Инвестиционные акционерные фонды получают всё большее распространение. На фоне традиционного недоверия отечественных граждан к банкам, фондовым биржам и другим подобным структурам инвестиционные фонды выгодно выделяются. По сути, они объединяют в себе все те качества, которыми должна обладать идеальная машина для получения денег.
19.08.2016, 15:37:31
Войти Зарегистрироваться
Авторизация на сайте

Ваш логин:

Ваш пароль:

Забыли пароль?

Регистрация
Навигация
  • Новости
    • Новости
    Архив новостей
    Реклама
    Календарь событий
    Right Left

    Керівництво щодо заповнення повідомлення оператора персональних даних

    В третій частині циклу статей, присвячених підготовці до перевірок Роскомнадзора по виконанню вимог законодавства «Про персональні дані» я розповів про важливість правильного заповнення повідомлення, про випадки коли повідомлення потрібно заповнювати і там же пообіцяв докладніше розповісти про те, як заповнювати кожне поле повідомлення

    В третій частині циклу статей, присвячених підготовці до перевірок Роскомнадзора по виконанню вимог законодавства «Про персональні дані» я розповів про важливість правильного заповнення повідомлення, про випадки коли повідомлення потрібно заповнювати і там же пообіцяв докладніше розповісти про те, як заповнювати кожне поле повідомлення. Власне, ця стаття як раз і є тим самим туторіали щодо заповнення.

    Здавалося б, за найменуваннями багатьох полів інтуїтивно має бути зрозуміло, що саме в них писати. Але практика показує, що у багатьох операторів персональних даних виникає безліч питань, а деякі впадають в справжнісінький ступор при спробі заповнити всі поля.

    Отже, повідомлення оператора, як ми пам'ятаємо, заповнюється на порталі персональних даних Роскомнадзора . Тепер подивимося на кожне з полів.

    З першими позиціями ніяких проблем бути не повинно: вибираємо територіальне управління Роскомнадзора, в яке має бути відправлене повідомлення; потім вибираємо тип оператора; вводимо повне та скорочене найменування оператора відповідно до установчих документів; вказуємо фактичний і юридичний адреси; вибираємо свій регіон і заповнюємо реквізити організації (обов'язковими є тільки ІПН і ОГРН, інші можна не заповнювати); якщо у організації є філії, додаємо інформацію про них.

    А ось вже наступні поля не так інтуїтивно зрозумілі і можуть викликати ряд питань.

    У графі «Правова підстава обробки персональних даних» можна вказувати всі нормативно-правові та внутрішні документи, які так чи інакше можуть бути пов'язані з обробкою ПДН. Починають зазвичай з 152-ФЗ і ТК РФ, продовжують законодавством, що належать до сфери діяльності організації (наприклад, якщо це медичний заклад, то пишемо сюди ж 323-ФЗ і інші нормативні акти, як федерального, так і регіонального масштабу, які стосуються охорони здоров'я) і закінчують статутом підприємства.

    «Мета обробки персональних даних». Тут потрібно бути дуже акуратним. В циклі статей , Присвячених підготовці до перевірок, я говорив про те, що 152-ФЗ прямо і недвозначно забороняє обробляти персональні дані, надлишкові по відношенню до заявлених цілей такої обробки. Наприклад, організація не має права вимагати паспортні дані з здобувача на вакантну посаду, тому що такі дані абсолютно зайві для підбору кандидата. А ось коли ви вже когось вибрали і підписуєте трудовий договір - зовсім інша справа. Так ось, далі склад персональних даних ми будемо теж вказувати. І повірте мені, у перевіряючих вже набитий очей на невідповідність заявлених цілей і категорій ПДН, тому якщо халатно поставитися до заповнення цих даних, Роскомнадзор може вже до початку перевірки визначитися з її результатом. І навіть якщо ви переконаєте перевіряючих, що просто випадково заповнили зайві ПДН в повідомленні, а насправді їх не обробляєте, то напишуть в порушеннях «вказівку неповних / недостовірних відомостей у повідомленні» замість «порушення правил обробки персональних даних» та справа в капелюсі. Для багатьох комерційних організацій в цій графі буде коректно написати, наприклад, так: «Забезпечення кадрового та бухгалтерського обліку, підбір персоналу на вакантні посади, надання послуг [перелік послуг]».

