#materials #РКН #152фз #privacy
Основные нарушения при обработке ПДн
- Неправильно заполненное уведомление РКН/ отсутствие уведомления/ несоблюдение сроков о внесении изменений
- Ответственный за организацию обработки ПДн: некорректное определение (отв за обработку и отв за безопасность, это разный набор полномочий, некоторые упускают). Следует назначить одно лицо: в департаментах по направлениям может быть назначено много лиц, но только одно лицо в компании, которое всю инфу систематизирует, ему все подотчётны. В ДИ/ должностном регламенте нужно указать все полномочия этого отв
- Нет документов по обработке ПДн, в частности Политики: не определены цели, сроки, объём
- Нет внутреннего контроля требованиям з-ва и нормам. Нет документов, подтверждающих факт проведения аудита
- Не ознакомлены работники, осущ обработку ПДн, с нормативной базой по обработке ПДн и с внутренними локальными документами. Отсутствуют подтверждения такого ознакомления. Согласно требованиям ТК РФ, ознакамливаться с доками нужно под роспись (физическую)
- В отнош каждой категории ПДн, обрабат без средств автоматизации нужно определить конкретный перечень лиц (по должностям, к примеру, до ФИО нет необходимости указывать) и мест такой обработки
- Лица, обраб ПДн, не проинформированы. Требования 697ПП также распространяются на контрагентов
- Достижение целей обработки. Обработка ПДн соискателей (обработка ПДн соискателей не регулируется положениями Трудового з-ва). Можно также обрабат в целях кадрового резерва (но это другая цель). Проведение конкурсов и другая однократная деятельность/разовые акции, в таких случаях также нужно ПДн удалять (если на основании согласия ПДн обрабат)
- Не уничтожение ПДн из систем после увольнения работника
- Указание одной цели обработки ПДн, объединение всех целей в одну.
Согласие письменное:
- Трансграничных передача, ТК РФ, спец категории и биометрия
Основные нарушения при обработке ПДн
- Неправильно заполненное уведомление РКН/ отсутствие уведомления/ несоблюдение сроков о внесении изменений
- Ответственный за организацию обработки ПДн: некорректное определение (отв за обработку и отв за безопасность, это разный набор полномочий, некоторые упускают). Следует назначить одно лицо: в департаментах по направлениям может быть назначено много лиц, но только одно лицо в компании, которое всю инфу систематизирует, ему все подотчётны. В ДИ/ должностном регламенте нужно указать все полномочия этого отв
- Нет документов по обработке ПДн, в частности Политики: не определены цели, сроки, объём
- Нет внутреннего контроля требованиям з-ва и нормам. Нет документов, подтверждающих факт проведения аудита
- Не ознакомлены работники, осущ обработку ПДн, с нормативной базой по обработке ПДн и с внутренними локальными документами. Отсутствуют подтверждения такого ознакомления. Согласно требованиям ТК РФ, ознакамливаться с доками нужно под роспись (физическую)
- В отнош каждой категории ПДн, обрабат без средств автоматизации нужно определить конкретный перечень лиц (по должностям, к примеру, до ФИО нет необходимости указывать) и мест такой обработки
- Лица, обраб ПДн, не проинформированы. Требования 697ПП также распространяются на контрагентов
- Достижение целей обработки. Обработка ПДн соискателей (обработка ПДн соискателей не регулируется положениями Трудового з-ва). Можно также обрабат в целях кадрового резерва (но это другая цель). Проведение конкурсов и другая однократная деятельность/разовые акции, в таких случаях также нужно ПДн удалять (если на основании согласия ПДн обрабат)
- Не уничтожение ПДн из систем после увольнения работника
- Указание одной цели обработки ПДн, объединение всех целей в одну.
Согласие письменное:
- Трансграничных передача, ТК РФ, спец категории и биометрия
#materials #personaldata #privacy #gdpr #ecj
Запамятовала, полезный документ от European Court of Justice, многие положения которого были использованы EDPB при подготовке разъяснений по территориальной применимости (в части establishment), здесь
Запамятовала, полезный документ от European Court of Justice, многие положения которого были использованы EDPB при подготовке разъяснений по территориальной применимости (в части establishment), здесь
#materials #gdpr #personaldata #databreach
Отчёт по утечкам данных от bitglass, здесь.
Из интересного: приведена статистика по самым известным утечкам. А также по данным из отчета, в среднем акции указанных компаний упали на 7,5%
Отчёт по утечкам данных от bitglass, здесь.
Из интересного: приведена статистика по самым известным утечкам. А также по данным из отчета, в среднем акции указанных компаний упали на 7,5%