在
我们以前的一篇文章中 ,专门介绍了为满足“关于个人数据”法律的要求而对俄罗斯联邦进行检查的准备工作,我们谈到了正确填写通知的重要性,关于需要填写通知的情况,并且我们承诺会告诉您更多有关如何填写的信息。每个通知字段。
看起来,通过许多字段的名称,应该直观地清楚地知道在这些字段中确切写了什么。 但是实践表明,许多个人数据运营商有很多问题,当试图填写所有领域时,有些人会陷入困境。
在这里,我们决定在此处编写详细的说明,以免多次向我们的客户讲述同一件事,并使其始终为所有人使用。
在Roskomnadzor的个人数据门户上填写
了个人数据操作员的通知 。 现在让我们看一下每个字段。
第一职位应该没有任何问题。 我们选择Roskomnadzor的地域管理,应向其发送通知。 然后选择运算符的类型。 我们根据构成文件介绍操作员的全名和缩写。 我们指出该组织的实际地址和法定地址。 选择组织运营所在的地区。 我们填写组织的详细信息(仅TIN和PSRN是必填项,其余可以保留为空白)。 如果组织有分支机构,我们将添加有关分支机构的信息。
这里的一切似乎都很简单明了,但是在以下字段中可能已经存在问题。
在“处理个人数据的法律依据”列中,您可以指定所有可能以一种或另一种方式与处理个人数据相关的法规和内部文件。 通常,他们以152-和俄罗斯联邦《劳动法》开头,然后继续进行与该组织活动范围相关的立法(例如,如果是医疗机构,那么我们在此处写下323-“关于保护俄罗斯联邦公民健康的基础”以及其他法规,例如联邦以及与医疗保健相关的区域规模),最后以企业章程为准。
“处理个人数据的目的”列是最阴险的之一。 在填写此字段时,我们不要忘记,联邦法律“关于个人数据”的第5条第2部分告诉我们,对个人数据的处理应仅限于实现特定,预定和合法的目标。 不允许处理与收集个人数据的目的不兼容的个人数据。
我们举一个例子说明您不需要的方式。
一些雇主邀请候选人空缺面试,要求填写一份调查表,除其他外,他们要求提供护照详细信息。 但是,从152-FZ的角度来看,这是不合法的。 由于处理个人数据的目的是选择一个空缺职位的候选人,并尝试提出合理的理由说明为什么需要护照数据。 工作经验? 是的 教育信息? 是的 年龄? 在这里,它已经充满了歧视,但我们不会剥削童工。 但是,不需要用于选择人员的护照数据。
不,我们不是那么天真,并且了解到雇主经常需要候选人的护照详细信息,以便“突破”候选人,例如在贷款或参与其他令人不快的故事时。 但是再一次-从法律的角度来看,这是不可能做到的。
让我们回到填写“处理个人数据的目的”字段。 在这里,我们必须正确,充分地制定这些目标。 而且足够吗? 我们将进一步填写个人数据类别列表就足够了。 毕竟,我们不希望ILV有理由根据我们在验证之前的通知发出处方吗? 在这里我们形成一个恶性循环-我们写道,我们处理申请人的护照数据,将因违反有关个人数据的法律而受到惩罚,说“护照数据”被无意中告知,他们将在验证协议中写明“不完整/不正确的信息通知个人数据运营商” ”。
如您所知,不同组织的``处理个人数据的目的''列可能会有很大差异,但是对于大多数商业组织而言,写出``提供人员和核算,为空缺职位选择人员,提供服务[服务清单]''是正确的。
下一节是最难理解的一环。 Roskomnadzor希望我们描述《个人数据法》第18.1和19条所规定的措施。 但实际上,这是最简单的部分,我们只是按照指示的法律条款进行规定,并写明所有这些都是我们完成的。 我们已经做到了-对吗?
