In
einem unserer vorherigen Artikel , der sich mit der Vorbereitung von Inspektionen von Roskomnadzor zur Erfüllung der Anforderungen des Gesetzes „Über personenbezogene Daten“ befasste, haben wir darüber gesprochen, wie wichtig es ist, eine Benachrichtigung korrekt auszufüllen, über Fälle, in denen eine Benachrichtigung ausgefüllt werden muss, und dort versprochen, Ihnen mehr über das Ausfüllen zu erzählen jedes Benachrichtigungsfeld.
Es scheint, dass durch die Namen vieler Felder intuitiv klar sein sollte, was genau in sie geschrieben werden soll. Die Praxis zeigt jedoch, dass viele Betreiber personenbezogener Daten viele Fragen haben und einige beim Versuch, alle Felder auszufüllen, wirklich verblüfft sind.
Hier haben wir uns entschlossen, hier detaillierte Anweisungen zu schreiben, um unseren Kunden nicht oft dasselbe zu sagen und es immer allen zur Verfügung zu stellen.
Die Benachrichtigung des Betreibers personenbezogener Daten wird auf dem Portal personenbezogener Daten von Roskomnadzor ausgefüllt. Schauen wir uns nun jedes der Felder an.
Es sollte keine Probleme mit den ersten Positionen geben. Wir wählen die Gebietsverwaltung von Roskomnadzor aus, an die eine Benachrichtigung gesendet werden soll. Wählen Sie dann den Operatortyp aus. Wir führen den vollständigen und abgekürzten Namen des Betreibers gemäß den Gründungsdokumenten ein. Wir geben die tatsächliche und rechtliche Adresse der Organisation an. Wählen Sie die Region (en) aus, in der die Organisation tätig ist. Wir geben die Details der Organisation ein (nur TIN und PSRN sind obligatorisch, der Rest kann leer gelassen werden). Wenn die Organisation Niederlassungen hat, fügen wir Informationen über diese hinzu.
Hier scheint alles einfach und klar zu sein, aber bei den folgenden Feldern kann es bereits Fragen geben.
In der Spalte „Rechtsgrundlage für die Verarbeitung personenbezogener Daten“ können Sie alle behördlichen und internen Dokumente angeben, die in irgendeiner Weise mit der Verarbeitung personenbezogener Daten zusammenhängen können. Normalerweise beginnen sie mit 152- und dem Arbeitsgesetzbuch der Russischen Föderation, setzen die Gesetzgebung in Bezug auf den Tätigkeitsbereich der Organisation fort (wenn es sich beispielsweise um eine medizinische Einrichtung handelt, schreiben wir hier 323- „Über die Grundlagen des Gesundheitsschutzes der Bürger in der Russischen Föderation“ und andere Regulierungsgesetze wie das Bundesgesetz) und regionale Skala in Bezug auf das Gesundheitswesen) und enden mit der Charta des Unternehmens.
Die Spalte „Zweck der Verarbeitung personenbezogener Daten“ ist eine der heimtückischsten. Beim Ausfüllen dieses Feldes dürfen wir nicht vergessen, dass Artikel 5 Teil 2 des Bundesgesetzes „Über personenbezogene Daten“ besagt, dass die Verarbeitung personenbezogener Daten auf die Erreichung spezifischer, vorgegebener und legitimer Ziele beschränkt sein sollte. Die Verarbeitung personenbezogener Daten, die mit der Erhebung personenbezogener Daten nicht vereinbar sind, ist nicht gestattet.
Wir geben ein Beispiel dafür, wie Sie es nicht brauchen.
Einige Arbeitgeber, die Kandidaten für eine freie Stelle zu einem Vorstellungsgespräch einladen, bitten darum, einen Fragebogen auszufüllen, in dem sie unter anderem nach ihren Passdaten fragen. Aus Sicht von 152-FZ ist dies jedoch nicht legal. Da der Zweck der Verarbeitung personenbezogener Daten darin besteht, einen Kandidaten für eine freie Stelle auszuwählen und zu versuchen, eine plausible Begründung dafür zu finden, warum Passdaten benötigt werden. Berufserfahrung? Ja Bildungsinformationen? Ja Alter? Und hier riecht es schon nach Diskriminierung, aber wir werden Kinderarbeit nicht ausbeuten. Die Passdaten für die Personalauswahl werden jedoch nicht benötigt.
