Em
um de nossos artigos anteriores , dedicado à preparação das inspeções de Roskomnadzor para atender aos requisitos da lei “Sobre dados pessoais”, falamos sobre a importância de preencher corretamente uma notificação, sobre os casos em que uma notificação precisa ser preenchida e prometemos informar mais sobre como preencher cada campo de notificação.
Parece que pelos nomes de muitos campos deve ser intuitivamente claro o que exatamente escrever neles. Mas a prática mostra que muitos operadores de dados pessoais têm muitas perguntas e algumas caem em um verdadeiro estupor ao tentar preencher todos os campos.
Aqui, decidimos escrever aqui instruções detalhadas para não contar a mesma coisa para nossos clientes muitas vezes, além de disponibilizá-la sempre a todos.
A notificação do operador de dados pessoais é preenchida no portal de dados pessoais de Roskomnadzor. Agora, vamos olhar para cada um dos campos.
Não deve haver problemas com as primeiras posições. Selecionamos a administração territorial de Roskomnadzor, à qual uma notificação deve ser enviada. Em seguida, selecione o tipo de operador. Introduzimos o nome completo e abreviado do operador de acordo com os documentos constituintes. Indicamos o endereço real e legal da organização. Escolha a região (ou regiões) em que a organização opera. Nós preenchemos os detalhes da organização (apenas TIN e PSRN são obrigatórios, o restante pode ser deixado em branco). Se a organização tiver filiais, adicionamos informações sobre elas.
Tudo parece simples e claro aqui, mas com os seguintes campos já pode haver perguntas.
Na coluna “Base legal para o processamento de dados pessoais”, você pode especificar todos os documentos regulamentares e internos que podem, de uma forma ou de outra, estar conectados ao processamento de dados pessoais. Geralmente eles começam com 152- e o Código do Trabalho da Federação Russa, continuam com a legislação relacionada à esfera de atividade da organização (por exemplo, se for uma instituição médica, escrevemos aqui 323- "Sobre o básico da proteção da saúde dos cidadãos na Federação Russa" e outros atos regulamentares, como federal e escala regional relacionada à assistência médica) e termina com o estatuto da empresa.
A coluna "Finalidade do processamento de dados pessoais" é uma das mais insidiosas. Ao preencher este campo, não devemos esquecer que a Parte 2 do Artigo 5 da Lei Federal “Sobre Dados Pessoais” nos diz que o processamento de dados pessoais deve se limitar a alcançar objetivos específicos, predeterminados e legítimos. Não é permitido o processamento de dados pessoais incompatíveis com a finalidade de coletar dados pessoais.
Nós damos um exemplo de como você não precisa.
Alguns empregadores, convidando candidatos para uma vaga em uma entrevista, pedem para preencher um questionário, no qual, entre outras coisas, solicitam os detalhes do passaporte. No entanto, do ponto de vista do 152-FZ, isso não é legal. Como o objetivo do processamento de dados pessoais é selecionar um candidato para uma vaga e tentar apresentar uma justificativa plausível para a necessidade de dados do passaporte. Experiência de trabalho? Sim Informações sobre educação? Sim Idade? E aqui já cheira a discriminação, mas não vamos explorar o trabalho infantil. Mas os dados do passaporte para a seleção de pessoal não são necessários.
Não, não somos tão ingênuos e entendemos que muitas vezes os detalhes do passaporte de um candidato são necessários pelo empregador para "romper" o candidato, por exemplo, em empréstimos ou participando de outras histórias desagradáveis. Mas mais uma vez - do ponto de vista da lei, isso não pode ser feito.
Vamos voltar ao preenchimento do campo "Finalidade do processamento de dados pessoais". Aqui devemos formular correta e adequadamente esses objetivos. E adequado para quê? É adequado à lista de categorias de dados pessoais que iremos preencher mais adiante. Afinal, não queremos que o ILV tenha motivos para emitir uma receita com base em nossa notificação já antes da verificação? Aqui traçamos um círculo vicioso - escrevemos que processamos os dados do passaporte dos solicitantes, seremos punidos por violar a legislação sobre dados pessoais, dizer que “os dados do passaporte” foram acidentalmente notificados, eles escreverão no protocolo de verificação “informações incompletas / imprecisas na notificação do operador de dados pessoais "
Como você já entendeu, a coluna “Finalidade do processamento de dados pessoais” para diferentes organizações pode variar bastante, mas para a maioria das organizações comerciais será correto escrever “Prestação de pessoal e contabilidade, seleção de pessoal para cargos vagos, prestação de serviços [lista de serviços]”.
