Если к Вам пришел Роскомнадзор
Как и обещал, временно буду чередовать посты про тестовые магазины и проверку со стороны Роскомнадзора, т.к. деятельность сетевых торговых точек напрямую связана с законом о персональных данных.
«Я пригласил вас, господа, с тем, чтобы сообщить вам пренеприятнейшее известие: к нам едет ревизор.» Николай Гоголь
Так началось для меня одно летнее утро в 2017 году. К проверке мы готовились почти 2 года, однако, данное известие стало неожиданной новостью. Три бравых сотрудника Роскомнадзора, после предварительного телефонного оповещения, перешагнули порог нашего офиса. В руках одно из них, в папке, наподобие «TOP SECRET», мирно дожидались своей очереди документы на ознакомление нашему директору: Уведомление о проведении плановой выездной проверки и Приказ о проведении плановой выездной проверки.
Битва за персональные данные началась!!
Что такое персональные данные (ПДн)?
Статья 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» дает такое определение:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Пример:
Иванов Иван Иванович, паспорт номер 00 00 серия 000000 – прямо определяемое физическое лицо
Иванов Иван Иванович, отец трех близняшек из старшей группы садика номер 000 – косвенно определенное физическое лицо
Директор ООО «Иванофф», телефонный номер +0 (000) 00 00 000 – определяемое физическое лицо
Чувак дылда Иванов – неопределенное (не определяемое) физическое лицо.
Кто является оператором персональных данных?
Согласно 3 статье Федерального закона «О персональных данных»:
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Пример:
вообще все)), кроме следующих исключений, пункт 2 статьи 1 Закона:
Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных (никому не передавайте книжку с телефонными номерами)) );
Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
Персональные данные, отнесены к сведениям, составляющим государственную тайну;
Персональные данные относятся к публичной информации о деятельности судов в РФ.
Так что, если Вами или Вашими сотрудниками обрабатываются ФИО, телефонные номера, должности, и прочее – Вы уже должны являться оператором персональных данных.
Как узнать, есть ли Вы в реестре операторов:
https://pd.rkn.gov.ru/operators-registry/operators-list/
Как стать оператором ПДн, и какие документы собирать и составлять опишу в следующих постах, а теперь, проверка.
Заходим на проходную и что видим.
- с нас сразу могут потребовать договор с охранной компанией,
- положение о внутреннем контроле
- журналы учета посетителей
- любую другую инфо, которая несет записи ФИО, должность, паспорт и прочее
Далее идет проверка структуры, которая производит набор кадров (отдел персонала).
- состав анкет для соискателя (нет ли избыточного сбора данных о предполагаемом сотруднике)
- проводятся ли тестирования (личные или обезличенные)
- положение о хранении документов
- положение об уничтожении документов
- договора на занимаемое помещение
- положение о кадровом резерве (если требуется в рамках работы предприятия)
- инструкции пользователей по безопасности при обработке ПДн
- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора
Могут запросить заполненные анкеты соискателей для проверки на предмет согласованности между разработанным на предприятии Положением об обработке ПДн с его исполнением
Следующая ступень проверки – именно сам отдел кадров
- проверяют форму Т-2
- состав документов личного дела сотрудника
- могут попросить предоставить дела давно и недавно устроенных сотрудников – сверить состав личных дел (может собирали избыточные сведения – копии паспортов, копии военников, фотографии и прочее)
- в каких программах обрабатываются ПДн, договора на приобретение ПО и серверов, на которых обрабатываются ПДн
- фактическое нахождение сервера с ПДн
- на каких носителях находится ПДн
- положение о хранении документов
- положение об уничтожении документов
- договора на занимаемое помещение
- инструкции пользователей по безопасности при обработке ПДн
- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора
Идем в приемную к директору
- в каких программах обрабатываются ПДн (журналы звонков, регистрация входящей почты, записки кому перезвонить и прочее)
- на каких носителях находится ПДн
- положение о хранении документов
- положение об уничтожении документов
- договора на занимаемое помещение
- инструкции пользователей по безопасности при обработке ПДн
- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора
Бухгалтерия
Ничего нового, кроме зарплатного проекта
- договор с банками, бланки (ПДн) для открытия счета сотруднику и прочее.
- в каких программах обрабатываются ПДн, договора на приобретение ПО и серверов, на которых обрабатываются ПДн
- фактическое нахождение сервера с ПДн
- на каких носителях находится ПДн
- положение о хранении документов
- положение об уничтожении документов
- договора на занимаемое помещение
- инструкции пользователей по безопасности при обработке ПДн
- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора
Юридический отдел
- в каких программах обрабатываются ПДн, договора на приобретение ПО и серверов, на которых обрабатываются ПДн
- фактическое нахождение сервера с ПДн
- на каких носителях находится ПДн
- положение о хранении документов
- положение об уничтожении документов
- договора на занимаемое помещение
- инструкции пользователей по безопасности при обработке ПДн
- подписи об ознакомлении с положением об обработке ПДн и других локальных документах оператора.
В основном, для первого и второго дня проверки – это достаточно. Какое-то время у проверяющих уйдет на ознакомление с предоставленными документами, а у Вас будет время собрать остальные документы, которые проверяющие могут запросить из собственного списка.
В следующий выпуск включу все заковыки с сайтами, внутренней ИТ структурой предприятия, бонусными картами, серверами и ПО на них, системами HelpDesk и прочей требухой.
А через один пост – разберем подготовку к тому, как заявить о себе как об операторе ПДн.
Бизнес
2.4K постов32.8K подписчиков
Правила сообщества
Разрешены только посты с тегом "моё".
Главное - полезность и применимость опыта другими участниками. Запрещены посты вроде "10 советов", всякая чухня про лендинги, мотивацию и стартапы. И особенно - бокс по переписке, то есть диванные размышления, как лучше делать, не обоснованные хотя бы одним примером. Если вы пишете на основе опыта своей компании - указывайте, какой. Лучший пост - это ваш личный опыт дела, даже если вы всего лишь сдавали бутылки.
Не делайте посты-анонсы вроде "я открыл магазин, если хотите дальше расскажу, как" - в материале сразу должны быть ценные факты.
Временно можно размещать посты с запросами на конкретные вещи для производства или поиска контактов вроде "мы умеем делать то-то, кому нужно" или "ищу поставщика такого-то".
Поскольку многие до этого места не осилили, введена премодерация. Если ваш пост подходит по правилам - пройдёт смело. Премодерация занимает от 20 минут до нескольких часов. Посты не удаляются, результат — пост в сообществе или пост переносится в общую ленту.