Dalam
salah satu artikel kami sebelumnya , yang dikhususkan untuk persiapan inspeksi Roskomnadzor untuk memenuhi persyaratan hukum "Tentang Data Pribadi", kami berbicara tentang pentingnya mengisi pemberitahuan dengan benar, tentang kasus-kasus ketika Anda perlu mengisi pemberitahuan dan di sana kami berjanji untuk memberi tahu Anda lebih lanjut tentang cara mengisi setiap bidang notifikasi.
Tampaknya dengan nama banyak bidang seharusnya secara intuitif jelas apa yang harus ditulis di dalamnya. Tetapi praktik menunjukkan bahwa banyak operator data pribadi memiliki banyak pertanyaan, dan beberapa jatuh pingsan ketika mencoba mengisi semua bidang.
Di sini kami memutuskan untuk menulis instruksi terperinci di sini agar tidak memberitahukan hal yang sama kepada pelanggan kami berkali-kali, serta membuatnya selalu tersedia untuk semua orang.
Pemberitahuan dari operator data pribadi diisi di portal data pribadi Roskomnadzor. Sekarang mari kita lihat masing-masing bidang.
Seharusnya tidak ada masalah dengan posisi pertama. Kami memilih administrasi wilayah Roskomnadzor, di mana pemberitahuan harus dikirim. Kemudian pilih jenis operator. Kami memperkenalkan nama lengkap dan disingkat operator sesuai dengan dokumen konstituen. Kami menunjukkan alamat aktual dan hukum organisasi. Pilih wilayah (atau wilayah) tempat organisasi beroperasi. Kami mengisi rincian organisasi (hanya TIN dan PSRN yang wajib, sisanya dapat dikosongkan). Jika organisasi memiliki cabang, kami menambahkan informasi tentang mereka.
Segalanya tampak sederhana dan jelas di sini, tetapi dengan bidang-bidang berikut ini mungkin sudah ada pertanyaan.
Di kolom "Dasar hukum untuk pemrosesan data pribadi", Anda dapat menentukan semua dokumen peraturan dan internal yang dengan satu atau lain cara dapat dihubungkan dengan pemrosesan data pribadi. Biasanya mereka mulai dengan 152- dan Kode Perburuhan Federasi Rusia, dilanjutkan dengan undang-undang yang terkait dengan bidang kegiatan organisasi (misalnya, jika itu adalah lembaga medis, maka kami menulis di sini 323- “Dengan dasar-dasar melindungi kesehatan warga di Federasi Rusia” dan tindakan pengaturan lainnya, seperti federal dan skala regional terkait dengan perawatan kesehatan) dan diakhiri dengan piagam perusahaan.
Kolom "Tujuan pemrosesan data pribadi" adalah salah satu yang paling berbahaya. Saat mengisi bidang ini, kita tidak boleh lupa bahwa Bagian 2 dari Pasal 5 Undang-Undang Federal "Tentang Data Pribadi" memberi tahu kita bahwa pemrosesan data pribadi harus dibatasi untuk mencapai tujuan spesifik, yang telah ditentukan, dan sah. Pemrosesan data pribadi yang tidak sesuai dengan tujuan pengumpulan data pribadi tidak diperbolehkan.
Kami memberikan satu contoh bagaimana Anda tidak perlu melakukannya.
Beberapa majikan, mengundang kandidat untuk posisi kosong untuk wawancara, meminta untuk mengisi kuesioner, di mana, antara lain, mereka meminta rincian paspor mereka. Namun, dari sudut pandang 152-FZ ini tidak sah. Karena tujuan pemrosesan data pribadi adalah untuk memilih seorang kandidat untuk posisi yang kosong dan mencoba mencari pembenaran yang masuk akal mengapa data paspor diperlukan. Pengalaman kerja? Ya Informasi Pendidikan? Ya Umur? Dan di sini sudah ada banyak diskriminasi, tetapi kita tidak akan mengeksploitasi pekerja anak. Tetapi data paspor untuk pemilihan personil tidak diperlukan.
Tidak, kami tidak begitu naif dan mengerti bahwa seringkali detail paspor dari seorang kandidat dibutuhkan oleh majikan untuk “menerobos” kandidat, misalnya, dengan pinjaman atau berpartisipasi dalam cerita-cerita tidak menyenangkan lainnya. Tetapi sekali lagi - dari sudut pandang hukum ini tidak dapat dilakukan.
Mari kita kembali mengisi kolom “Tujuan memproses data pribadi”. Di sini kita harus merumuskan dengan tepat dan memadai tujuan-tujuan ini. Dan memadai untuk apa? Cukup untuk daftar kategori data pribadi yang akan kami isi lebih lanjut. Lagipula, kami tidak ingin ILV memiliki alasan untuk mengeluarkan resep berdasarkan pemberitahuan kami sebelum verifikasi? Di sini kita menggambar lingkaran setan - kita menulis bahwa kita memproses data paspor pelamar, akan dihukum karena melanggar undang-undang tentang data pribadi, mengatakan bahwa "data paspor" secara tidak sengaja diberitahu, mereka akan menulis dalam protokol verifikasi "informasi tidak lengkap / tidak akurat dalam pemberitahuan operator data pribadi ".
Seperti yang sudah Anda pahami, kolom "Tujuan pemrosesan data pribadi" untuk organisasi yang berbeda dapat sangat berbeda, tetapi untuk sebagian besar organisasi komersial akan benar untuk menulis "Penyediaan personil dan akuntansi, pemilihan personil untuk posisi kosong, penyediaan layanan [daftar layanan]".
Bagian selanjutnya adalah salah satu yang paling sulit dan tidak bisa dipahami. Roskomnadzor ingin kita menggambarkan langkah-langkah yang diambil, sebagaimana diatur dalam pasal 18.1 dan 19 Undang-Undang tentang Data Pribadi. Tetapi pada kenyataannya, bagian ini adalah salah satu yang paling sederhana, kami hanya mengambil ketentuan pasal-pasal hukum yang ditunjukkan dan menulis bahwa semua ini telah dilakukan dengan kami. Kami telah melakukannya - bukan?
Contoh mengisi bidang "Deskripsi langkah-langkah yang diatur dalam Pasal 18.1 dan 19 UU Federal" Tentang Data Pribadi "Seseorang yang bertanggung jawab untuk mengatur pemrosesan data pribadi telah ditunjuk. Dokumen yang menentukan kebijakan organisasi mengenai pemrosesan data pribadi dan menetapkan prosedur yang bertujuan untuk mencegah dan mendeteksi pelanggaran hukum telah disetujui. Dokumen-dokumen tersebut khususnya meliputi: rencana aksi untuk memastikan keamanan data pribadi di ISPDn “Akuntansi dan Personel”; daftar data pribadi yang akan dilindungi; daftar sistem informasi data pribadi; peraturan tentang penggambaran akses ke data pribadi; perintah menyetujui daftar orang yang berwenang untuk memproses data pribadi; Peraturan tentang pemrosesan dan perlindungan data pribadi; kebijakan mengenai pemrosesan data pribadi; aturan untuk memproses data pribadi tanpa menggunakan otomatisasi; perintah persetujuan tempat penyimpanan data pribadi dan orang yang bertanggung jawab untuk menjaga kerahasiaan data pribadi selama penyimpanan mereka. Penghapusan konsekuensi dari pelanggaran undang-undang Federasi Rusia dilakukan sesuai dengan undang-undang saat ini dari Federasi Rusia, sesuai dengan peraturan tentang pemrosesan dan perlindungan data pribadi, serta sesuai dengan instruksi kepada administrator keamanan data pribadi dan sesuai dengan prosedur untuk membuat cadangan dan memulihkan kapasitas kerja perangkat keras dan perangkat lunak, database alat