У нас тоже есть старое положение, но оно теперь требует срочной актуализации, а помимо него там список необходимых документов по ПД ещё ого-го.. И пересмотреть думаю проформу согласий работников на предмет "конкретики". Вобщем работы ещё предстоит)))
Я кадровик. Возбудила бухгалтеров нескольких компаний - впервые слышат; юриста - изучил вкратце вопрос, сказал видимо да, нужно уведомлять; приходящего айтишника расспросила, сказал ни один его клиент с таким запросом не обращался. Действую как пальцем по воде.
Тот же вопрос ) Вот что нашла в Пост.Правительства от 01.11.12 № 1119, п. 13, г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз." - причем это требование работает уже для минимального уровня защищенности 4. Остается понять как расценивать фразу в конце предложения? 🙃
Те, кто имеют доступ к ПД - на них, я так поняла, составляется другой приказ, что они допущены по роду деятельности к ПД, и перечень к каким именно ПД. Но ответственное лицо - одно (по сути закона, да и в форме уведомления там только одного возможно вписать). Он и будет нести ответственность, если допущенные лица накосячат. И да, хороший вопрос - как это проверять будут по каким каналам и в каком виде утекло? По айпи, или почте/скайпу? Банально в комп работника зайти, набрать в поисковике "паспорт.." или любой другой документ - и выскочит, понятно таких вещей не должно вообще храниться, ну и бумажных копий само собой быть не должно, и вот ответственный и должен за этим всем следить и разъяснять лицам, допущенным.
И аналогичный вопрос касаемо использования фотографий сотрудников (внутренний корпоративный портал, или в качестве аватарки в гугл-почте, например)? 🤔
ну не один чел, обычно выписывают штраф на компанию (побольше), на руководителя (поменьше) и на должностное лицо, если было ответственное, но что-то пошло не так 🙄 Мне больше интересен момент, что человек, ответственный по приказу за организацию обработки ПД, он ее по факту может и не касаться. Он организует, ознакамливает с ЛНА и требованиями закона, проверяет исполнение требований, принимает заявления от субъектов и т.д. А вот лица, допущенные к ПД и непосредственно обрабатывающие их - у них как раз карты в руках, но в случае чего - платить и отвечать будет первый ) Т.е. штраф выпишут ему, а допущенных просто пожурят выговором? ) Так получается?
О, мы к тому же округу относимся ) Если вы заполняли, то что указывали в разделе Описание мер? В одном образце увидела перечень, но когда показала его нашему айтишнику, увидела удивленные глаза ))) Там речь шла про 3 уровень защищенности ПД, который подразумевает определенные требования, которые в свою очередь и вызывают множество вопросов.. ))
Согласна. Читала, что если такого приказа нет - по умолчанию ответственный руководитель организации. Тут уж как руководитель решит, на кого возложить эти обязанности..
Ранее был приказ о назначении ответственного за обработку ПД, а теперь смотрю и формулировка изменилась - ответственный за организацию обработки ПД. Тут несколько шире функции, я так понимаю )
Коллеги, подскажите, если в офисе установлено видеонаблюдение - нужно ли ставить галочку "биометрические ПД"? Мнения разнятся в зависимости от цели, 1. если видеонаблюдение ведется с целью предупредить противоправные действия на своей территории и обеспечить сохранность имущества - когда такая видеозапись не будет использоваться для установления личности человека, т.е. не будет обработки биом. ПД и когда согласия не требуется, и 2. если с намерением использовать полученные записи как доказательства ненадлежащего исполнения работниками должностных обязанностей или совершения правонарушения. В этом случае по видеозаписи будут устанавливать личность провинившегося работника и, соответственно, произведут обработку биометрических персональных данных - тогда будет обработка ПД и потребуется согласие. Запуталась в этом 😫 Вобщем, у кого есть видео- вы отметили этот пункт в уведомлении?
