हमारे पिछले लेखों में , जो कानून की आवश्यकताओं को पूरा करने के लिए रोसकोमनाडॉर के निरीक्षण की तैयारी के लिए समर्पित था, "व्यक्तिगत डेटा" पर, हमने एक अधिसूचना को सही ढंग से भरने के महत्व के बारे में बात की थी, उन मामलों के बारे में जब आपको एक अधिसूचना भरने की आवश्यकता होती है और वहां हमने आपको कैसे भरने के बारे में अधिक बताने का वादा किया था। प्रत्येक सूचना क्षेत्र।
ऐसा लगता है कि कई क्षेत्रों के नामों से यह स्पष्ट रूप से स्पष्ट होना चाहिए कि उनमें क्या लिखना है। लेकिन अभ्यास से पता चलता है कि कई व्यक्तिगत डेटा ऑपरेटरों के पास बहुत सारे प्रश्न हैं, और कुछ सभी क्षेत्रों में भरने की कोशिश करते समय एक वास्तविक स्थिति में आते हैं।
यहां हमने विस्तृत निर्देश लिखने का फैसला किया ताकि हम अपने ग्राहकों को कई बार एक ही बात न बताएं, साथ ही इसे हमेशा सभी के लिए उपलब्ध करा सकें।
व्यक्तिगत डेटा ऑपरेटर की अधिसूचना Roskomnadzor के व्यक्तिगत डेटा पोर्टल पर भरी जाती है। अब आइए प्रत्येक क्षेत्र को देखें।
पहले पदों के साथ कोई समस्या नहीं होनी चाहिए। हम Roskomnadzor के क्षेत्रीय प्रशासन का चयन करते हैं, जिसके लिए एक अधिसूचना भेजी जानी चाहिए। फिर ऑपरेटर के प्रकार का चयन करें। हम ऑपरेटर के पूर्ण और संक्षिप्त नाम का परिचय घटक दस्तावेजों के अनुसार करते हैं। हम संगठन के वास्तविक और कानूनी पते का संकेत देते हैं। वह क्षेत्र (या क्षेत्र) चुनें जिसमें संगठन संचालित होता है। हम संगठन के विवरण को भरते हैं (केवल टिन और पीएसआरएन अनिवार्य हैं, बाकी को खाली छोड़ा जा सकता है)। यदि संगठन की शाखाएं हैं, तो हम उनके बारे में जानकारी जोड़ते हैं।
यहां सब कुछ सरल और स्पष्ट लगता है, लेकिन निम्नलिखित क्षेत्रों के साथ पहले से ही प्रश्न हो सकते हैं।
कॉलम में "व्यक्तिगत डेटा के प्रसंस्करण के लिए कानूनी आधार", आप सभी विनियामक और आंतरिक दस्तावेज़ निर्दिष्ट कर सकते हैं जो एक तरह से या किसी अन्य को व्यक्तिगत डेटा के प्रसंस्करण के साथ जोड़ा जा सकता है। आमतौर पर वे 152-Usually और रूसी संघ के श्रम संहिता के साथ शुरू होते हैं, संगठन के क्षेत्र में गतिविधि से संबंधित कानून के साथ जारी रहते हैं (उदाहरण के लिए, यदि यह एक चिकित्सा संस्थान है, तो हम यहां 323-On "रूसी संघ में नागरिकों के स्वास्थ्य की रक्षा की मूल बातें" और अन्य नियामक कृत्यों जैसे संघीय लिखते हैं। और स्वास्थ्य सेवा से संबंधित क्षेत्रीय स्तर) और उद्यम के चार्टर के साथ समाप्त होता है।
कॉलम "व्यक्तिगत डेटा प्रसंस्करण का उद्देश्य" सबसे कपटी में से एक है। इस क्षेत्र को भरते समय, हमें यह नहीं भूलना चाहिए कि संघीय कानून के अनुच्छेद 5 के भाग 2 "व्यक्तिगत डेटा पर" हमें बताता है कि व्यक्तिगत डेटा का प्रसंस्करण विशिष्ट, पूर्व निर्धारित और वैध लक्ष्यों को प्राप्त करने तक सीमित होना चाहिए। व्यक्तिगत डेटा एकत्र करने के प्रयोजनों के साथ असंगत है कि व्यक्तिगत डेटा के प्रसंस्करण की अनुमति नहीं है।
