Jump to content
Калькуляторы

План мероприятий по защите персональных данных и план внутренних проверок

У нас тут проверка планируется, прислали список необходимых документов. Ни у кого случайно не завалялось типовых образцов планов? Можно за пиво/колу/деньги и т. п.

Share this post


Link to post
Share on other sites

обычная плановая проверка связьнадзора. с недавних пор кроме всего прочего проверяют еще и документы, касающиеся персональных данных. около 30 штук, блин, по списку

Share this post


Link to post
Share on other sites

У нас тут проверка планируется, прислали список необходимых документов. Ни у кого случайно не завалялось типовых образцов планов? Можно за пиво/колу/деньги и т. п.

А список озвучить можно? Было бы познавательно.

Share this post


Link to post
Share on other sites

вот

Утвержденное положение о порядке обработки персональных данных в ООО "ХХХ".

Сведения о наличии архива в организации.

Сведения о лицах - сотрудниках ООО "ХХХ", осуществляющих обработку персональных данных, а так же об информировании этих лиц о факте обработки ими персональных данных.

Документы, содержащие согласие физических лиц на обработку их персональных данных согласно ч.1 ст.6, ч.З ст.9, ч.4 ст.9 Федерального закона от 27.07.2006 152-ФЗ "О персональных данных" (при наличии).

Сведения об уведомлениях субъектов персональных данных о прекращении обработки информации о них и уничтожении их персональных данных в соответствии с ч. 4 ст. 21 Федерального закона от 27.07.2006 152-ФЗ " О персональных данных" (акт об уничтожении персональных данных субъекта(ов)).

Копия уведомления об обработке персональных данных.

Должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных.

План мероприятий по защите персональных данных.

План внутренних проверок состояния защиты персональных данных.

Приказ о назначении ответственных лиц по работе с персональными данными.

Типовые формы документов, предполагающие или допускающие содержание персональных данных.

Журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях.

Приказы об утверждении мест хранения материальных носителей персональных данных.

Распечатки электронных шаблонов полей, содержащие персональные данные.

Справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных.

Заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов).

Приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов).

Журналы (книги) учета обращений граждан (субъектов персональных данных).

Иные документы, необходимые для осуществления контроля и надзора в сфере защиты прав субъектов персональных данных.

 

Share this post


Link to post
Share on other sites

Да внушительно, хотя в общем ничего особенного, за исключением пары - тройки пунктов:

Утвержденное положение о порядке обработки персональных данных в ООО "ХХХ".

Я так понимаю положение утверждается директором организации, которая и обрабатывает данные.

Сведения о наличии архива в организации.

Тут тоже все просто - архив или есть или его нет. Если есть, то должен быть отдельно от текущего документооборота и каким то образом сохранятся (тут от объема зависит, в одном случае и металлический шкаф подойдет, в другом боец с автоматом нужен)

Сведения о лицах - сотрудниках ООО "ХХХ", осуществляющих обработку персональных данных, а так же об информировании этих лиц о факте обработки ими персональных данных.

Ну тут просто реестр и журнал, единственно что лица должны быть надежные. Вроде как без судимостей и прочая.

Документы, содержащие согласие физических лиц на обработку их персональных данных согласно ч.1 ст.6, ч.З ст.9, ч.4 ст.9 Федерального закона от 27.07.2006 152-ФЗ "О персональных данных" (при наличии).

Тоже просто, формы есть, остается их заполнять.

Сведения об уведомлениях субъектов персональных данных о прекращении обработки информации о них и уничтожении их персональных данных в соответствии с ч. 4 ст. 21 Федерального закона от 27.07.2006 152-ФЗ " О персональных данных" (акт об уничтожении персональных данных субъекта(ов)).

Тут есть подводные камни, но в целом все тоже просто.

Копия уведомления об обработке персональных данных.

Вот тут не совсем понятно о какой копии речь? Скорее всего о том уведомлении что при начале обработки должны были в РСН посылать.

Должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных.

Опять таки регламент он регламент и есть.

План мероприятий по защите персональных данных.

Сильно напоминает план СОРМ :) Интересно этот план где то визировать надо?

План внутренних проверок состояния защиты персональных данных.

Ну это тоже бюрократия. Нарисовал график и спи спокойно.

Приказ о назначении ответственных лиц по работе с персональными данными.

Ничего страшного , приказом больше. ну и т.д Опасение и сомнения вызывают только следующие пункты:

Справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных. - Это я так понимаю, что компьютер на котором база стоит должен на балансе числится, а не быть из дома принесенным? Или тут какие то особые требования подразумеваются типа наличия сертификатов на него и т.д.

Заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов).

Сильный пункт - кстати а кто то встречал порядок проведения такой экспертизы? Тут одно дело использовать сертифицированные производителем средства, и совсем другое - сертифицировать свою собственную систему.

Приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов). Вот тут тоже много непонятного, кто такую комиссию создает, кто участвует. Только ли внутри организации или же кого то со стороны приглашать надо. И самое главное на основании каких критериев комиссия делает вывод и кто его оспорить может. А то назову я свою систему 4 класса и все тут, а придет проверка и начнет доказывать , что система 1-го класса.

А так в общем и целом как всегда - закон есть, нормативов и самое главное вдумчивых пояснений на конкретных примерах раз два и обчелся. Одна надежда что всем миром глядишь и приспособимся :)

 

Share this post


Link to post
Share on other sites
Утвержденное положение о порядке обработки персональных данных в ООО "ХХХ".
Надзор и это стал спрашивать?

На основании чего?

Хотя я наверное знаю как обойти.

 

 

АВС
Какие лицензии?