Чудесно!))) Ну, сервер на территории РФ - это уже хорошо!) Я тоже указала собственный ЦОД и адрес нашей компании 👌
У нас тоже есть старое положение, но оно теперь требует срочной актуализации, а помимо него там список необходимых документов по ПД ещё ого-го.. И пересмотреть думаю проформу согласий работников на предмет "конкретики". Вобщем работы ещё предстоит)))
Благодарю!
А вы не подскажете вашу формулировку пункта Описание мер, предусмотренных ст 18.1 и 19 ФЗ, пожалуйста?
Я кадровик. Возбудила бухгалтеров нескольких компаний - впервые слышат; юриста - изучил вкратце вопрос, сказал видимо да, нужно уведомлять; приходящего айтишника расспросила, сказал ни один его клиент с таким запросом не обращался. Действую как пальцем по воде.
Тот же вопрос ) Вот что нашла в Пост.Правительства от 01.11.12 № 1119, п. 13, г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз." - причем это требование работает уже для минимального уровня защищенности 4. Остается понять как расценивать фразу в конце предложения? 🙃
Те, кто имеют доступ к ПД - на них, я так поняла, составляется другой приказ, что они допущены по роду деятельности к ПД, и перечень к каким именно ПД. Но ответственное лицо - одно (по сути закона, да и в форме уведомления там только одного возможно вписать). Он и будет нести ответственность, если допущенные лица накосячат. И да, хороший вопрос - как это проверять будут по каким каналам и в каком виде утекло? По айпи, или почте/скайпу? Банально в комп работника зайти, набрать в поисковике "паспорт.." или любой другой документ - и выскочит, понятно таких вещей не должно вообще храниться, ну и бумажных копий само собой быть не должно, и вот ответственный и должен за этим всем следить и разъяснять лицам, допущенным.
И аналогичный вопрос касаемо использования фотографий сотрудников (внутренний корпоративный портал, или в качестве аватарки в гугл-почте, например)? 🤔
ну не один чел, обычно выписывают штраф на компанию (побольше), на руководителя (поменьше) и на должностное лицо, если было ответственное, но что-то пошло не так 🙄 Мне больше интересен момент, что человек, ответственный по приказу за организацию обработки ПД, он ее по факту может и не касаться. Он организует, ознакамливает с ЛНА и требованиями закона, проверяет исполнение требований, принимает заявления от субъектов и т.д. А вот лица, допущенные к ПД и непосредственно обрабатывающие их - у них как раз карты в руках, но в случае чего - платить и отвечать будет первый ) Т.е. штраф выпишут ему, а допущенных просто пожурят выговором? ) Так получается?
О, мы к тому же округу относимся ) Если вы заполняли, то что указывали в разделе Описание мер? В одном образце увидела перечень, но когда показала его нашему айтишнику, увидела удивленные глаза ))) Там речь шла про 3 уровень защищенности ПД, который подразумевает определенные требования, которые в свою очередь и вызывают множество вопросов.. ))
Согласна. Читала, что если такого приказа нет - по умолчанию ответственный руководитель организации. Тут уж как руководитель решит, на кого возложить эти обязанности..
Ранее был приказ о назначении ответственного за обработку ПД, а теперь смотрю и формулировка изменилась - ответственный за организацию обработки ПД. Тут несколько шире функции, я так понимаю )
Коллеги, подскажите, если в офисе установлено видеонаблюдение - нужно ли ставить галочку "биометрические ПД"? Мнения разнятся в зависимости от цели, 1. если видеонаблюдение ведется с целью предупредить противоправные действия на своей территории и обеспечить сохранность имущества - когда такая видеозапись не будет использоваться для установления личности человека, т.е. не будет обработки биом. ПД и когда согласия не требуется, и 2. если с намерением использовать полученные записи как доказательства ненадлежащего исполнения работниками должностных обязанностей или совершения правонарушения. В этом случае по видеозаписи будут устанавливать личность провинившегося работника и, соответственно, произведут обработку биометрических персональных данных - тогда будет обработка ПД и потребуется согласие. Запуталась в этом 😫 Вобщем, у кого есть видео- вы отметили этот пункт в уведомлении?