हम एक उदाहरण देते हैं कि आपको किस प्रकार की आवश्यकता नहीं है।
कुछ नियोक्ता, एक साक्षात्कार के लिए रिक्त स्थान के लिए उम्मीदवारों को आमंत्रित करते हैं, एक प्रश्नावली भरने के लिए कहते हैं, जिसमें अन्य बातों के अलावा, वे अपना पासपोर्ट विवरण मांगते हैं। हालांकि, 152-एफजेड के दृष्टिकोण से यह कानूनी नहीं है। चूंकि व्यक्तिगत डेटा को संसाधित करने का उद्देश्य रिक्त स्थान के लिए एक उम्मीदवार का चयन करना है और पासपोर्ट डेटा की आवश्यकता क्यों है, इसके लिए एक उचित औचित्य के साथ आने का प्रयास करें। काम का अनुभव? हां। शिक्षा की जानकारी? हां। उम्र? और यहां पहले से ही भेदभाव की बू आती है, लेकिन हम बाल श्रम का शोषण नहीं करेंगे। लेकिन कर्मियों के चयन के लिए पासपोर्ट डेटा की आवश्यकता नहीं है।
नहीं, हम इतने भोले नहीं हैं और समझते हैं कि अक्सर एक उम्मीदवार के पासपोर्ट विवरण की आवश्यकता नियोक्ता द्वारा "उम्मीदवार के माध्यम से" उदाहरण के लिए, ऋण पर या अन्य अप्रिय कहानियों में भाग लेने के लिए होती है। लेकिन एक बार फिर - कानून के दृष्टिकोण से यह नहीं किया जा सकता है।
आइए "व्यक्तिगत डेटा को संसाधित करने का उद्देश्य" क्षेत्र में भरने के लिए वापस जाएं। यहां हमें सही और पर्याप्त रूप से इन लक्ष्यों को तैयार करना चाहिए। और क्या पर्याप्त है? यह व्यक्तिगत डेटा की श्रेणियों की सूची के लिए पर्याप्त है जिसे हम आगे भरेंगे। आखिरकार, हम नहीं चाहते कि ILV के पास सत्यापन से पहले ही हमारी अधिसूचना के आधार पर पर्चे जारी करने के कारण हों? यहां हम एक दुष्चक्र बनाते हैं - हम लिखते हैं कि हम आवेदकों के पासपोर्ट डेटा को संसाधित करते हैं, व्यक्तिगत डेटा पर कानून का उल्लंघन करने के लिए दंडित किया जाएगा, कहते हैं कि "पासपोर्ट डेटा" को गलती से अधिसूचित किया गया था, वे व्यक्तिगत डेटा ऑपरेटर की अधिसूचना में सत्यापन प्रोटोकॉल "अपूर्ण / गलत जानकारी" में लिखेंगे। "।
जैसा कि आप पहले से ही समझ चुके हैं, विभिन्न संगठनों के लिए "व्यक्तिगत डेटा को संसाधित करने का उद्देश्य" कॉलम बहुत भिन्न हो सकता है, लेकिन अधिकांश वाणिज्यिक संगठनों के लिए "कर्मियों का प्रावधान और लेखा, खाली पदों के लिए कर्मियों का चयन, सेवाओं का प्रावधान [सेवाओं की सूची" लिखना सही होगा।
अगला भाग सबसे कठिन और समझ से बाहर है। Roskomnadzor हमें व्यक्तिगत डेटा पर कानून के 18.1 और 19 के लेखों में दिए गए उपायों का वर्णन करना चाहता है। लेकिन वास्तव में, यह खंड सबसे सरल में से एक है, हम सिर्फ कानून के संकेतित लेखों के प्रावधानों को लेते हैं और लिखते हैं कि यह सब हमारे साथ किया गया है। हमने किया है - सही है?