A próxima seção é uma das mais difíceis e incompreensíveis. Roskomnadzor deseja que descrevamos as medidas adotadas, previstas nos artigos 18.1 e 19 da Lei de Dados Pessoais. Mas, de fato, esta seção é uma das mais simples, apenas tomamos as disposições dos artigos da lei indicados e escrevemos que tudo isso foi feito conosco. Nós fizemos - certo?
Um exemplo de preenchimento do campo “Descrição das medidas previstas nos artigos 18.1 e 19 da Lei Federal“ Sobre Dados Pessoais ”Uma pessoa responsável pela organização do processamento de dados pessoais foi nomeada. Os documentos que determinam a política da organização em relação ao processamento de dados pessoais e estabelecem procedimentos destinados a prevenir e detectar violações da lei foram aprovados. Tais documentos incluem, em particular: um plano de ação para garantir a segurança dos dados pessoais no ISPDn “Accounting and Personnel”; uma lista de dados pessoais a serem protegidos; lista de sistemas de informação de dados pessoais; regulamento sobre a delimitação do acesso a dados pessoais; uma ordem que aprova a lista de pessoas autorizadas a processar dados pessoais; Regulamento sobre tratamento e proteção de dados pessoais; política referente ao processamento de dados pessoais; regras para o processamento de dados pessoais sem o uso de automação; uma ordem sobre a aprovação dos locais de armazenamento de dados pessoais e das pessoas responsáveis por manter a confidencialidade dos dados pessoais durante seu armazenamento. A eliminação das consequências de violações da legislação da Federação Russa é realizada de acordo com a legislação atual da Federação Russa, de acordo com o regulamento sobre o processamento e proteção de dados pessoais, bem como de acordo com as instruções ao administrador da segurança de dados pessoais e de acordo com o procedimento para fazer backup e restaurar a capacidade de trabalho de hardware e software, bancos de dados ferramentas de segurança de dados e informações. O controle interno da conformidade do processamento de dados pessoais com a legislação da Federação Russa nessa área é realizado de acordo com o plano de auditoria interna, as instruções do administrador de segurança e a regulamentação sobre o processamento e a proteção de dados pessoais. Para o sistema de informações de dados pessoais, foi desenvolvido um modelo de ameaças à segurança de dados pessoais, no qual, ao determinar o perigo de ameaças, é feita uma avaliação dos danos que podem ser causados aos titulares de dados pessoais em caso de violação da lei. O site www.example.ru publicou uma política referente ao processamento de dados pessoais. Para o sistema de informações de dados pessoais, foi desenvolvida uma tarefa técnica para a criação de um sistema de segurança da informação e um projeto preliminar de um sistema de segurança da informação que preveja a implementação de medidas definidas por lei para o sistema de informações do terceiro nível de segurança, bem como medidas destinadas a neutralizar ameaças identificadas como relevantes no modelo de ameaça à segurança. O projeto preliminar é totalmente implementado, o que indica a implementação de medidas definidas por lei e a neutralização das ameaças atuais à segurança no sistema de informações de dados pessoais. A eficácia das medidas adotadas para garantir a segurança dos dados pessoais foi avaliada. A contabilidade da mídia da máquina é feita no diário apropriado. A detecção de acesso não autorizado a dados pessoais e a adoção de medidas são realizadas usando as ferramentas de proteção de informações utilizadas de acordo com as instruções do administrador de segurança. As regras para acesso a dados pessoais são aprovadas na provisão relevante e tecnicamente implementadas usando ferramentas de segurança da informação. Os funcionários admitidos no processamento de dados pessoais são informados sobre segurança da informação, assinam um acordo sobre a não divulgação de dados pessoais, estão familiarizados com os documentos para proteger os dados pessoais contra a assinatura. As informações sobre como garantir a segurança dos dados pessoais indicam a lista de ferramentas de proteção de informações usadas no ISPDn. Felizmente, essas informações não são publicadas em domínio público para todos os participantes, diferentemente de outros campos, para que você possa especificar todos os SZI realmente usados.
