#ркн #пдн #152фз
Тезисы со дня открытых дверей в РКН, приуроченного к др 152фз.
Нарушения:
⁃ Некорректно составленное уведомление: цели обработки не определены. Взаимоотношения между работодателем и соискателем - другая цель обработки ПДн, отличная от обработки ПДн работника; не определен перечень ПДн: нет ИНН, СНИЛС (это ПДн); неполный перечень категорий субъектов: нет кандидатов, родственников, уволенных работников; правовые основания не выбраны: согласие - одно из основных правовых оснований; отсутствие информации о БД: указаны не все места нахождения БД (нужно прописывать полный адрес); не проводится аудит; не соблюдаются рекомендации РКН;
⁃ Инспектор при проверке ориентируется на уведомление об обработке ПДн; инф из уведомления далее отражается в лна оператора;
⁃ При использовании аналитики (например, от Google, Яндекс) необходимо учитывать требования 152фз, правовым основанием обработки может быть согласие в электронной форме, субъекта необходимо уведомить о такой обработке (как и в гдпр);
⁃ Непредоставление в РКН сведений об изменении уведомления (изменении перечня ПДн, перечня субъектов, адресов БД, отв лица за обработку ПДн);
⁃ Не назначен отв за обработку ПДн, следует обратить внимание, что отв должен иметь достаточную власть и влияние для исполнения своих обязанностей, обязанности должны быть прописаны в ДИ; должен быть один отв, а не несколько. Отв лицо может делегировать часть функционала другим работникам, но отв несет он;
⁃ Отсутсвует политика и лна по ПДн. Оператор самостоятельно определяет количество документов, это может быть как один документ, так и насколько. Операторы забывают о требованиях закона о доступе к документу субъектов ПДн. Если собираете ПДн при помощи веб-сайта, на веб-сайте должна быть политика размещена. В отсутствии сайта разместить можно документна внутреннем портале, на информационном щите, в любом месте на выбор оператора, главное, чтобы документ был доступен субъектам;
⁃ Неознакомление работников оператора, участв в обработке ПДн, с положениями законодательства по ПДн. Примерный перечень НПА размещён на веб-сайте РКН. Также следует учитывать профильные акты (банковская сфера);
⁃ Не задокументирована информация о местах хранения ПДн;
⁃ Отсутствие или наличие неактуального перечня лиц, имеющих доступ к ПДн;
⁃ Не ознакомление работников с порядком обработки ПДн без использования средств автоматизации, в том числе работников подрядной организации;
⁃ Некорректно составлена письменная форма согласия;
⁃ Отсутствует уполномоченный представитель оператора при проверке, на этом основании проверка мб остановлена, на решение вопроса: 1 месяц, или инспектор придёт на проверку в теч года без уведомления оператора. Оформляется приказом о возложению обязанностей по взаимод, внешний консалт - нужна доверенность;
Рекомендации: внутренний аудит может быть оформлен в виде акта, пояснительной записки.
Согласно ТК РФ работники должны быть ознакомлены с лна под роспись.
Согласие на бумаге и согласие в письменной форме - это разные сущности.
Должностные лица РКН не осуществляют консультирование операторов при проверке.
Тезисы со дня открытых дверей в РКН, приуроченного к др 152фз.
Нарушения:
⁃ Некорректно составленное уведомление: цели обработки не определены. Взаимоотношения между работодателем и соискателем - другая цель обработки ПДн, отличная от обработки ПДн работника; не определен перечень ПДн: нет ИНН, СНИЛС (это ПДн); неполный перечень категорий субъектов: нет кандидатов, родственников, уволенных работников; правовые основания не выбраны: согласие - одно из основных правовых оснований; отсутствие информации о БД: указаны не все места нахождения БД (нужно прописывать полный адрес); не проводится аудит; не соблюдаются рекомендации РКН;
⁃ Инспектор при проверке ориентируется на уведомление об обработке ПДн; инф из уведомления далее отражается в лна оператора;
⁃ При использовании аналитики (например, от Google, Яндекс) необходимо учитывать требования 152фз, правовым основанием обработки может быть согласие в электронной форме, субъекта необходимо уведомить о такой обработке (как и в гдпр);
⁃ Непредоставление в РКН сведений об изменении уведомления (изменении перечня ПДн, перечня субъектов, адресов БД, отв лица за обработку ПДн);
⁃ Не назначен отв за обработку ПДн, следует обратить внимание, что отв должен иметь достаточную власть и влияние для исполнения своих обязанностей, обязанности должны быть прописаны в ДИ; должен быть один отв, а не несколько. Отв лицо может делегировать часть функционала другим работникам, но отв несет он;
⁃ Отсутсвует политика и лна по ПДн. Оператор самостоятельно определяет количество документов, это может быть как один документ, так и насколько. Операторы забывают о требованиях закона о доступе к документу субъектов ПДн. Если собираете ПДн при помощи веб-сайта, на веб-сайте должна быть политика размещена. В отсутствии сайта разместить можно документна внутреннем портале, на информационном щите, в любом месте на выбор оператора, главное, чтобы документ был доступен субъектам;
⁃ Неознакомление работников оператора, участв в обработке ПДн, с положениями законодательства по ПДн. Примерный перечень НПА размещён на веб-сайте РКН. Также следует учитывать профильные акты (банковская сфера);
⁃ Не задокументирована информация о местах хранения ПДн;
⁃ Отсутствие или наличие неактуального перечня лиц, имеющих доступ к ПДн;
⁃ Не ознакомление работников с порядком обработки ПДн без использования средств автоматизации, в том числе работников подрядной организации;
⁃ Некорректно составлена письменная форма согласия;
⁃ Отсутствует уполномоченный представитель оператора при проверке, на этом основании проверка мб остановлена, на решение вопроса: 1 месяц, или инспектор придёт на проверку в теч года без уведомления оператора. Оформляется приказом о возложению обязанностей по взаимод, внешний консалт - нужна доверенность;
Рекомендации: внутренний аудит может быть оформлен в виде акта, пояснительной записки.
Согласно ТК РФ работники должны быть ознакомлены с лна под роспись.
Согласие на бумаге и согласие в письменной форме - это разные сущности.
Должностные лица РКН не осуществляют консультирование операторов при проверке.