फ़ील्ड भरने का एक उदाहरण "संघीय डेटा के अनुच्छेद 18.1 और 19 के लिए प्रदान किए गए उपायों का विवरण" व्यक्तिगत डेटा पर "व्यक्तिगत डेटा के प्रसंस्करण के आयोजन के लिए जिम्मेदार व्यक्ति को नियुक्त किया गया है। व्यक्तिगत डेटा के प्रसंस्करण के बारे में संगठन की नीति को निर्धारित करने वाले दस्तावेज़ और कानून के उल्लंघन को रोकने और पता लगाने के उद्देश्य से प्रक्रियाएं स्थापित करने को मंजूरी दी गई है। इस तरह के दस्तावेजों में विशेष रूप से शामिल हैं: ISPDn "लेखांकन और कार्मिक" में व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए एक कार्य योजना; संरक्षित करने के लिए व्यक्तिगत डेटा की एक सूची; व्यक्तिगत डेटा सूचना प्रणाली की सूची; व्यक्तिगत डेटा तक पहुंच के परिसीमन पर नियमन; व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत व्यक्तियों की सूची को अनुमोदित करने वाला एक आदेश; व्यक्तिगत डेटा के प्रसंस्करण और संरक्षण पर विनियमन; व्यक्तिगत डेटा के प्रसंस्करण के बारे में नीति; स्वचालन के उपयोग के बिना व्यक्तिगत डेटा को संसाधित करने के लिए नियम; व्यक्तिगत डेटा के भंडारण के स्थानों और उनके भंडारण के दौरान व्यक्तिगत डेटा की गोपनीयता बनाए रखने के लिए जिम्मेदार व्यक्तियों के अनुमोदन पर एक आदेश। रूसी संघ के कानून के उल्लंघन के परिणामों का उन्मूलन रूसी संघ के वर्तमान कानून के अनुसार किया जाता है, व्यक्तिगत डेटा के प्रसंस्करण और संरक्षण पर विनियमन के अनुसार, साथ ही व्यक्तिगत डेटा की सुरक्षा के प्रशासक के निर्देश के अनुसार और हार्डवेयर और सॉफ़्टवेयर की बैकिंग और बहाली की प्रक्रिया के अनुसार किया जाता है। डेटा और सूचना सुरक्षा उपकरण। इस क्षेत्र में रूसी संघ के कानून के साथ व्यक्तिगत डेटा प्रसंस्करण के अनुपालन का आंतरिक नियंत्रण आंतरिक ऑडिट योजना, सुरक्षा प्रशासक के निर्देशों और प्रसंस्करण और व्यक्तिगत डेटा के संरक्षण पर विनियमन के अनुसार किया जाता है। व्यक्तिगत डेटा सूचना प्रणाली के लिए, व्यक्तिगत डेटा की सुरक्षा के लिए खतरों का एक मॉडल विकसित किया गया है, जिसमें खतरों के खतरे का निर्धारण करते समय, एक आकलन उस नुकसान से बनता है जो कानून के उल्लंघन के मामले में व्यक्तिगत डेटा के विषयों के कारण हो सकता है। वेबसाइट www.example.ru ने व्यक्तिगत डेटा के प्रसंस्करण के बारे में एक नीति प्रकाशित की है। व्यक्तिगत डेटा सूचना प्रणाली के लिए, सूचना सुरक्षा प्रणाली बनाने के लिए एक तकनीकी कार्य विकसित किया गया है और सूचना सुरक्षा प्रणाली के लिए एक प्रारंभिक डिजाइन है जो सुरक्षा के तीसरे स्तर के रूप में पहचाने जाने वाले खतरों को बेअसर करने के उद्देश्य से सुरक्षा के तीसरे स्तर की सूचना प्रणाली के लिए कानून द्वारा परिभाषित उपायों के कार्यान्वयन के लिए प्रदान करता है। मसौदा डिजाइन पूरी तरह से लागू किया गया है, जो कानून द्वारा परिभाषित उपायों के कार्यान्वयन और व्यक्तिगत डेटा सूचना प्रणाली में वर्तमान सुरक्षा खतरों के बेअसर होने को इंगित करता है। व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए किए गए उपायों की प्रभावशीलता का