[tec]

Есть небольшая локалка, на 150 человек. 

С клиентами заключены договора.

Пока нас никто не трогает, но хочется заранее подстелить соломки.

Сильно не изучал вопрос, но знаю что за хранение персональных данных может влететь.

 

Слышал что надо являться оператором персональных данных(что это означает мне не понятно),

видел ссылки на документ перед личным кабинетом Условия обработки информации о пользователях

Прошу просвятить

[jffulcrum]

Оператором персональных данных (ПД) вы являетесь просто по факту их обработки. Поскольку законодательство обязывает вас идентифицировать абонентов, вариантов не быть оператором у вас нет. Вопрос стоит в разрезе: должны ли вы уведомлять РКН об обработке персональных данных. Это определяется статьей 22 ФЗ "О персональных данных". Если вы обрабатываете только договора с абонентами и никуда больше не передаете, формально можно не уведомлять. Если же данные идут куда-то еще - сами посмотрите заполняемые формы уведомления и примите верное решение прекратить такую практику.

 

Наличие или отсутствие уведомления не снимает с вас целого ряда обязанностей, в т.ч. в разработке документации и принятии организационных и технических мер по защите данных. Например, личного кабинета, если в нем принимаются или показываются какие-либо ПД. Смотрите текст закона 152-ФЗ. Конкретное наполнение документами и мерами дистанционно сформировать трудно, имеет смысл поискать консультантов на местности.

[alibek]

56 минут назад, jffulcrum сказал:

Если вы обрабатываете только договора с абонентами и никуда больше не передаете, формально можно не уведомлять.

В реальности не уведомлять почти невозможно.

Даже если деперсонализировать все взаимодействие с абонентами, есть еще сотрудники (штат).

Если у сотрудников есть дети и сведения о них подаются для получения вычетов или каких-то социальных выгод — это уже выходит за рамки трудового договора.

[svcons]

5 часов назад, alibek сказал:

Если у сотрудников есть дети и сведения о них подаются для получения вычетов или каких-то социальных выгод — это уже выходит за рамки трудового договора.

В п.1 ч.2 ст.22 закона 152-ФЗ речь не о трудовом договоре, а о трудовом законодательстве.

Хотя по сути Вы правы. Но если надзор удовлетворится ссылкой на ст.22, то и направлять не стоит.

Вообще поданное уведомление чуть ли не главный предмет проверки при плановых проверках. Проверяют содержание на соответствие. И штрафуют за недостоверные сведения.

[Галушко Дмитрий]

5 часов назад, alibek сказал:

В реальности не уведомлять почти невозможно.

Даже если деперсонализировать все взаимодействие с абонентами, есть еще сотрудники (штат).

Если у сотрудников есть дети и сведения о них подаются для получения вычетов или каких-то социальных выгод — это уже выходит за рамки трудового договора.

да, сейчас пошли проверки по ПДн...

И часто, если отмораживаться, боком выходит - в Плановую проверку начинают включать...

А это 3 листа мелким шрифтом различных документов по Перс.Данным...

[svcons]

8 часов назад, tec сказал:

видел ссылки на документ перед личным кабинетом Условия обработки информации о пользовател

Сайт (как правило) является информационный системой, содержащей персональные данные (ПДн). К таким ИСПДн особые требования. Два из них: 1- получать согласие на обработку ПДн 2- публиковать политику по защите ПДн.

 

[ALaddin]

15 часов назад, tec сказал:

Есть небольшая локалка, на 150 человек. 

А лицензия на услуги связи есть?

[ayf]

17 часов назад, svcons сказал:

Сайт (как правило) является информационный системой, содержащей персональные данные (ПДн). К таким ИСПДн особые требования. Два из них: 1- получать согласие на обработку ПДн 2- публиковать политику по защите ПДн.

 

Это какие персональные данные на сайте-визитке?

[svcons]

Возможно, что и нет. Написано же - "как правило". Как правило на сайтах есть формы обратной связи.