    Наступний розділ один з найскладніших і незрозумілих. Роскомнадзор хоче, щоб ми описали вжиті заходи, передбачені статтями 18.1 і 19 закону «Про персональні дані». Насправді тут найпростіше взяти і перерахувати всі ці заходи в тому контексті, що вони у вас виконані. Я думаю тут не потрібно загострювати увагу на тому, що вони дійсно повинні бути виконані. Принаймні до перевірки. Нижче наведу приклад, як можна все це описати:

    Призначена особа, відповідальна за організацію обробки персональних даних. Затверджено документи, що визначають політику організації по відношенню до обробки персональних даних і встановлюють процедури, спрямовані на запобігання та виявлення порушень законодавства. До таких документів, зокрема, відносяться: план заходів щодо забезпечення безпеки персональних даних в ІСПДн «Бухгалтерія і кадри»; перелік персональних даних, що підлягають захисту; перелік інформаційних систем персональних даних; положення про розмежування доступу до персональних даних; наказ про затвердження переліку осіб, допущених до обробки персональних даних; положення про обробку і захист персональних даних; політика щодо обробки персональних даних; правила обробки персональних даних без використання засобів автоматизації; наказ про затвердження місць зберігання персональних даних та осіб, відповідальних за дотримання конфіденційності персональних даних при їх зберіганні. Усунення наслідків порушень законодавства РФ проводиться відповідно до чинного законодавства РФ, відповідно до положення про обробку і захист персональних даних, а також відповідно до інструкції адміністратору безпеки персональних даних і відповідно до порядку резервування і відновлення працездатності технічних засобів і програмного забезпечення, баз даних і засобів захисту інформації. Внутрішній контроль відповідності обробки персональних даних законодавству РФ в даній сфері здійснюється відповідно до плану внутрішніх перевірок, інструкцією адміністратора безпеки і положенням про обробку і захист персональних даних. Для інформаційної системи персональних даних розроблена модель загроз безпеки персональних даних, в якій при визначенні небезпеки загроз проводиться оцінка шкоди, яку може бути заподіяно суб'єктам персональних даних в разі порушення законодавства. На сайті www.example.ru опублікована політика щодо обробки персональних даних. Для інформаційної системи персональних даних розроблено технічне завдання на створення системи захисту інформації та ескізний проект системи захисту інформації, який передбачає виконання визначених законодавством заходів для інформаційної системи третього рівня захищеності, а також заходів, спрямованих на нейтралізацію загроз, визначених як актуальні в моделі загроз безпеки. Ескізний проект повністю реалізований, що говорить про виконання визначених законодавством заходів і про нейтралізацію актуальних загроз безпеки в інформаційній системі персональних даних. Проведено оцінку ефективності вжитих заходів щодо забезпечення безпеки персональних даних. Облік машинних носіїв проводиться у відповідному журналі. Виявлення фактів несанкціонованого доступу до персональних даних та вжиття заходів здійснюється за допомогою використовуваних засобів захисту інформації відповідно до інструкції адміністратора безпеки. Правила доступу до персональних даних затверджені у відповідному положенні, технічно реалізуються за допомогою засобів захисту інформації. Співробітники, допущені до обробки персональних даних, проходять інструктажі з інформаційної безпеки, підписують угоду про нерозголошення персональних даних, ознокамліваются з документами щодо захисту персональних даних під розпис.

    У відомостях про забезпечення безпеки персональних даних вказується перелік засобів захисту інформації, що застосовуються в ІСПДн. На щастя, ці відомості не публікуються у відкритому доступі для всіх бажаючих, тому можна вказувати всі використовувані СЗІ.

    Дата початку обробки ПДН зазвичай збігається з датою заснування компанії (реєстрації).

    Наступним пунктом зазвичай вибирається «Умова закінчення обробки ПДН» і в якості умови вказується «Припинення діяльності організації».