keamanan data dan informasi. Pengendalian internal kepatuhan pemrosesan data pribadi dengan undang-undang Federasi Rusia di bidang ini dilakukan sesuai dengan rencana audit internal, instruksi dari administrator keamanan dan peraturan tentang pemrosesan dan perlindungan data pribadi. Untuk sistem informasi data pribadi, model ancaman terhadap keamanan data pribadi telah dikembangkan, di mana ketika menentukan bahaya ancaman, penilaian dibuat dari kerugian yang mungkin disebabkan oleh subyek data pribadi jika terjadi pelanggaran hukum. Situs web www.example.ru telah menerbitkan kebijakan tentang pemrosesan data pribadi. Untuk sistem informasi data pribadi, tugas teknis telah dikembangkan untuk menciptakan sistem keamanan informasi dan desain pendahuluan untuk sistem keamanan informasi yang menyediakan implementasi langkah-langkah yang ditentukan oleh hukum untuk sistem informasi tingkat keamanan ketiga, serta langkah-langkah yang bertujuan menetralisir ancaman yang diidentifikasi sebagai relevan dalam model ancaman keamanan. Rancangan desain sepenuhnya diimplementasikan, yang menunjukkan implementasi langkah-langkah yang ditentukan oleh hukum dan netralisasi ancaman keamanan saat ini dalam sistem informasi data pribadi. Efektivitas tindakan yang diambil untuk memastikan keamanan data pribadi telah dievaluasi. Akuntansi untuk media mesin dibuat dalam jurnal yang sesuai. Deteksi akses yang tidak sah ke data pribadi dan adopsi tindakan dilakukan dengan menggunakan alat perlindungan informasi yang digunakan sesuai dengan instruksi dari administrator keamanan. Aturan untuk akses ke data pribadi disetujui dalam ketentuan yang relevan dan secara teknis diimplementasikan menggunakan alat keamanan informasi. Karyawan yang mengakui pengolahan data pribadi diberi pengarahan tentang keamanan informasi, menandatangani perjanjian tentang pengungkapan data pribadi, dibiasakan dengan dokumen untuk melindungi data pribadi dari tanda tangan. Informasi tentang memastikan keamanan data pribadi menunjukkan daftar alat perlindungan informasi yang digunakan dalam ISPDn. Untungnya, informasi ini tidak dipublikasikan dalam domain publik untuk semua pendatang, tidak seperti bidang lainnya, sehingga Anda dapat menentukan semua SZI yang sebenarnya digunakan.
Tanggal dimulainya pemrosesan PD biasanya bertepatan dengan tanggal pendirian perusahaan (pendaftaran).
Paragraf berikutnya biasanya memilih "Pengakhiran pemrosesan PD" dan karena kondisinya menunjukkan "Pengakhiran organisasi".
Di bagian "Kategori data pribadi", periksa dulu kategori yang diproses oleh kotak centang, lalu di bidang "Kategori data pribadi lainnya yang tidak tercantum dalam daftar ini" menunjukkan PDN yang tidak ada dalam daftar, dan lebih baik melakukannya secara terpisah untuk berbagai kategori subjek, misalnya: “Kategori hari kerja lain untuk pekerja: [daftar hari kerja untuk pekerja]. Kategori lain dari data pelanggan: [daftar data pelanggan] ”.
Pada bagian "Kategori entitas yang data pribadinya diproses", kami menunjukkan daftar kategori orang yang datanya kami simpan atau proses, misalnya: "Karyawan, pencari kerja untuk posisi kosong, kontraktor, pelanggan". Harap dicatat bahwa penjelasan ditambahkan dalam nama bidang yang menunjukkan dalam hal mana informasi harus ditunjukkan.
