#materials #РКН #152фз #privacy
Основные нарушения при обработке ПДн
- Неправильно заполненное уведомление РКН/ отсутствие уведомления/ несоблюдение сроков о внесении изменений
- Ответственный за организацию обработки ПДн: некорректное определение (отв за обработку и отв за безопасность, это разный набор полномочий, некоторые упускают). Следует назначить одно лицо: в департаментах по направлениям может быть назначено много лиц, но только одно лицо в компании, которое всю инфу систематизирует, ему все подотчётны. В ДИ/ должностном регламенте нужно указать все полномочия этого отв
- Нет документов по обработке ПДн, в частности Политики: не определены цели, сроки, объём
- Нет внутреннего контроля требованиям з-ва и нормам. Нет документов, подтверждающих факт проведения аудита
- Не ознакомлены работники, осущ обработку ПДн, с нормативной базой по обработке ПДн и с внутренними локальными документами. Отсутствуют подтверждения такого ознакомления. Согласно требованиям ТК РФ, ознакамливаться с доками нужно под роспись (физическую)
- В отнош каждой категории ПДн, обрабат без средств автоматизации нужно определить конкретный перечень лиц (по должностям, к примеру, до ФИО нет необходимости указывать) и мест такой обработки
- Лица, обраб ПДн, не проинформированы. Требования 697ПП также распространяются на контрагентов
- Достижение целей обработки. Обработка ПДн соискателей (обработка ПДн соискателей не регулируется положениями Трудового з-ва). Можно также обрабат в целях кадрового резерва (но это другая цель). Проведение конкурсов и другая однократная деятельность/разовые акции, в таких случаях также нужно ПДн удалять (если на основании согласия ПДн обрабат)
- Не уничтожение ПДн из систем после увольнения работника
- Указание одной цели обработки ПДн, объединение всех целей в одну.
Согласие письменное:
- Трансграничных передача, ТК РФ, спец категории и биометрия
Основные нарушения при обработке ПДн
- Неправильно заполненное уведомление РКН/ отсутствие уведомления/ несоблюдение сроков о внесении изменений
- Ответственный за организацию обработки ПДн: некорректное определение (отв за обработку и отв за безопасность, это разный набор полномочий, некоторые упускают). Следует назначить одно лицо: в департаментах по направлениям может быть назначено много лиц, но только одно лицо в компании, которое всю инфу систематизирует, ему все подотчётны. В ДИ/ должностном регламенте нужно указать все полномочия этого отв
- Нет документов по обработке ПДн, в частности Политики: не определены цели, сроки, объём
- Нет внутреннего контроля требованиям з-ва и нормам. Нет документов, подтверждающих факт проведения аудита
- Не ознакомлены работники, осущ обработку ПДн, с нормативной базой по обработке ПДн и с внутренними локальными документами. Отсутствуют подтверждения такого ознакомления. Согласно требованиям ТК РФ, ознакамливаться с доками нужно под роспись (физическую)
- В отнош каждой категории ПДн, обрабат без средств автоматизации нужно определить конкретный перечень лиц (по должностям, к примеру, до ФИО нет необходимости указывать) и мест такой обработки
- Лица, обраб ПДн, не проинформированы. Требования 697ПП также распространяются на контрагентов
- Достижение целей обработки. Обработка ПДн соискателей (обработка ПДн соискателей не регулируется положениями Трудового з-ва). Можно также обрабат в целях кадрового резерва (но это другая цель). Проведение конкурсов и другая однократная деятельность/разовые акции, в таких случаях также нужно ПДн удалять (если на основании согласия ПДн обрабат)
- Не уничтожение ПДн из систем после увольнения работника
- Указание одной цели обработки ПДн, объединение всех целей в одну.
Согласие письменное:
- Трансграничных передача, ТК РФ, спец категории и биометрия