Ответ сдо ржд перечень лиц осуществляющих обработку персональных данных

Перечень лиц, осуществляющих обработку персональных данных без использования средств автоматизации, определяется:Должностными обязанностями сотрудникаПриказом руководителя организацииНайти другие ответы на вопросы

Связанные темы

Темы, в которых встречается данный вопрос:

Какие из приведённых нарушений, касающихся отсутствия у оператора места (мест) хранения ПДн (материальных носителей), перечня лиц, осуществляющих обработку ПДн, либо имеющих к ним доступ, согласно данным Роскомнадзора допускаются наиболее часто при обработке ПДн без использования средств автоматизации? (Выберите все правильные ответы)Не выделены и/или не обозначены места хранения ПДн (материальных носителей)Отсутствует утвержденный руководителем организации перечень лиц, осуществляющих обработку ПДн без использования средств автоматизацииОтсутствует утвержденный руководителем организации перечень лиц, имеющих доступ к ПДн, обрабатываемым без использования средств автоматизацииОтсутствует утвержденный руководителем организации перечень лиц, имеющих доступ в помещение, которое используется для работы с ПДн, без использования средств автоматизацииНайти другие ответы на вопросы

Вашему вниманию предлагаются ответы на итоговый тест курса повышения квалификации “Обработка персональных данных в образовательных организациях” сайта Единый урок. Искренне верю, что кому-нибудь они будут полезны.

• к биометрическим персональным данным
• к специальной категории персональных данных
• к персональным данным

Оператор до начала обработки персональных данных обязан уведомить территориальный орган Роскомнадзора о своем намерении осуществлять обработку персональных данных. Верно ли данное суждение?

Неавтоматизированная обработка персональных данных это:

• обработка персональных данных с помощью средств вычислительной техники
• обработка персональных данных, осуществляемая при непосредственном участии человека
• смешенная обработка персональных данных

Фотографические изображения обучающихся, сотрудников и посетителей организации относят:

• К биометрическим персональным данным
• К специальной категории персональных данных

Согласие на обработку персональных данных может быть дано путем получения на мобильный телефон и (или) электронную почту уникальной последовательности символов?

Источником получения персональных данных может быть лицо, не имеющее правовых оснований для раскрытия конфиденциальной информации о субъекте персональных данных. Верно ли данное суждение?

Согласие на обработку персональных данных может быть дано если иное не установлено федеральным законом в любой позволяющей подтвердить факт его получения форме. Верно ли данное суждение?

Сбор, хранение, использование и распространение информации о частной жизни человека без его согласия допускается согласно Конституции РФ?

• Соблюдаются требования Закона о персональных данных
• Не соблюдаются требования Закона о персональных данных

Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. В данном случае необходимо согласие субъекта персональных данных или нет?

Оператором персональных данных может быть физическое лицо?

Фотографическое изображение, содержащееся в личном деле работника, относят

Сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, относят:

Обработка специальных категорий персональных данных допускается в любых целях?

Ответ экспертаОператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки (ст. 22 Федерального закона от 27. 2006 № 152-ФЗ). С 1 сентября 2022 года уведомлять не нужно только в трех случаях (Федеральный закон от 14. 2022 № 266-ФЗ):

• оператор обрабатывает ПД без автоматизации;
• ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
• обработка ПД в случаях, предусмотренных законодательством РФ о транспортной безопасности.

До начала осени 2022 года из этого правила было девять исключений. Например, не нужно было уведомлять РКН об обработке ПД сотрудников в рамках трудовых правоотношений, ПД, состоящих только из фамилии, имени, отчества, либо личной информации, необходимой для оформления разового пропуска посетителю. Это означает, что подавляющее большинство ОПД, в том числе все работодатели, должны будут уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан. Форма уведомления приведена в приложении 1 к Методическим рекомендациям Роскомнадзора (Приказ Роскомнадзора от 30. 2017 № 94). Уведомление нужно направить одним из трех способов:

• Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи.
• В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.

31 августа 2022 года Роскомнадзор сообщил на своем сайте, что предельный срок для подачи уведомления не определён. 1 сентября не является крайним сроком. Рекомендуем не откладывать подачу надолго и сделать это в ближайшее время. Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверкиУведомление Роскомнадзора — разовая акция. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но вам следует проверить сведения, которые есть в Роскомнадзоре. В частности, категории ПД и категории субъектов ПД, которые вы указывали в ранее поданном уведомлении. Если какие-то виды личной информации отсутствуют, например, из трудовых правоотношений, то нужно уведомить Роскомнадзор об изменении сведений (п. 7 ст. 22 152-ФЗ). Информационное письмо можно направить теми же способами, что и уведомление. На это отведено 10 рабочих дней с даты возникновения изменений. В случае с 266-ФЗ сроки надо отсчитывать с 1 сентября 2022 года.