मूल्यांकन किया गया है। मशीन मीडिया के लिए लेखांकन उपयुक्त पत्रिका में बनाया गया है। व्यक्तिगत डेटा तक अनधिकृत पहुंच का पता लगाना और सुरक्षा प्रशासक के निर्देशों के अनुसार उपयोग किए जाने वाले सूचना सुरक्षा उपकरणों का उपयोग करके उपायों को अपनाना है। व्यक्तिगत डेटा तक पहुंचने के नियमों को प्रासंगिक प्रावधान में अनुमोदित किया गया है और तकनीकी रूप से सूचना सुरक्षा उपकरणों का उपयोग करके लागू किया गया है। व्यक्तिगत डेटा के प्रसंस्करण के लिए भर्ती किए गए कर्मचारियों को सूचना सुरक्षा पर सूचित किया जाता है, व्यक्तिगत डेटा के गैर-प्रकटीकरण पर एक समझौते पर हस्ताक्षर करते हैं, हस्ताक्षर के खिलाफ व्यक्तिगत डेटा की सुरक्षा के लिए दस्तावेजों से परिचित होते हैं। व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने की जानकारी ISPDn में उपयोग किए जाने वाले सूचना सुरक्षा उपकरणों की सूची को इंगित करती है। सौभाग्य से, यह जानकारी अन्य क्षेत्रों के विपरीत, सभी साथियों के लिए सार्वजनिक डोमेन में प्रकाशित नहीं की जाती है, इसलिए आप सभी वास्तव में उपयोग किए जाने वाले SZI को निर्दिष्ट कर सकते हैं।
पीडी प्रसंस्करण की शुरुआत की तारीख आमतौर पर कंपनी की नींव (पंजीकरण) की तारीख से मेल खाती है।
अगला पैराग्राफ आमतौर पर "पीडी के प्रसंस्करण की समाप्ति" का चयन करता है और जैसा कि स्थिति "संगठन की समाप्ति" को इंगित करती है।
"व्यक्तिगत डेटा की श्रेणियाँ" अनुभाग में, पहले चेकबॉक्स द्वारा संसाधित की जाने वाली श्रेणियों की जाँच करें, और फिर "इस सूची में सूचीबद्ध व्यक्तिगत डेटा की अन्य श्रेणियां" फ़ील्ड उन PDN को इंगित नहीं करती हैं जो सूची में नहीं हैं, और यह अलग-अलग श्रेणियों के विषयों के लिए अलग से करना बेहतर है, उदाहरण के लिए: "श्रमिकों के लिए कार्यदिवस की अन्य श्रेणियां: [श्रमिकों के लिए कार्यदिवस की सूची]। ग्राहक डेटा की अन्य श्रेणियां: [ग्राहक डेटा की सूची] ”।
"जिन विषयों के व्यक्तिगत डेटा संसाधित किए गए हैं" श्रेणियों के अनुभाग में, हम उन व्यक्तियों की श्रेणियों की सूची दर्शाते हैं, जिनके डेटा को हमने संग्रहीत या संसाधित किया है, उदाहरण के लिए: "कर्मचारी, रिक्त पदों के लिए नौकरी चाहने वाले, ठेकेदार, ग्राहक"। कृपया ध्यान दें कि फ़ील्ड नाम में एक स्पष्टीकरण जोड़ा जाता है जो यह दर्शाता है कि किस मामले में जानकारी को इंगित किया जाना चाहिए।
"व्यक्तिगत डेटा के साथ क्रियाओं की सूची" क्षेत्र में 152-एफजेड से पीडी प्रसंस्करण की परिभाषा को उद्धृत करना सबसे आसान है: "संग्रह, रिकॉर्डिंग, सिस्टमैटिज़ेशन, संचय, भंडारण, स्पष्टीकरण (अद्यतन), निष्कर्षण, उपयोग, हस्तांतरण (वितरण, प्रावधान, पहुंच) , प्रतिरूपण, अवरुद्ध करना, हटाना, विनाश। स्वाभाविक रूप से, ऐसे कार्य जो आपके संगठन के लिए प्रासंगिक नहीं हैं (उदाहरण के लिए, प्रतिनियुक्तिकरण) को इस सूची से हटा दिया जाना चाहिए। और मामले के बारे में मत भूलना।
अगला, हम व्यक्तिगत डेटा को संसाधित करने के लिए विधि का संकेत देते हैं, आमतौर पर यह "मिश्रित है, एक कानूनी इकाई के आंतरिक नेटवर्क पर संचरण के साथ, इंटरनेट पर संचरण के साथ"।