A data do início do processamento do PD geralmente coincide com a data da fundação da empresa (registro).
O próximo parágrafo geralmente seleciona "A finalização do processamento do PD" e como a condição indica "Finalização da organização".
Na seção "Categorias de dados pessoais", verifique primeiro as categorias que são processadas pelas caixas de seleção e, em seguida, no campo "Outras categorias de dados pessoais não listadas nesta lista" indicam os PDNs que não estão na lista e é melhor fazer isso separadamente para diferentes categorias de assuntos, por exemplo: “Outras categorias de dias úteis para trabalhadores: [lista de dias úteis para trabalhadores]. Outras categorias de dados do cliente: [lista de dados do cliente] ”.
Na seção “Categorias de sujeitos cujos dados pessoais são processados”, indicamos a lista de categorias de pessoas cujos dados foram armazenados ou processados, por exemplo: “Empregados, candidatos a emprego para vagas, contratados, clientes”. Observe que uma explicação é adicionada no nome do campo, indicando em que casos as informações devem ser indicadas.
No campo “Lista de ações com dados pessoais”, é mais fácil citar a definição de processamento PD do 152-FZ: “coleta, registro, sistematização, acumulação, armazenamento, esclarecimento (atualização, alteração), extração, uso, transferência (distribuição, fornecimento, acesso) , despersonalização, bloqueio, remoção, destruição ". Naturalmente, as ações que não são relevantes para sua organização (por exemplo, despersonalização) devem ser removidas desta lista. E não se esqueça do caso.
A seguir, indicamos o método de processamento de dados pessoais, geralmente é "misto, com transmissão pela rede interna de uma entidade legal, com transmissão pela Internet".
Eles querem saber se transferimos dados pessoais para o exterior. Caso contrário, declare nenhuma transferência transfronteiriça. Nesse caso, você também terá que indicar todos os países para os quais os dados são transmitidos.
E o último neste bloco é o uso de criptografia. Se não for usado, siga em frente. Se respondermos afirmativamente, seremos solicitados a escrever os nomes desses remédios e sua classe. Todos esses dados podem ser encontrados na documentação para a instalação de criptografia. Diremos aqui apenas que os fundos de criptografia das classes KV e KA geralmente são usados para segredos de estado, e os segredos de estado 152- não são regulamentados, portanto, em ISPDs comuns, na maioria das vezes você precisa escolher entre três opções do recurso de criptografia usado - KC1, KC2 ou KC3. Se diferentes instalações hospitalares de classes diferentes forem usadas, o formulário permitirá que você especifique todas as informações necessárias.
A próxima seção do formulário apareceu em 1 de setembro de 2015. Qualquer pessoa que preencha uma notificação há muito tempo precisa fazer alterações e complementá-la com dados no datacenter. Sim, não se surpreenda, o banco de dados 1C-Accountancy local implantado no computador do contador principal também está no entendimento do data center de Roskomnadzor ...
Selecionamos o país em que nosso "data center" está localizado e indicamos seu endereço. Além disso, é necessário indicar se o “DPC” é de nossa propriedade ou não e, se não, indicar as informações do proprietário do site. Se você tiver vários ISPDs, os dados do datacenter deverão ser especificados para cada um separadamente. Mesmo se estivermos falando sobre um único servidor.
Em seguida, preencha os dados da pessoa nomeada responsável pela organização do processamento de dados pessoais na empresa.
IMPORTANTE! O nome da pessoa responsável, seu número de telefone de contato e e-mail estarão disponíveis para todos no registro de operadores de DP. Tenha isso em mente e, é claro, é melhor avisar a pessoa designada sobre isso.
No final, indicamos os dados do artista. Empreiteiro, esta é a pessoa que preenche este aviso. Pode não ser uma pessoa responsável, mas uma pessoa completamente diferente. Mas, como vemos, esses campos também são opcionais; portanto, aparentemente, se você não especificar o contratado, eles se tornarão automaticamente responsáveis.
Em seguida, assinalamos "Concordo com tudo", inserimos o captcha e pressionamos o botão grande "Enviar notificação eletrônica e preparamos o formulário para impressão". Em seguida, o formulário deve ser impresso, assinado, carimbado com a organização (se houver) e enviado por correio analógico para o departamento de Roskomnadzor. Depois de um tempo, seus dados serão inseridos no registro.