Конференция по вопросам информационной безопасности Четверг, 28.03.2024, 14:39
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Kostik, anvolkov  
Форум » Персональные данные » Общие вопросы » Дата начала обработки персональных данных
Дата начала обработки персональных данных
Dzirt (Колосовский Мирослав)Дата: Четверг, 22.07.2010, 10:13 | Сообщение # 1
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
При заполнении формы уведомления об обработке персональных данных требуется указать дату начала обработки персональных данных. Ситуация следующая:
Организация образована в 2004 году путем переименования из другой, правопреемником которой она является. В свою очередь эта организация образована в 2002 году путем слияния 2-ух организаций.
Итак, какую же из дат указать в качестве даты начала обработки ПДн:
1) 2004 год - год образования нынешней организации?
2) 2002 год - год образования организации, правопреемником которой является нынешняя организация?
3) год образования какой-либо из организаций, из которых была образована организация, правопреемником которой является нынешняя организация?


Сообщение отредактировал Dzirt - Четверг, 22.07.2010, 10:32
 
anvolkov (Алексей Волков)Дата: Четверг, 22.07.2010, 21:57 | Сообщение # 2
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Все зависит от того, что это за хозсубъект и каким образом осуществлялось преобразование. В классических случаях, когда объединение осуществляется методом создания нового и ликвидации двух старых с внесением соответствующей информации в госреестр, это должна быть дата создания организации, на которую оформляется уведомление. В нетипичных случаях - надо разбираться. Но если воспользуетесь приведенным примером я полагаю особого криминала не будет - в худшем случае РКН "завернет" уведомление и укажет на несоответствие, вот тогда Вы у него и спросите, как его устроит.
 
Dzirt (Колосовский Мирослав)Дата: Пятница, 23.07.2010, 11:16 | Сообщение # 3
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
В РКН было направлено письмо с этим вопросом - 3 день ни ответа, ни привета. Объединение происходило путем присоединения организации "2" к организации "1". Т.е. у новой организации название и реквизиты остались от организации "1". С другой стороны 152 ФЗ был принят в 2006 году, следовательно, как я думаю, проверяющих будет интересовать, кто после этой даты обрабатывает ПДн, а не до нее. Хотя нынешняя организация начала обрабатывать уже собранные ранее ПДн и соответственно, возникнет вопрос – откуда ПДн появились. Какой-то кубик-рубика получается. =)
 
Andrey_cm (Андрей)Дата: Пятница, 23.07.2010, 12:53 | Сообщение # 4
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Есть еще один интересный момент: чтобы начать обработку в общем случае нужно согласие субъекта. До получения согласия оператор не имеет права обрабатывать ПДн этого субъекта. Т.о. получается, что дата начала обработки ПДн должна быть после даты получения первого согласия. В действительности это выполнить не всегда возможно (как раз случай когда обработка велась еще до вступления ФЗ 152 в силу, или же как 99% операторов узнали о ФЗ 152 в 2010м году).
Понятно, что за такое РКН не должен наказывать, но то, что будет нестыковка в датах дак это точно.

Сейчас на гос. учреждения спускают сверху бумаги на заполнение уведомления. И многие заполняют, хотя у них не подготовлен пакет внутренних документов. И получается, что уведомление отослано, в реестре зарегистрированы, а все внутренние приказы, акты, регламенты и инструкции по датам идут после регистрации как оператора. Я особенно удивился, когда в одном таком учреждении на мой вопрос "а на основании чего вы в уведомлении написали, что у вас К3, у вас же не аудита ни акта классификации нет?" ответили "дак это нам сказали". wink

 
Dzirt (Колосовский Мирослав)Дата: Пятница, 23.07.2010, 13:15 | Сообщение # 5
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
Для подачи уведомления не требуется наличие всего пакета документов (ЗЫ я на эту тему диплом писал smile ) Сопоставлять будут не даты создания ИСПДн и даты получения согласия, а будут сверять дату подачи уведомления и дату получения согласия.
 
Andrey_cm (Андрей)Дата: Пятница, 23.07.2010, 15:06 | Сообщение # 6
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Согласен, что полного пакета не нужно, но по крайней мере приказ о перечне пдн, акт классификации испдн и подобные должны быть, иначе информация в уведомлении будет недостоверная. По идее в форме уведомления от РКН нет класса системы, однако в форме, которую дают заполнить гос. учреждению (я эти формы видел) этот пункт имеется, и без акта классификации (а за ней и модели угроз) не очень понятно, как они этот пункт заполняют.
Что касается несоответствия дат, то смотрите сами.
Создание ИСПДн - это фактически сбор данных в базе в какой-то АС (по определению сбор - это уже обработка ПДн).
"Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных" Следовательно сначала согласие - потом начало обработки ПДн.
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных" Следовательно сначала уведомление, потом начало обработки ПДн.
Понятно, что для "уже существующих" ИСПДн эти формулировки выполнить невозможно.
ЗЫ Прямой связи между подачей уведомления и согласием, что-то в законе не наблюдается.


Сообщение отредактировал Andrey_cm - Пятница, 23.07.2010, 15:23
 
Dzirt (Колосовский Мирослав)Дата: Понедельник, 26.07.2010, 11:37 | Сообщение # 7
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
Итак Роскомнадзор ответил, цитирую:
"Датой начала обработки персональных данных является дата создания первой организации, правопреемником которой (в результате присоединения, слияния, переименования и т.п.) стала Ваша организация. Правопреемство должно быть подтверждено документально (документы должны быть в Вашей организации, в наш адрес направлять их не нужно)."
Прислали красивый скан документа на фирменном бланке с датой, номером и подписью smile


Сообщение отредактировал Dzirt - Понедельник, 26.07.2010, 11:41
 
Форум » Персональные данные » Общие вопросы » Дата начала обработки персональных данных
  • Страница 1 из 1
  • 1
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz