario apareció el 1 de septiembre de 2015. Cualquier persona que haya estado completando una notificación durante mucho tiempo debe hacer cambios y complementarla con datos en el centro de datos. Sí, no se sorprenda, la base de datos local de Cuentas 1C implementada en la computadora del contador principal también comprende el centro de datos de Roskomnadzor ...
Seleccionamos el país en el que se encuentra nuestro "centro de datos" e indicamos su dirección. Además, es necesario indicar si el "DPC" es de nuestra propiedad o no, y si no, indicar la información del propietario del sitio. Si tiene varios ISPD, los datos del centro de datos deben especificarse para cada uno por separado. Incluso si estamos hablando de un solo servidor.
Luego, complete los datos de la persona que fue designada responsable de organizar el procesamiento de datos personales en la empresa.
¡IMPORTANTE! El nombre de la persona responsable, su número de teléfono de contacto y su correo electrónico estarán disponibles para todos en el registro de operadores de DP. Tenga esto en cuenta y, por supuesto, es mejor advertir a la persona designada sobre esto.
Al final indicamos los datos del contratista. Contratista, esta es la persona que completa este aviso. Puede que no sea una persona responsable, sino una persona completamente diferente. Pero, como vemos, estos campos también son opcionales, por lo tanto, aparentemente, si no especifica el contratista, se convertirán automáticamente en responsables.
Luego marcamos “Estoy de acuerdo con todo”, ingresamos el captcha y presionamos el botón grande “Enviar notificación electrónica y preparar el formulario para imprimir”. Luego, el formulario debe imprimirse, firmarse, sellarse con la organización (si corresponde) y enviarse por correo análogo a su departamento de Roskomnadzor. Después de un tiempo, sus datos serán ingresados en el registro.