    У розділі «Категорії персональних даних» спочатку відзначаємо чекбоксами оброблювані категорії, а потім в поле «Інші категорії персональних даних, не зазначених в даному переліку» вказуємо ті ПДН, яких в списку немає, причому краще це зробити окремо для різних категорій суб'єктів, наприклад: «Інші категорії ПДН працівників: [перелік ПДН працівників]. Інші категорії ПДН клієнтів: [перелік ПДН клієнтів].

    У розділі «Категорії суб'єктів, персональні дані яких обробляються» вказуємо ще раз перелік категорій осіб, чиї дані у нас зберігаються або обробляються, наприклад: «Співробітники, здобувачі на вакантні посади, контрагенти, клієнти». Загалом ще раз повторюємо те, що вже вказали в попередньому пункті.

    В поле «Перелік дій з персональними даними» найпростіше процитувати визначення обробки ПДН з 152-ФЗ: «збір, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передача (поширення, надання, доступ) , знеособлення, блокування, видалення, знищення ». Природно, дії, які не є актуальними для вашої організації (наприклад, знеособлення) потрібно прибрати з цього списку.

    Далі вказуємо спосіб обробки ПДН, зазвичай це «змішана, з передачею по внутрішній мережі юридичної особи, з передачею по мережі Інтернет».

    Потім від нас хочуть дізнатися, передаємо ми ПДН за кордон. Якщо немає, то декларуємо відсутність транскордонної передачі. Якщо так, доведеться ще й вказати всі країни, в які передаються дані.

    І останнє в цьому блоці - використання криптографії. Якщо вона не використовується, то йдемо далі. Якщо відповідаємо ствердно, то нас попросять написати найменування таких засобів захисту і їх клас. Всі ці дані можна дізнатися з документації на кріптосредство. Скажу тут лише, що кріптосредства класів КВ і КА використовуються для держтаємниці, а держтаємниця 152-ФЗ не регулюється, тому в звичайних ІСПДн можуть бути 3 варіанти використовуваного кріптосредства - КС1, КС2 або КС3 (і то, скоріше навіть варіанти 2, тому що КС1 практично не застосуємо через положень 378 наказу ФСБ).

    Наступний розділ форми з'явився з 1 вересня 2015 року. Всім, хто заповнював повідомлення давно, необхідно внести в нього зміни і доповнити його даними про ЦОДі. Так, не дивуйтеся, локальна база 1С-Бухгалтерія, розгорнута на комп'ютері головбуха це в розумінні Роскомнадзора теж ЦОД ... Так ось, про що я? Вибираємо країну, в якій розташовується наш «ЦОД» і вказуємо його адресу. Далі з одного боку начебто потрібно вказати чи є «ЦОД» нашою власністю чи ні і якщо немає, то вказати дані власника майданчика. Але ці пункти чомусь не відзначені як обов'язкові. Тому моя думка - забиваємо і йдемо далі. До речі, якщо у вас кілька ІСПДн, то дані «Цода» потрібно вказати для кожної окремо. Навіть якщо мова йде про одну єдиною серверної.

    Далі заповнюємо дані людини, якого на підприємстві призначили відповідальним за організацію обробки персональних даних. ВАЖЛИВО! ПІБ відповідальної, його контактний телефон та e-mail будуть доступні всім бажаючим в реєстрі операторів ПДН . Майте це на увазі і, звичайно ж, краще попередити про це призначуваного людини.

    В самому кінці вказуємо дані виконавця. Виконавець, ця особа, заповнювало повідомлення про втрату чинності. Це може бути не відповідальний, а зовсім інша людина. Але, як ми бачимо, поля ці теж не обов'язкові, тому, мабуть, якщо виконавця не вказувати, то їм автоматично стає відповідальний.

    Потім ставимо галочки «на все згоден», вводимо капчу і тиснемо велику кнопку «Відправити електронне повідомлення і підготувати форму до роздруківці». Потім форму необхідно роздрукувати, підписати, поставити печатку організації (якщо є) і відправити аналогової поштою в своє управління Роскомнадзора. Через деякий час, ваші дані внесуть до реєстру.

    запис Керівництво щодо заповнення повідомлення оператора персональних даних вперше з'явилася Блог про інформаційну безпеку .

    Так ось, про що я?

    www.fashionpark.kiev.ua © 2016