Di bidang “Daftar tindakan dengan data pribadi”, paling mudah mengutip definisi pemrosesan PD dari 152-FZ: “pengumpulan, perekaman, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), ekstraksi, penggunaan, transfer (distribusi, penyediaan, akses) , depersonalisasi, pemblokiran, penghapusan, penghancuran. " Secara alami, tindakan yang tidak relevan untuk organisasi Anda (misalnya, depersonalisasi) harus dihapus dari daftar ini. Dan jangan lupa tentang kopernya.
Selanjutnya, kami menunjukkan metode untuk memproses data pribadi, biasanya "dicampur, dengan transmisi melalui jaringan internal badan hukum, dengan transmisi melalui Internet".
Kemudian mereka ingin tahu dari kami apakah kami mentransfer data pribadi ke luar negeri. Jika tidak, maka nyatakan tidak ada transfer lintas batas. Jika demikian, Anda juga harus menunjukkan semua negara tujuan pengiriman data.
Dan yang terakhir di blok ini adalah penggunaan kriptografi. Jika tidak digunakan, lanjutkan. Jika kita menjawab dengan afirmatif, maka kita akan diminta untuk menuliskan nama-nama solusi dan kelas mereka. Semua data ini dapat ditemukan dalam dokumentasi untuk fasilitas crypto. Kami hanya akan mengatakan di sini bahwa dana kripto dari kelas KV dan KA biasanya digunakan untuk rahasia negara, dan rahasia negara 152- tidak diatur, oleh karena itu, dalam ISPD biasa, paling sering Anda harus memilih dari 3 pilihan fasilitas kripto yang digunakan - KS1, KS2 atau KS3. Jika fasilitas rumah sakit yang berbeda dari kelas yang berbeda digunakan, maka formulir memungkinkan Anda untuk menentukan semua informasi yang diperlukan.
Bagian selanjutnya dari formulir ini muncul pada 1 September 2015. Siapa pun yang telah mengisi pemberitahuan untuk waktu yang lama perlu melakukan perubahan padanya dan menambahnya dengan data di pusat data. Ya, jangan heran, database 1C-Akuntansi lokal yang digunakan di komputer kepala akuntan juga dalam pemahaman pusat data Roskomnadzor ...
Kami memilih negara tempat "pusat data" kami berada dan menunjukkan alamatnya. Selanjutnya perlu untuk menunjukkan apakah "DPC" adalah milik kami atau tidak, dan jika tidak, maka tunjukkan informasi dari pemilik situs. Jika Anda memiliki beberapa ISPD, maka data pusat data harus ditentukan untuk masing-masing secara terpisah. Bahkan jika kita berbicara tentang satu server tunggal.
Selanjutnya, isi data orang yang ditunjuk bertanggung jawab untuk mengatur pemrosesan data pribadi di perusahaan.
PENTING! Nama orang yang bertanggung jawab, nomor telepon kontak dan emailnya akan tersedia untuk semua orang dalam daftar operator PD. Ingatlah hal ini dan, tentu saja, lebih baik memperingatkan orang yang ditunjuk tentang hal ini.
Di bagian paling akhir, kami menunjukkan data kontraktor. Kontraktor, ini orang yang mengisi pemberitahuan ini. Ini mungkin bukan orang yang bertanggung jawab, tetapi orang yang sama sekali berbeda. Tapi, seperti yang kita lihat, bidang ini juga opsional, oleh karena itu, tampaknya, jika Anda tidak menentukan kontraktor, maka mereka akan secara otomatis menjadi bertanggung jawab.
Kemudian kami mencentang "Saya menyetujui segalanya", masukkan captcha dan tekan tombol besar "Kirim pemberitahuan elektronik dan siapkan formulir untuk dicetak". Maka formulir tersebut harus dicetak, ditandatangani, dicap dengan organisasi (jika ada) dan dikirim melalui surat analog ke departemennya di Roskomnadzor. Setelah beberapa saat, data Anda akan dimasukkan ke dalam registri.