Dans l'
un de nos articles précédents , consacré à la préparation des inspections de Roskomnadzor pour satisfaire aux exigences de la loi «sur les données personnelles», nous avons parlé de l'importance de remplir correctement une notification, des cas où une notification doit être remplie et là, nous avons promis de vous en dire plus sur la façon de remplir chaque champ de notification.
Il semblerait que par les noms de nombreux domaines, il devrait être intuitivement clair quoi exactement y écrire. Mais la pratique montre que de nombreux opérateurs de données personnelles ont beaucoup de questions, et certains tombent dans une véritable stupeur lorsqu'ils essaient de remplir tous les champs.
Ici, nous avons décidé d'écrire des instructions détaillées ici afin de ne pas dire la même chose à nos clients plusieurs fois, ainsi que de la rendre toujours disponible pour tout le monde.
La notification de l'opérateur de données personnelles est remplie sur le portail de données personnelles de Roskomnadzor. Examinons maintenant chacun des champs.
Il ne devrait pas y avoir de problèmes avec les premières positions. Nous sélectionnons l'administration territoriale de Roskomnadzor, à laquelle une notification doit être envoyée. Sélectionnez ensuite le type d'opérateur. Nous introduisons le nom complet et abrégé de l'opérateur conformément aux documents constitutifs. Nous indiquons l'adresse réelle et légale de l'organisation. Choisissez la ou les régions dans lesquelles l'organisation opère. Nous remplissons les détails de l'organisation (seuls TIN et PSRN sont obligatoires, le reste peut être laissé en blanc). Si l'organisation a des succursales, nous ajoutons des informations à leur sujet.
Tout semble simple et clair ici, mais avec les champs suivants, il peut déjà y avoir des questions.
Dans la colonne «Base juridique du traitement des données personnelles», vous pouvez spécifier tous les documents réglementaires et internes qui peuvent d'une manière ou d'une autre être liés au traitement des données personnelles. Habituellement, ils commencent par 152- et le Code du travail de la Fédération de Russie, continuent avec la législation liée au domaine d'activité de l'organisation (par exemple, s'il s'agit d'une institution médicale, nous écrivons ici 323- «Sur les bases de la protection de la santé des citoyens dans la Fédération de Russie» et d'autres actes réglementaires, comme le gouvernement fédéral) et échelle régionale liée à la santé) et se terminent par la charte de l'entreprise.
La colonne «Finalité du traitement des données personnelles» est l'une des plus insidieuses. En remplissant ce champ, nous ne devons pas oublier que la partie 2 de l'article 5 de la loi fédérale sur les données personnelles nous dit que le traitement des données personnelles doit être limité à la réalisation d'objectifs spécifiques, prédéterminés et légitimes. Le traitement de données personnelles incompatible avec les finalités de la collecte de données personnelles n'est pas autorisé.
Nous donnons un exemple de la façon dont vous n'en avez pas besoin.
Certains employeurs, invitant des candidats à un poste vacant pour une entrevue, demandent à remplir un questionnaire dans lequel, entre autres, ils demandent leurs détails de passeport. Cependant, du point de vue du 152-FZ, ce n'est pas légal. Étant donné que le but du traitement des données personnelles est de sélectionner un candidat pour un poste vacant et d'essayer de trouver une justification plausible pour laquelle les données de passeport sont nécessaires. Expérience de travail? Oui Information sur l'éducation? Oui L'âge? Et ici, cela sent déjà la discrimination, mais nous n'allons pas exploiter le travail des enfants. Mais les données de passeport pour la sélection du personnel ne sont pas nécessaires.
Non, nous ne sommes pas si naïfs et comprenons que souvent les détails du passeport d'un candidat sont nécessaires à l'employeur afin de «percer» le candidat, par exemple, pour des prêts ou pour participer à d'autres histoires désagréables. Mais encore une fois - du point de vue de la loi, cela ne peut pas être fait.
Revenons au remplissage du champ «Finalité du traitement des données personnelles». Ici, nous devons formuler correctement et adéquatement ces objectifs. Et adéquat à quoi? Elle est adaptée à la liste des catégories de données personnelles que nous compléterons ultérieurement. Après tout, nous ne voulons pas que l'ILV ait des raisons d'émettre une ordonnance sur la base de notre notification déjà avant la vérification? Ici, nous dessinons un cercle vicieux - nous écrivons que nous traitons les données de passeport des demandeurs, seront punis pour avoir violé la législation sur les données personnelles, disons que "les données de passeport" ont été accidentellement notifiées, ils écriront dans le protocole de vérification "des informations incomplètes / inexactes dans la notification de l'opérateur de données personnelles ".