फिर वे हमसे जानना चाहते हैं कि क्या हम विदेश में निजी डेटा ट्रांसफर करते हैं। यदि नहीं, तो कोई सीमा-पार स्थानांतरण घोषित न करें। यदि हां, तो आपको उन सभी देशों को भी इंगित करना होगा जिनके लिए डेटा प्रेषित है।
और इस ब्लॉक में अंतिम क्रिप्टोग्राफी का उपयोग है। यदि इसका उपयोग नहीं किया जाता है, तो आगे बढ़ें। यदि हम पुष्टि में उत्तर देते हैं, तो हमें ऐसे उपायों के नाम और उनकी कक्षा लिखने के लिए कहा जाएगा। इन सभी डेटा को क्रिप्टो सुविधा के लिए प्रलेखन में पाया जा सकता है। हम यहां केवल यह कहेंगे कि केवी और केए वर्गों के क्रिप्टो फंड आमतौर पर राज्य के रहस्यों के लिए उपयोग किए जाते हैं, और राज्य के रहस्यों को 152-ated विनियमित नहीं किया जाता है, इसलिए, सामान्य आईएसपीडी में, सबसे अधिक बार आपको उपयोग की गई क्रिप्टो सुविधा के 3 विकल्पों में से चुनना होगा - KS1, KS2 या KS3। यदि विभिन्न वर्गों की विभिन्न अस्पताल सुविधाओं का उपयोग किया जाता है, तो फ़ॉर्म आपको सभी आवश्यक जानकारी निर्दिष्ट करने की अनुमति देता है।
प्रपत्र का अगला भाग 1 सितंबर 2015 को दिखाई दिया। जो कोई लंबे समय से एक अधिसूचना भर रहा है, उसे उसमें बदलाव करने और डेटा केंद्र पर डेटा के साथ पूरक करने की आवश्यकता है। हां, आश्चर्य न करें, मुख्य लेखाकार के कंप्यूटर पर तैनात स्थानीय 1 सी-अकाउंटेंसी डेटाबेस भी रोसकोमनादज़ोर डेटा सेंटर की समझ में है ...
हम उस देश का चयन करते हैं जिसमें हमारा "डेटा सेंटर" स्थित है और इसके पते को इंगित करता है। इसके अलावा यह इंगित करना आवश्यक है कि "डीपीसी" हमारी संपत्ति है या नहीं, और यदि नहीं, तो साइट के मालिक की जानकारी को इंगित करें। यदि आपके पास कई ISPDs हैं, तो डेटा सेंटर डेटा को प्रत्येक के लिए अलग से निर्दिष्ट किया जाना चाहिए। भले ही हम एक ही सर्वर के बारे में बात कर रहे हैं।
इसके बाद, उस व्यक्ति का डेटा भरें, जिसे उद्यम में व्यक्तिगत डेटा के प्रसंस्करण के आयोजन के लिए जिम्मेदार ठहराया गया था।
महत्वपूर्ण! जिम्मेदार व्यक्ति का नाम, उसका संपर्क फोन नंबर और ई-मेल पीडी ऑपरेटरों के रजिस्टर में सभी के लिए उपलब्ध होगा। इसे ध्यान में रखें और निश्चित रूप से, नियुक्त व्यक्ति को इस बारे में चेतावनी देना बेहतर है।
बहुत अंत में हम ठेकेदार के डेटा का संकेत देते हैं। ठेकेदार, यह नोटिस भरने वाला व्यक्ति है। यह एक जिम्मेदार व्यक्ति नहीं हो सकता है, लेकिन एक पूरी तरह से अलग व्यक्ति है। लेकिन, जैसा कि हम देखते हैं, ये क्षेत्र भी वैकल्पिक हैं, इसलिए, जाहिर है, यदि आप ठेकेदार को निर्दिष्ट नहीं करते हैं, तो वे स्वचालित रूप से जिम्मेदार बन जाएंगे।
फिर हम "मैं हर बात पर सहमत" पर टिक करता हूं, कैप्चा दर्ज करता हूं और बड़ा बटन दबाता हूं "इलेक्ट्रॉनिक नोटिफिकेशन भेजें और प्रिंटिंग के लिए फॉर्म तैयार करें"। फिर फॉर्म को मुद्रित किया जाना चाहिए, हस्ताक्षरित होना चाहिए, संगठन के साथ मुहर लगी हुई है (यदि कोई हो) और एनालॉग मेल द्वारा रोस्कोम्नाडज़ोर के अपने विभाग को भेजा गया। थोड़ी देर बाद, आपका डेटा रजिस्ट्री में दर्ज किया जाएगा।