填写“联邦法第18.1条和第19条中规定的措施描述”中关于个人数据的字段的示例已任命负责组织个人数据处理的人员。 批准了确定组织有关个人数据处理政策并建立旨在防止和发现违法行为的程序的文件。 这些文件尤其包括:确保ISPDn“会计和人事”中个人数据安全的行动计划; 要保护的个人数据清单; 个人数据信息系统清单; 划定访问个人数据的规定; 批准批准处理个人数据的人员名单的命令; 关于处理和保护个人数据的法规; 有关个人数据处理的政策; 不使用自动化处理个人数据的规则; 批准个人数据存储位置的命令,以及负责在个人数据存储期间维护机密性的人员。 消除违反俄罗斯联邦法律的后果的措施是根据俄罗斯联邦现行法律,关于处理和保护个人数据的法规以及向个人数据安全管理员的指示以及备份和恢复硬件和软件,数据库工作能力的程序进行的数据和信息安全工具。 根据内部审计计划,安全管理员的指示以及有关处理和保护个人数据的规定,对内部处理遵守俄罗斯联邦法律的法规进行内部控制。 对于个人数据信息系统,已经开发出一种对个人数据安全性构成威胁的模型,其中在确定威胁的危险时,将评估在违反法律的情况下可能对个人数据主体造成的危害。 www.example.ru网站已经发布了有关处理个人数据的政策。 对于个人数据信息系统,已经制定了一项技术任务以创建信息安全系统和信息安全系统的设计草案,以实施法律针对第三级安全性的信息系统定义的措施,以及旨在消除与安全威胁模型相关的威胁的措施。 设计草案已完全实施,表明了法律定义的措施的实施以及个人数据信息系统中当前安全威胁的消除。 已经评估了为确保个人数据安全所采取的措施的有效性。 在适当的日记帐中对机器介质进行核算。 使用根据安全管理员指示使用的信息保护工具来检测对个人数据的未经授权的访问并采取措施。 有关规定批准了访问个人数据的规则,并使用信息安全工具从技术上实施了这些规则。 允许处理个人数据的员工了解信息安全,签署不泄露个人数据的协议,熟悉保护个人数据免遭签名的文档。 有关确保个人数据安全的信息指示了ISPDn中使用的信息保护工具的列表。 幸运的是,与其他字段不同,该信息未在所有领域的公共领域发布,因此您可以指定所有实际使用的SZI。
PD处理的开始日期通常与公司成立(注册)的日期一致。
下一段通常选择“处理PD的终止”,并且条件指示“组织的终止”。
在“个人数据类别”部分中,首先选中复选框处理的类别,然后在“此列表中未列出的其他个人数据类别”字段中指出那些不在列表中的PDN,最好对不同类别的主题分别执行此操作,例如: “工人的其他工作日类别:[工人的工作日清单]。 客户数据的其他类别:[客户数据列表]。
在“处理其个人数据的实体的类别”部分中,我们指示已存储或处理其数据的人员的类别列表,例如:“雇员,空缺职位的求职者,承包商,客户”。 请注意,在字段名称中添加了一个说明,指示在这种情况下应指出信息。
在“带有个人数据的操作清单”字段中,最容易引用152-FZ中PD处理的定义:“收集,记录,系统化,累积,存储,澄清(更新,更改),提取,使用,转移(分发,提供,访问) ,取消个性化设置,阻止,删除,销毁。” 自然,应该从该列表中删除与您的组织无关的操作(例如,去个性化)。 而且不要忘记这种情况。
接下来,我们指出处理个人数据的方法,通常是“混合后,通过法人实体的内部网络传输,并通过互联网传输”。
然后他们想从我们这里了解我们是否将个人数据转移到国外。 如果不是,则声明不进行任何跨境转移。 如果是这样,您还必须指明将数据传输到的所有国家。
最后一步是加密技术的使用。 如果未使用,请继续。 如果我们回答是肯定的,那么我们将被要求写下这些补救措施的名称及其类别。 所有这些数据都可以在加密工具的文档中找到。 我们只在这里说KV和KA类的加密资金通常用于国家机密,而国家机密152-不受管制,因此,在普通的ISPD中,大多数情况下您必须从使用的加密工具的3个选项中进行选择-KC1,KC2或KC3。 如果使用不同类别的不同医院设施,则该表格允许您指定所有必要的信息。
表格的下一部分显示于2015年9月1日。 长时间填写通知的任何人都需要对其进行更改,并在数据中心补充数据。 是的,不要惊讶,部署在总会计师计算机上的本地1C-Accountancy数据库也在了解Roskomnadzor数据中心...
我们选择“数据中心”所在的国家,并指出其地址。 此外,有必要指出“ DPC”是否是我们的财产,如果不是,则指出站点所有者的信息。 如果您有多个ISPD,则必须分别为每个数据中心指定数据中心数据。 即使我们正在谈论一台服务器。
接下来,填写被任命负责组织企业个人数据处理人员的数据。
重要! 负责人的姓名,其联系电话和电子邮件将在PD运营商登记册中向所有人开放。 请牢记这一点,当然,最好对此事发出警告。
最后,我们指出承包商的数据。 承包商,这是填写此通知的人。 这可能不是负责任的人,而是完全不同的人。 但是,正如我们所看到的,这些字段也是可选的,因此,显然,如果您不指定承包商,则它们将自动成为负责人。
然后我们勾选“我同意一切”,输入验证码,然后按大按钮“发送电子通知并准备打印表格”。 然后,该表格必须打印,签名,盖章(如果有),并通过模拟邮件发送给其Roskomnadzor部门。 一段时间后,您的数据将被输入到注册表中。