Nein, wir sind nicht so naiv und wir verstehen, dass der Arbeitgeber häufig die Passdetails eines Kandidaten benötigt, um den Kandidaten zu „durchbrechen“, beispielsweise bei Darlehen oder bei der Teilnahme an anderen unangenehmen Geschichten. Aber noch einmal - aus gesetzlicher Sicht ist dies nicht möglich.
Lassen Sie uns noch einmal das Feld „Zweck der Verarbeitung personenbezogener Daten“ ausfüllen. Hier müssen wir diese Ziele richtig und angemessen formulieren. Und passend zu was? Es entspricht der Liste der Kategorien personenbezogener Daten, die wir weiter ausfüllen werden. Wir möchten doch nicht, dass der ILV bereits vor der Überprüfung Gründe hat, aufgrund unserer Benachrichtigung ein Rezept auszustellen. Hier ziehen wir einen Teufelskreis - wir schreiben, dass wir die Passdaten von Antragstellern verarbeiten, für Verstöße gegen die Gesetzgebung zu personenbezogenen Daten bestraft werden, sagen, dass „Passdaten“ versehentlich gemeldet wurden, sie schreiben in das Verifizierungsprotokoll „unvollständige / ungenaue Informationen in die Benachrichtigung des Betreibers personenbezogener Daten ".
Wie Sie bereits verstanden haben, kann die Spalte „Zweck der Verarbeitung personenbezogener Daten“ für verschiedene Organisationen sehr unterschiedlich sein. Für die meisten kommerziellen Organisationen ist es jedoch richtig, „Bereitstellung von Personal und Buchhaltung, Auswahl von Personal für freie Stellen, Erbringung von Dienstleistungen [Liste der Dienstleistungen]“ zu schreiben.
Der nächste Abschnitt ist einer der schwierigsten und unverständlichsten. Roskomnadzor möchte, dass wir die Maßnahmen beschreiben, die in den Artikeln 18.1 und 19 des Gesetzes über personenbezogene Daten vorgesehen sind. Tatsächlich ist dieser Abschnitt einer der einfachsten. Wir nehmen einfach die Bestimmungen der angegebenen Artikel des Gesetzes und schreiben, dass all dies mit uns gemacht wurde. Wir haben es geschafft - richtig?
Ein Beispiel für das Ausfüllen des Feldes „Beschreibung der Maßnahmen gemäß Artikel 18.1 und 19 des Bundesgesetzes über personenbezogene Daten“Eine Person, die für die Organisation der Verarbeitung personenbezogener Daten verantwortlich ist, wurde ernannt. Dokumente, die die Richtlinien der Organisation zur Verarbeitung personenbezogener Daten festlegen und Verfahren zur Verhinderung und Aufdeckung von Gesetzesverstößen festlegen, wurden genehmigt. Zu diesen Dokumenten gehören insbesondere: ein Aktionsplan zur Gewährleistung der Sicherheit personenbezogener Daten in ISPDn „Rechnungswesen und Personal“; eine Liste der zu schützenden personenbezogenen Daten; Liste der Informationssysteme für personenbezogene Daten; Regelung zur Abgrenzung des Zugangs zu personenbezogenen Daten; eine Anordnung zur Genehmigung der Liste der Personen, die zur Verarbeitung personenbezogener Daten befugt sind; Verordnung über die Verarbeitung und den Schutz personenbezogener Daten; Richtlinien zur Verarbeitung personenbezogener Daten; Regeln für die Verarbeitung personenbezogener Daten ohne Automatisierung; eine Anordnung zur Genehmigung von Speicherorten für personenbezogene Daten und von Personen, die für die Wahrung der Vertraulichkeit personenbezogener Daten während ihrer Speicherung verantwortlich sind. Die Beseitigung der Folgen von Verstößen gegen die Rechtsvorschriften der Russischen Föderation erfolgt gemäß den geltenden Rechtsvorschriften der Russischen Föderation, gemäß den Bestimmungen über die Verarbeitung und den Schutz personenbezogener Daten sowie gemäß den Anweisungen an den Administrator für die Sicherheit personenbezogener Daten und gemäß dem Verfahren zur Sicherung und Wiederherstellung der Funktionalität von Hardware- und Software-Datenbanken Tools für Daten- und Informationssicherheit. Die interne Kontrolle der Übereinstimmung