"Безопасность для всех"

Главная  Словари  Каталог   О проекте   Карта сайта   Контакты    Старая версия сайта

       
Поиск   
Главное меню

AdSense

Реклама mainlink


19.10.11 20:29 | «Грабли», на которые мы наступаем
Раздел: Организационные вопросы ЗИ | Автор: Гость | Рейтинг: 0.00 (0) Оценить | Хитов 2442
«Грабли», на которые мы наступаем

Осень – время собирать урожай. Но сегодня мы «собираем урожай» не за один год, а за целых пять лет, ведь именно столько прошло с момента, когда в российском законодательстве появился новый нормативный правовой акт – Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – ФЗ-152). К сожалению, ежегодно подводя итоги, мы из раза в раз отмечали, что, выполняя требования законодателей, операторы персональных данных наступают на одни и те же «грабли» и не стремятся их убрать или переступить через них, чтобы в дальнейшем избежать новых проблем.



Итак, что же это за «грабли», с которыми организации сталкиваются, только начиная свою деятельность в качестве оператора персональных данных? Многое из того, что будет сказано в данной статье, покажется уже далеко не новой информацией. Но, с другой стороны, если с проблемами не удалось справиться с первого раза и «шишки набиваются» на одном и том же месте, наверное, надо об этих проблемах говорить постоянно, а если будет необходимость, то даже кричать.

Осень – время собирать урожай. Но сегодня мы «собираем урожай» не за один год, а за целых пять лет, ведь именно столько прошло с момента, когда в российском законодательстве появился новый нормативный правовой акт – Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – ФЗ-152). К сожалению, ежегодно подводя итоги, мы из раза в раз отмечали, что, выполняя требования законодателей, операторы персональных данных наступают на одни и те же «грабли» и не стремятся их убрать или переступить через них, чтобы в дальнейшем избежать новых проблем.

Итак, что же это за «грабли», с которыми организации сталкиваются, только начиная свою деятельность в качестве оператора персональных данных? Многое из того, что будет сказано в данной статье, покажется уже далеко не новой информацией. Но, с другой стороны, если с проблемами не удалось справиться с первого раза и «шишки набиваются» на одном и том же месте, наверное, надо об этих проблемах говорить постоянно, а если будет необходимость, то даже кричать.

УВЕДОМЛЕНИЕ О НАЧАЛЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


Если не подать уведомление в Роскомнадзор - проверка не придет

Ошибочное мнение и первые «грабли», на которые наступила уже не одна тысяча операторов персональных данных. Но обо всем по порядку.

Статья 22 Федерального закона «О персональных данных» гласит, что «оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных». Именно на основании получения уведомления осуществляется включение той или иной организации в Реестр операторов, осуществляющих обработку персональных данных (далее – Реестр). «Реестр – перечень, список операторов, осуществляющих обработку персональных данных». Заметьте - ни слова о проверках.

На самом деле ведение Реестра обусловлено необходимостью обеспечения доступа граждан к информации о деятельности оператора, связанной с обработкой персональных данных. Кроме того, информация, предоставляемая оператором на этапе подачи уведомления, позволяет оценить соответствие принимаемых им мер по защите информации применительно к категориям обрабатываемых персональных данных. «Регистрация в Реестре позволяет легитимизировать деятельность по обработке персональных данных оператора, снять недоверие, которое может возникнуть у граждан, персональные данные которых оператор берется обрабатывать»[1]. Об этом мы писали на страницах журнала еще в феврале 2011 года.

Контрольно-надзорная деятельность регулятора никак не связана с ведением Реестра и регулируется совершенно иными документами. Если мы ознакомимся с планом проверок операторов персональных данных, который находится в открытом доступе, и сравним его с Реестром, то увидим, что в перечне проверяемых организаций есть и те, кто подал уведомление и включен в Реестр, и те, кто посчитал не нужным выполнять эту процедуру. А если ваша организация «осчастливлена» внеплановой проверкой[2], то тут уже никого, кроме себя, винить не приходится. Внеплановая проверка проводится чаще всего на основании жалоб субъектов или из-за неисполнения ранее выданного предписания.

Так что подавай или не подавай уведомление, все равно рано или поздно организация будет проверена на предмет исполнения законодательства о персональных данных. И если в соответствии с законом вы обязаны были подать уведомление и не сделали этого, руководствуясь как раз вышеназванным «мифом», сразу же последуют соответствующие санкции вплоть до передачи дела в суд за нарушение статьи 19.7 КоАП РФ[3]. Стоит ли рисковать?

Уведомление – простая формальность, поэтому не стоит тратить на его подготовку много времени

Многие именно так и поступают, готовя данный документ буквально «на коленке», особо не задумываясь о том, что вписывают в соответствующие графы. Самое главное подготовили, а уж как – никто вчитываться не будет. Совершенно неправильная точка зрения: вчитываются, и еще как! И проводимые проверки доказывают это с завидной регулярностью. Постоянно выдаются предписания, в которых отмечается, что сведения, указанные в уведомлении, являются неполными или недостоверными.

Поэтому совет. В первую очередь, составляя данный документ, ознакомьтесь с требованиями, предъявляемыми к нему Федеральным законом «О персональных данных» (часть 3 статьи 22). Затем не поленитесь внимательно изучить принятый 19 августа 2011 года Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №706 «Об утверждении образца формы уведомления об обработке персональных данных». Этот документ содержит подробные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных. Лучше один раз сделать правильно, чем потом выполнять «работу над ошибками».

Полную версию статьи читайте в специальном номере информационно-аналитического журнала "Персональные данные" (<a href="http://www.privacy-journal.ru/issue/97">http://www.privacy-journal.ru/issue/97)</a>

 
 

Родственные ссылки
» Другие статьи раздела Организационные вопросы ЗИ

5 cамых читаемых статей из раздела Организационные вопросы ЗИ:
» Разработка системы защиты конфиденциальной информации
» ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ
» Специальной документооборот на предприятии и защита информации на электронных носителях
» Организация конфиденциального делопроизводства
» Проблема утечки информации при ротации кадров

5 последних статей раздела Организационные вопросы ЗИ:
» 5 действий, которые нужно предпринять, чтобы соответствовать правилам GDPR
» Причина большинства утечек информации – сбои системы и человеческий фактор
» Проблема утечки информации при ротации кадров
» «Грабли», на которые мы наступаем
» Жилищный кодекс и персональные данные.

¤ Перевести статью в страницу для печати
¤ Послать эту cтатью другу

MyArticles 0.6 Alpha 9 for RUNCMS: by RunCms.ru

С НАСТУПАЮЩИМ НОВЫМ ГОДОМ!!!

Социальные сети

PR-CY.ru Rambler's Top100
Яндекс.Метрика

RunCms Copyright © 2002 - 2018
- Free Opensource CMS System - 
- Click here to visit our mainsite! -
Design By Farsus
Hosted by ARAX COMMINICATIONS
Право, Нотариат
Пейнтбол в Молдове
- Генерация страницы: 0.034407 секунд -