Comme vous l'avez déjà compris, la colonne «Finalité du traitement des données personnelles» pour différentes organisations peut varier considérablement, mais pour la plupart des organisations commerciales, il sera correct d'écrire «Fourniture de personnel et comptabilité, sélection de personnel pour les postes vacants, prestation de services [liste de services]».
La section suivante est l'une des plus difficiles et incompréhensibles. Roskomnadzor souhaite que nous décrivions les mesures prises, prévues aux articles 18.1 et 19 de la loi sur les données personnelles. Mais en fait, cette section est l'une des plus simples, nous prenons simplement les dispositions des articles de loi indiqués et écrivons que tout cela a été fait avec nous. Nous l'avons fait - non?
Exemple de remplissage du champ «Description des mesures prévues aux articles 18.1 et 19 de la loi fédérale sur les données personnelles»Une personne chargée d'organiser le traitement des données personnelles a été désignée. Des documents qui déterminent la politique de l'organisation concernant le traitement des données personnelles et établissent des procédures visant à prévenir et détecter les violations de la loi ont été approuvés. Ces documents comprennent notamment: un plan d'action pour assurer la sécurité des données personnelles dans l'ISPDn «Comptabilité et personnel»; une liste des données personnelles à protéger; liste des systèmes d'information sur les données personnelles; règlement sur la délimitation de l'accès aux données personnelles; une ordonnance approuvant la liste des personnes autorisées à traiter les données personnelles; Règlement sur le traitement et la protection des données personnelles; politique concernant le traitement des données personnelles; les règles de traitement des données personnelles sans recours à l'automatisation; une ordonnance d'agrément des lieux de stockage des données personnelles et des personnes chargées du maintien de la confidentialité des données personnelles lors de leur stockage. L'élimination des conséquences des violations de la législation de la Fédération de Russie est effectuée conformément à la législation actuelle de la Fédération de Russie, conformément au règlement sur le traitement et la protection des données personnelles, ainsi que conformément aux instructions à l'administrateur de la sécurité des données personnelles et conformément à la procédure de sauvegarde et de restauration de la capacité de travail du matériel et des logiciels, des bases de données outils de sécurité des données et de l'information. Le contrôle interne de la conformité du traitement des données personnelles avec la législation de la Fédération de Russie dans ce domaine est effectué conformément au plan d'audit interne, aux instructions de l'administrateur de la sécurité et au règlement sur le traitement et la protection des données personnelles. Pour le système d'information sur les données personnelles, un modèle de menaces à la sécurité des données personnelles a été développé, dans lequel lors de la détermination du danger des menaces, une évaluation est faite du préjudice qui peut être causé aux sujets de données personnelles en cas de violation de la loi. Le site Internet www.example.ru a publié une politique concernant le traitement des données personnelles. Pour le système d'information sur les données personnelles, une tâche technique a été élaborée pour la création d'un système de sécurité de l'information et un projet de conception d'un système de sécurité de l'information qui prévoit la mise en œuvre de mesures définies par la loi pour le système d'information du troisième niveau de sécurité, ainsi que des mesures visant à neutraliser les menaces identifiées comme pertinentes dans le modèle de menace pour la sécurité. Le projet de conception est pleinement mis en œuvre, ce qui indique la mise en œuvre de mesures définies par la loi et la neutralisation des menaces de sécurité actuelles dans le système d'information sur les données personnelles. L'efficacité des mesures prises pour garantir la sécurité des données personnelles a été évaluée. La comptabilité des supports de machine est effectuée dans le journal approprié. La détection des accès non autorisés aux données personnelles et l'adoption de mesures sont effectuées à l'aide des outils de protection des informations utilisés conformément aux instructions de l'administrateur de la sécurité. Les règles d'accès aux données personnelles sont approuvées dans la disposition correspondante et sont mises en œuvre techniquement à l'aide d'outils de sécurité des informations. Les employés admis au traitement des données personnelles sont informés de la sécurité des informations, signent un accord sur la non-divulgation des données personnelles, sont familiarisés avec les documents de protection des données personnelles contre la signature. Les informations sur la sécurité des données personnelles indiquent la liste des outils de protection des informations utilisés dans ISPDn. Heureusement, ces informations ne sont pas publiées dans le domaine public pour tous les arrivants, contrairement aux autres champs, vous pouvez donc spécifier tous les SZI réellement utilisés.
La date de début du traitement PD coïncide généralement avec la date de fondation de l'entreprise (enregistrement).