der Verarbeitung personenbezogener Daten mit den Rechtsvorschriften der Russischen Föderation in diesem Bereich erfolgt gemäß dem internen Auditplan, den Anweisungen des Sicherheitsadministrators und den Vorschriften zur Verarbeitung und zum Schutz personenbezogener Daten. Für das Informationssystem für personenbezogene Daten wurde ein Modell für Bedrohungen der Sicherheit personenbezogener Daten entwickelt, bei dem bei der Ermittlung der Gefahr von Bedrohungen eine Bewertung des Schadens vorgenommen wird, der den Betroffenen personenbezogener Daten bei Verstößen gegen das Gesetz entstehen kann. Die Website www.example.ru hat eine Richtlinie zur Verarbeitung personenbezogener Daten veröffentlicht. Für das Informationssystem für personenbezogene Daten wurde eine technische Aufgabe zur Schaffung eines Informationssicherheitssystems und eines vorläufigen Entwurfs für ein Informationssicherheitssystem entwickelt, das die Umsetzung gesetzlich festgelegter Maßnahmen für das Informationssystem der dritten Sicherheitsstufe sowie Maßnahmen zur Neutralisierung von Bedrohungen vorsieht, die im Sicherheitsbedrohungsmodell als relevant identifiziert wurden. Der Entwurfsentwurf ist vollständig umgesetzt, was auf die Umsetzung gesetzlich festgelegter Maßnahmen und die Neutralisierung aktueller Sicherheitsbedrohungen im Informationssystem für personenbezogene Daten hinweist. Die Wirksamkeit der Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten wurde bewertet. Die Bilanzierung von Maschinenmedien erfolgt im entsprechenden Journal. Die Erkennung des unbefugten Zugriffs auf personenbezogene Daten und die Annahme von Maßnahmen erfolgt mit den gemäß den Anweisungen des Sicherheitsadministrators verwendeten Informationsschutz-Tools. Die Regeln für den Zugriff auf personenbezogene Daten sind in der jeweiligen Bestimmung genehmigt und werden mithilfe von Informationssicherheitstools technisch umgesetzt. Mitarbeiter, die zur Verarbeitung personenbezogener Daten zugelassen sind, werden über die Informationssicherheit informiert, unterzeichnen eine Vereinbarung über die Geheimhaltung personenbezogener Daten und werden mit Dokumenten zum Schutz personenbezogener Daten vor Unterschrift vertraut gemacht. Die Informationen zur Gewährleistung der Sicherheit personenbezogener Daten enthalten die Liste der in ISPDn verwendeten Informationsschutz-Tools. Glücklicherweise werden diese Informationen im Gegensatz zu anderen Feldern nicht für alle Ankömmlinge öffentlich zugänglich gemacht, sodass Sie alle tatsächlich verwendeten SZI angeben können.
Das Datum des Beginns der PD-Verarbeitung fällt normalerweise mit dem Gründungsdatum des Unternehmens zusammen (Registrierung).
Im nächsten Absatz wird normalerweise "Die Beendigung der Verarbeitung von PD" und als Bedingung "Beendigung der Organisation" ausgewählt.
Aktivieren Sie im Abschnitt "Kategorien personenbezogener Daten" zunächst die Kategorien, die von Kontrollkästchen verarbeitet werden, und geben Sie dann im Feld "Andere Kategorien personenbezogener Daten, die nicht in dieser Liste aufgeführt sind" die PDNs an, die nicht in der Liste enthalten sind. Dies ist beispielsweise für verschiedene Kategorien von Themen besser. „Andere Kategorien von Arbeitstagen für Arbeitnehmer: [Liste der Arbeitstage für Arbeitnehmer]. Andere Kategorien von Kundendaten: [Liste der Kundendaten] “.
Im Abschnitt „Kategorien von Personen, deren personenbezogene Daten verarbeitet werden“ geben wir die Liste der Kategorien von Personen an, deren Daten wir gespeichert oder verarbeitet haben, zum Beispiel: „Mitarbeiter, Arbeitssuchende für freie Stellen, Auftragnehmer, Kunden“. Bitte beachten Sie, dass im Feldnamen eine Erklärung hinzugefügt wird, aus der hervorgeht, in welchem Fall die Informationen angegeben werden sollen.