Утечка персональных данных стала обыденностью, но государство не собирается с этим мириться. Поэтому с 1 сентября у всех операторов персональных данных — да, и у вас тоже, если имеется хотя бы один сотрудник, — появляется несколько новых повинностей. Штрафы за нарушения тоже будут.

А что изменится с 1 сентября? С этой даты вступают в силу поправки в Федеральный закон от 27. 2006 № 152-ФЗ «О персональных данных», внесенные законом от 14. 22 № 266-ФЗ.

Биометрия не обязательнаПредоставлять работодателю биометрические персональные данные работник не обязан. И если он не хочет подписывать согласие на их обработку, то работодатель обрабатывать данные не вправе. К примеру, вести за работником видеонаблюдение или требовать его фотографию. Проверьте политику обработки ПДВ политике обработки персональных данных для каждой цели обработки следует указывать:

• категории и перечень обрабатываемых ПД;
• категории субъектов, данные которых обрабатываются;
• способы, сроки их обработки и хранения;
• порядок уничтожения ПД при достижении целей их обработки.

Важно! Если ПД получены не от самого субъекта, а из другого источника, то следует до начала обработки предоставить их список субъекту.

Сообщите РоскомнадзоруПриготовьтесь к тому, что с 1 сентября придется уведомлять Роскомнадзор о намерении обрабатывать ПД персонала — даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Поэтому прямо сейчас имеет смысл проверить: а вы вообще зарегистрированы в реестре Роскомнадзора? Это можно сделать тут. Если ничего не найдено, то немедленно регистрируйтесь как оператор ПД, это надо сделать до 1 сентября 2022 года. Уведомлять о планах обрабатывать ПД необходимо не только сотрудников, которым принадлежат ПД, но и:

• Контрагентов, а вы используете эти ПД для исполнения договоров или заключения новых соглашений с теми же гражданами. ПД не распространяются и не передаются третьим лицам без согласия субъектов.
• Граждан, которым оформляется пропуск (в т.ч. однократный) на вашу территорию.

Подключите Астрал iКЭДО — облачный сервис кадрового делопроизводства с дистанционным выпуском УНЭП для всех сотрудников. Облегчите жизнь: себе — максимальная экономия ресурсов, минимум затрат на внедрение, и сотрудникам — исключение походов в отдел кадров или на почту, возможность быстро подписать и отправить любой документ, в т. Согласие на обработку ПД.

Подготовиться к оперативной реакции на запросыС 30 до 10 рабочих дней уменьшен срок ответа на запросы сотрудника относительно собственных ПД и их обработки. Ответ дается в той же форме, что и запрос, но сотрудник может попросить об ином. Например, в электронном виде запросить бумажный ответ. Срок для отправки ответа может быть продлен на пять рабочих дней при условии отправки мотивированного уведомления лицу, отправившему запрос. Важно! На поступивший запрос Роскомнадзора также надо ответить не позднее 10 дней. Если сотрудник или иной субъект ПД потребует прекращения обработки своих данных, то придется не позднее 10 рабочих дней с даты получения требования, прекратить их обработку или обеспечить ее прекращение. Будьте готовы сообщать об утечкахЕсли имел место факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан с момента выявления уведомить Роскомнадзор в течение 24 часов относительно:

• самого факта произошедшего инцидента;
• предполагаемых его причин;
• принятых мер по устранению последствий инцидента,

а также предоставить сведения о лице, которое он уполномочил контактировать с сотрудниками Роскомнадзора по этому инциденту. В течение 72 часов необходимо:

• отчитаться перед Роскомнадзором о результатах внутреннего расследования выявленного инцидента;
• представить (при наличии) сведения о виновных лицах.

Подключиться к ГосСОПКАСудя по тому, что новая редакция закона обязывает операторов ПД взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, необходимо подключиться к ГосСОПКА. После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. В заключение отметим, что ст. 11 КоАП предусматривает штрафы за нарушение законодательства РФ в области персональных данных, а ст. 7 — за непредставление сведений (информации) в виде предупреждение или штрафов: 100 — 300 руб. (для частных лиц), 300 — 500 руб. (для должностных лиц), 3 000 — 5 000 руб. (для юридических лиц).

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих. Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18. 1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

Пример заполнения поля «Описание мер, предусмотренных статьями 18. 1 и 19 Федерального закона «О персональных данных»

Назначено лицо, ответственное за организацию обработки персональных данных. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных. Для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства. На сайте www. example. ru опубликована политика в отношении обработки персональных данных. Для информационной системы персональных данных разработано техническое задание на создание системы защиты информации и эскизный проект системы защиты информации, предусматривающий выполнение определенных законодательством мер для информационной системы третьего уровня защищенности, а также мер, направленных на нейтрализацию угроз, определенных как актуальные в модели угроз безопасности. Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности. Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации). В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.