 

Share this post


Link to post
Share on other sites

*Риторически с пафосом: Ну почему... почему в России любую благую идею извратят и превратят в источник бессмысленного геморроя?

 

Дурдом.

Share this post


Link to post
Share on other sites
АВС

Какие лицензии?

Телематические услуги связи

Share this post


Link to post
Share on other sites
*Риторически с пафосом: Ну почему... почему в России любую благую идею извратят и превратят в источник бессмысленного геморроя?

 

Дурдом.

Антон, видимо на один отдел скинули.

Вот они и отчитываются комплексно.

 

 

 

Share this post


Link to post
Share on other sites

Ну как, чем закончилась проверка?

Share this post


Link to post
Share on other sites

Антон, прошу разжевать: что необходимо в данном случае, чтобы это не являлось источником бессмысленного геморроя?

Share this post


Link to post
Share on other sites

Как раз в тему-тема :)

Интересно как это сочетается с СОРМ? Для ФСБ можно предоставлять данные на абонентов без оглядки на ЗПД?

Из жизни.

Приятель построил сетку в поселке ( 200 абонентов) все сделал как велели: лицензия ТУС, проект, построили все грамотно. Решили сдаваться в надзор. Пошли в ФСБ просить не вводить ОРМ. Им разрешили (пока) не устанавливать, но затребовали предоставлять данные по трафику абонов, оплатам ( оказанных услугах), и персональных данных. По сути ОРМ и есть. Но передавать на СД дисках ежеквартально (как то так). И что, ЭТО нормально? Сидят думают как быть. Не предоставить - против ветра ссать, предоставить - нарушить ЗПД.

Share this post


Link to post
Share on other sites

В ЗПД же написано, что он не распространяется на случаи, когда речь идет о защите интересов государства и прочей лабуде. Тут ФСБ как раз в теме.

Share this post


Link to post
Share on other sites
Для ФСБ можно предоставлять данные на абонентов без оглядки на ЗПД
И без т.н. ЗПД распространение информации, ставшей известной в ходе исполнения договора, запрещалось нормой в ФЗ О связи.

Но и допускалось, а точнее вменялось другим законом. об ОРД. коль уж придерживаться сокращений.

 

По сабжу, операторы связи до кучи являются операторами обработки пернсональных данных (могет не точен в терминологии), но не суть. В общем тот же гос орган теперь помимо контроля за выполнением лицензионных условий, использования частот и др., контролирует и выполнение требований ЗПД. Ну а к кому ему проще идтить то, кроме как к своим уже подконтрольным и за одну проверку деятельности в области связи проводить проверку по выполнению требований ЗПД.

Share this post


Link to post
Share on other sites
Интересно как это сочетается с СОРМ? Для ФСБ можно предоставлять данные на абонентов без оглядки на ЗПД?

Из жизни.

Приятель построил сетку в поселке ( 200 абонентов) все сделал как велели: лицензия ТУС, проект, построили все грамотно. Решили сдаваться в надзор. Пошли в ФСБ просить не вводить ОРМ. Им разрешили (пока) не устанавливать, но затребовали предоставлять данные по трафику абонов, оплатам ( оказанных услугах), и персональных данных. По сути ОРМ и есть. Но передавать на СД дисках ежеквартально (как то так).

Из Жизни:

Приятель раскрывает Систему ОРМ - что не есть хорошо.

Ему пошли на уступку - А он...

Пора Приятелю СОРМ устанавливать - сразу непонятки уйдут.

 

Антон, может пора статью написать: "Персональные данные и СОРМ", как-то так.

Попкорн уже закуплен, в хорошем смысле :О)

 

 

Share this post


Link to post
Share on other sites

Раньше при запросе какой либо служебной информации интересовались - а есть ли у нас полномочия. Теперь же посылают нах, ссылаясь на закон о персональных данных и объясняют

"Если мы Вам это предоставим, то Вы нас же за это и поимеете

Share this post


Link to post
Share on other sites
Теперь же посылают нах
Часто Ваши требовали не свое и работали "на сторону".

Может и отголоски тоже, а не только ПД...

 

 

Share this post


Link to post
Share on other sites

Сергей, при проверки жалоб сложно сказать зараннее, нуны эта инфа или нет. Взять например жалоба на низкую скорость.

Пингами ессно здесь не обойдешься

Или жалоба на по левому начисленные деньги.

Edited by Нерубящий инспектор

Share this post


Link to post
Share on other sites

Нерубящий инспектор я немножко о другом писал.

 

А по сути Вашего вопроса:

- Язык мой - Враг мой.

И Конституция о этом говорит.

Засим:

- Приходите с проверкой по Закону и данными.

Жалоба: - документы

Жалоба: - документы

....

 

Share this post


Link to post
Share on other sites
Антон, может пора
Какому Антону та? :-)

Если мне то, не вижу смысла писать статью:

1. на хлеб не очень помагает зарабатывать

2. нет особой проблемы на мой взгляд.

Правильно обрабатывать информацию и предоставлять ее же в установленном законом Об ОРД порядке.

Теперь же посылают нах, ссылаясь на закон
Да и раньше на закон надо было ссылаться, только на ФЗ О связи, который отчасти уже содержал нормы по защите персональных данных.

Ну а на счет посылать, это да...- проводилась тут одна проверочка в отношении купленного. Очень вежливо просили не спрашивать откуда у них информация об абонентах 8-)

Share this post


Link to post
Share on other sites

Есть еще и закон о порядке рассмотрения жалоб. То же до того феделальный, что дальше некуда.

Только жалобы рассмариваются по понятиям, а не по закону (из личной практики)...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this