#privacy #materials #152фз #РКН
Про уведомления РКН
- Когда нужно подавать уведомление (есть сайт, на сайте прикручена аналитика, данные передаются в БКИ)
- Типовые ошибки: не указаны в поле правовое основание НПА, на основании кот осущ обработка; не указаны цели обработки; не указаны меры защиты; не указаны все категории ПДн (сайты и мобильные приложения не учитываются); не учитываются посетители, родственники, пользователи веб-сайтов; нужно указать полный адрес ЦОД с указанием фирмы, у кот арендуются серверные мощности
- Форму также нужно распечатать и предоставить в РКН на бумажном носителе.
- Через сайт заполнять необязательно, можно сразу на бумаге. Если большой объём инф можно указать сокращённо на сайте, потом отправить информационное письмо. В случае изменений нужно указывать все поле полностью
- При заполнении уведомления нужно указывать все сведения по обработке
- Каждый вторник с 15 до 16 очные консультации, по чт консультации по телефону
Про уведомления РКН
- Когда нужно подавать уведомление (есть сайт, на сайте прикручена аналитика, данные передаются в БКИ)
- Типовые ошибки: не указаны в поле правовое основание НПА, на основании кот осущ обработка; не указаны цели обработки; не указаны меры защиты; не указаны все категории ПДн (сайты и мобильные приложения не учитываются); не учитываются посетители, родственники, пользователи веб-сайтов; нужно указать полный адрес ЦОД с указанием фирмы, у кот арендуются серверные мощности
- Форму также нужно распечатать и предоставить в РКН на бумажном носителе.
- Через сайт заполнять необязательно, можно сразу на бумаге. Если большой объём инф можно указать сокращённо на сайте, потом отправить информационное письмо. В случае изменений нужно указывать все поле полностью
- При заполнении уведомления нужно указывать все сведения по обработке
- Каждый вторник с 15 до 16 очные консультации, по чт консультации по телефону
#materials #РКН #152фз #privacy
Основные нарушения при обработке ПДн
- Неправильно заполненное уведомление РКН/ отсутствие уведомления/ несоблюдение сроков о внесении изменений
- Ответственный за организацию обработки ПДн: некорректное определение (отв за обработку и отв за безопасность, это разный набор полномочий, некоторые упускают). Следует назначить одно лицо: в департаментах по направлениям может быть назначено много лиц, но только одно лицо в компании, которое всю инфу систематизирует, ему все подотчётны. В ДИ/ должностном регламенте нужно указать все полномочия этого отв
- Нет документов по обработке ПДн, в частности Политики: не определены цели, сроки, объём
- Нет внутреннего контроля требованиям з-ва и нормам. Нет документов, подтверждающих факт проведения аудита
- Не ознакомлены работники, осущ обработку ПДн, с нормативной базой по обработке ПДн и с внутренними локальными документами. Отсутствуют подтверждения такого ознакомления. Согласно требованиям ТК РФ, ознакамливаться с доками нужно под роспись (физическую)
- В отнош каждой категории ПДн, обрабат без средств автоматизации нужно определить конкретный перечень лиц (по должностям, к примеру, до ФИО нет необходимости указывать) и мест такой обработки
- Лица, обраб ПДн, не проинформированы. Требования 697ПП также распространяются на контрагентов
- Достижение целей обработки. Обработка ПДн соискателей (обработка ПДн соискателей не регулируется положениями Трудового з-ва). Можно также обрабат в целях кадрового резерва (но это другая цель). Проведение конкурсов и другая однократная деятельность/разовые акции, в таких случаях также нужно ПДн удалять (если на основании согласия ПДн обрабат)
- Не уничтожение ПДн из систем после увольнения работника
- Указание одной цели обработки ПДн, объединение всех целей в одну.
Согласие письменное:
- Трансграничных передача, ТК РФ, спец категории и биометрия
Основные нарушения при обработке ПДн
- Неправильно заполненное уведомление РКН/ отсутствие уведомления/ несоблюдение сроков о внесении изменений
- Ответственный за организацию обработки ПДн: некорректное определение (отв за обработку и отв за безопасность, это разный набор полномочий, некоторые упускают). Следует назначить одно лицо: в департаментах по направлениям может быть назначено много лиц, но только одно лицо в компании, которое всю инфу систематизирует, ему все подотчётны. В ДИ/ должностном регламенте нужно указать все полномочия этого отв
- Нет документов по обработке ПДн, в частности Политики: не определены цели, сроки, объём
- Нет внутреннего контроля требованиям з-ва и нормам. Нет документов, подтверждающих факт проведения аудита
- Не ознакомлены работники, осущ обработку ПДн, с нормативной базой по обработке ПДн и с внутренними локальными документами. Отсутствуют подтверждения такого ознакомления. Согласно требованиям ТК РФ, ознакамливаться с доками нужно под роспись (физическую)
- В отнош каждой категории ПДн, обрабат без средств автоматизации нужно определить конкретный перечень лиц (по должностям, к примеру, до ФИО нет необходимости указывать) и мест такой обработки
- Лица, обраб ПДн, не проинформированы. Требования 697ПП также распространяются на контрагентов
- Достижение целей обработки. Обработка ПДн соискателей (обработка ПДн соискателей не регулируется положениями Трудового з-ва). Можно также обрабат в целях кадрового резерва (но это другая цель). Проведение конкурсов и другая однократная деятельность/разовые акции, в таких случаях также нужно ПДн удалять (если на основании согласия ПДн обрабат)
- Не уничтожение ПДн из систем после увольнения работника
- Указание одной цели обработки ПДн, объединение всех целей в одну.
Согласие письменное:
- Трансграничных передача, ТК РФ, спец категории и биометрия