Im Feld „Liste der Aktionen mit personenbezogenen Daten“ ist es am einfachsten, die Definition der PD-Verarbeitung aus 152-FZ zu zitieren: „Sammlung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Extraktion, Verwendung, Übertragung (Verteilung, Bereitstellung, Zugriff) , Depersonalisierung, Blockierung, Entfernung, Zerstörung. " Natürlich sollten Aktionen, die für Ihre Organisation nicht relevant sind (z. B. Depersonalisierung), aus dieser Liste entfernt werden. Und vergessen Sie den Fall nicht.
Als nächstes geben wir die Methode zur Verarbeitung personenbezogener Daten an, in der Regel „gemischt mit der Übertragung über das interne Netzwerk einer juristischen Person, mit der Übertragung über das Internet“.
Dann wollen sie von uns wissen, ob wir personenbezogene Daten ins Ausland übertragen. Wenn nicht, erklären Sie keine grenzüberschreitende Überweisung. In diesem Fall müssen Sie auch alle Länder angeben, in die die Daten übertragen werden.
Und der letzte in diesem Block ist die Verwendung von Kryptographie. Wenn es nicht verwendet wird, fahren Sie fort. Wenn wir dies bejahen, werden wir gebeten, die Namen solcher Mittel und ihre Klasse zu schreiben. Alle diese Daten finden Sie in der Dokumentation zur Kryptoeinrichtung. Wir werden hier nur sagen, dass die Kryptofonds der Klassen KV und KA normalerweise für Staatsgeheimnisse verwendet werden und die Staatsgeheimnisse 152- nicht reguliert sind. Daher müssen Sie bei normalen ISPDs meistens aus drei Optionen der verwendeten Kryptoeinrichtung wählen - KS1, KS2 oder KS3. Wenn verschiedene Krankenhauseinrichtungen verschiedener Klassen verwendet werden, können Sie auf dem Formular alle erforderlichen Informationen angeben.
Der nächste Abschnitt des Formulars erschien am 1. September 2015. Jeder, der eine Benachrichtigung schon lange ausfüllt, muss Änderungen daran vornehmen und diese mit Daten im Rechenzentrum ergänzen. Ja, wundern Sie sich nicht, die lokale 1C-Accountancy-Datenbank, die auf dem Computer des Hauptbuchhalters bereitgestellt wird, ist auch im Verständnis des Rechenzentrums Roskomnadzor ...
Wir wählen das Land aus, in dem sich unser "Rechenzentrum" befindet, und geben dessen Adresse an. Ferner muss angegeben werden, ob der „DPC“ unser Eigentum ist oder nicht, und wenn nicht, geben Sie die Informationen des Eigentümers der Website an. Wenn Sie mehrere ISPDs haben, müssen die Daten des Rechenzentrums für jede separat angegeben werden. Auch wenn es sich um einen einzelnen Server handelt.
Füllen Sie anschließend die Daten der Person aus, die für die Organisation der Verarbeitung personenbezogener Daten im Unternehmen verantwortlich ist.
WICHTIG! Der Name der verantwortlichen Person, ihre Kontakttelefonnummer und seine E-Mail-Adresse stehen allen Personen im Register der PD-Betreiber zur Verfügung. Denken Sie daran und natürlich ist es besser, die ernannte Person darüber zu warnen.
Ganz am Ende geben wir die Daten des Auftragnehmers an. Auftragnehmer, dies ist die Person, die diese Mitteilung ausfüllt. Dies ist möglicherweise keine verantwortliche Person, sondern eine völlig andere Person. Wie wir sehen, sind diese Felder jedoch auch optional. Wenn Sie den Auftragnehmer nicht angeben, werden sie anscheinend automatisch verantwortlich.
Dann kreuzen wir "Ich stimme in allem zu" an, geben das Captcha ein und drücken den großen Knopf "Elektronische Benachrichtigung senden und das Formular für den Druck vorbereiten". Anschließend muss das Formular gedruckt, unterschrieben, mit der Organisation abgestempelt (falls vorhanden) und per analoger Post an die Abteilung von Roskomnadzor gesendet werden. Nach einer Weile werden Ihre Daten in die Registrierung eingegeben.