Le paragraphe suivant sélectionne généralement "La fin du traitement PD" et comme la condition l'indique "Fin de l'organisation".
Dans la section "Catégories de données personnelles", vérifiez d'abord les catégories traitées par les cases à cocher, puis dans le champ "Autres catégories de données personnelles non répertoriées dans cette liste", indiquez les PDN qui ne figurent pas dans la liste, et il est préférable de le faire séparément pour différentes catégories de sujets, par exemple: «Autres catégories de jours de travail pour les travailleurs: [liste des jours de travail pour les travailleurs]. Autres catégories de données clients: [liste des données clients] ».
Dans la section «Catégories de sujets dont les données personnelles sont traitées», nous indiquons la liste des catégories de personnes dont nous avons stocké ou traité les données, par exemple: «Employés, demandeurs d'emploi pour des postes vacants, contractants, clients». Veuillez noter qu'une explication est ajoutée dans le nom du champ indiquant dans quel cas les informations doivent être indiquées.
Dans le champ «Liste des actions avec données personnelles», il est plus facile de citer la définition du traitement PD de 152-FZ: «collecte, enregistrement, systématisation, accumulation, stockage, clarification (mise à jour, modification), extraction, utilisation, transfert (distribution, mise à disposition, accès) , dépersonnalisation, blocage, retrait, destruction. " Naturellement, les actions qui ne sont pas pertinentes pour votre organisation (par exemple, la dépersonnalisation) doivent être supprimées de cette liste. Et n'oubliez pas l'affaire.
Ensuite, nous indiquons la méthode de traitement des données personnelles, généralement elle est «mixte, avec transmission sur le réseau interne d'une personne morale, avec transmission sur Internet».
Ensuite, ils veulent savoir de nous si nous transférons des données personnelles à l'étranger. Sinon, ne déclarez aucun virement transfrontalier. Si tel est le cas, vous devrez également indiquer tous les pays vers lesquels les données sont transmises.
Et le dernier de ce bloc est l'utilisation de la cryptographie. S'il n'est pas utilisé, continuez. Si nous répondons par l'affirmative, il nous sera alors demandé d'écrire les noms de ces remèdes et leur classe. Toutes ces données peuvent être trouvées dans la documentation de la fonction de cryptographie. Nous dirons seulement ici que les fonds cryptographiques des classes KV et KA sont généralement utilisés pour les secrets d'État et que les secrets d'État 152- ne sont pas réglementés.Par conséquent, dans les ISPD ordinaires, vous devez le plus souvent choisir parmi 3 options de la fonction de cryptographie utilisée - KC1, KC2 ou KC3. Si différentes installations hospitalières de différentes classes sont utilisées, le formulaire vous permet de spécifier toutes les informations nécessaires.
La section suivante du formulaire a été publiée le 1er septembre 2015. Toute personne qui remplit une notification depuis longtemps doit y apporter des modifications et la compléter avec des données sur le centre de données. Oui, ne soyez pas surpris, la base de données 1C-Accountancy locale déployée sur l'ordinateur du chef comptable est également dans la compréhension du data center de Roskomnadzor ...
Nous sélectionnons le pays dans lequel se trouve notre "data center" et indiquons son adresse. En outre, il est nécessaire d'indiquer si le «DPC» est notre propriété ou non, et sinon, d'indiquer les informations du propriétaire du site. Si vous disposez de plusieurs ISPD, les données du centre de données doivent être spécifiées pour chacun séparément. Même si nous parlons d'un seul serveur.
Ensuite, remplissez les données de la personne nommée responsable de l'organisation du traitement des données personnelles dans l'entreprise.
IMPORTANT! Le nom de la personne responsable, son numéro de téléphone et son e-mail de contact seront accessibles à tous dans le registre des opérateurs PD. Gardez cela à l'esprit et, bien sûr, il vaut mieux en avertir la personne désignée.
À la toute fin, nous indiquons les données de l'entrepreneur. Entrepreneur, c'est la personne qui remplit cet avis. Ce n'est peut-être pas une personne responsable, mais une personne complètement différente. Mais, comme nous le voyons, ces champs sont également facultatifs, donc, apparemment, si vous ne spécifiez pas l'entrepreneur, ils deviendront automatiquement responsables.
Ensuite, nous cochez «Je suis d'accord sur tout», entrez le captcha et appuyez sur le gros bouton «Envoyer une notification électronique et préparer le formulaire pour l'impression». Ensuite, le formulaire doit être imprimé, signé, tamponné avec l'organisation (le cas échéant) et envoyé par courrier analogique à son département de Roskomnadzor. Après un certain temps, vos données seront entrées dans le registre.