понедельник, 25 апреля 2011 г.

СЗПДн. Анализ. Нужен ли Перечень ПДн?

Сразу скажу, что нет явных требований в нормативных документов РФ к наличию такого документа в Организации.
Но если мы начинаем выполнять другие требования, то сталкиваемся со следующей картиной:
1. Часть 1 Статьи 5 ФЗ-152 определяет принципы, на основе которых должны обрабатываться ПДн.
Для выполнения данного требования необходимо определить следующие основные характеристики обработки ПДн: цели обработки ПДн, способы обработки ПДн, законные основания для обработки ПДн, цели заявленные при сборе данных, объем обрабатываемых ПДн, характер обрабатываемых ПДн.
Так как условия обработки ПДн постоянно меняются, то недостаточно определить эти основные характеристики один раз - например, в отчете об обследовании ИСПДн. При любом изменении существенных характеристик обработки ПДн должен выполнятся анализ соблюдения принципов. Результатом этого регулярного анализа должен быть какой-то документ. Почему бы этим документом не быть – Перечню ПДн?
2. Часть 2 Статьи 5 ФЗ-152 определяет принципы определения сроков хранения.
Рассуждения аналогичны приведенным выше, только для характеристики - сроки хранения ПДн.
3. Часть 4 Статьи 21 ФЗ-152 определяет требования по прекращению обработки ПДн и уничтожению ПДн при достижении целей.
Часть 5 Статьи 21 ФЗ-152 определяет требования по прекращению обработки ПДн и уничтожению ПДн при отзыве согласия.
Так как сроки прекращения обработки установлены жесткие – 3 рабочих дня, то для оперативного принятия решений, необходимо чтобы под рукой у ответственного была актуальная версия документа содержащего сроки обработки ПДн, необходимые для достижения целей.
4. Часть 4 Статьи 9 ФЗ-152 определяет требования к составу письменного согласия субъекта ПДн.
Требуется, чтобы в согласие включались характеристики обработки ПДн приведенные выше – цели, состав, перечень действий, сроки.
5. Часть 4 Статьи 14 ФЗ-152 определяет требования к составу информации предоставляемой субъекту ПДн по его запросу.
Субъекту ПДн предоставляется информация – цели, способы обработки, состав, источники получения ПДн, сроки, информация о возможных юридических последствиях. Так как в Статье 20 сроки реакции установлены достаточно жесткие, то для оперативного принятия решений, необходимо чтобы под рукой у ответственного была актуальная версия документа содержащего основные характеристики обработки ПДн.
Из всех пунктов описанных выше следует что в Организации должен быть некий документ, содержащий актуальную версию следующих основных характеристик обработки ПДн: цели обработки ПДн (в том числе заявленные при сборе), способы обработки ПДн (в том числе информация о возможных юридических последствиях), законные основания для обработки ПДн, состав обрабатываемых ПДн, характер обрабатываемых ПДн, источники получения ПДн, сроки хранения ПДн. Назовем этот документ - «перечнь ПДн».
Кто-то скажет что аналогичные данные содержаться в Уведомлении подаваемом в Роскомнадзор. В уведомлении содержатся суммарные данные по всей организации. Так как целей обработки ПДн чаще всего несколько, то нам необходимо чтобы в документе были расписаны характеристики обработки ПДн для каждого типа субъектов ПДн и целей обработки ПДн в раздельности (обычно оператор ПДн обрабатывает данные как минимум следующих типов субъектов: обработка ПДн сотрудников, обработка ПДн соискателей, обработка ПДн клиентов, обработка ПДн посетителей территории).

Так что логичней будет вести актуальный «перечень ПДн», на основе которого уже готовить Уведомление в Роскомнадзор, формы согласий и уведомлений субъектам ПДн, принимать решение о прекращении обработки ПДн и уничтожению ПДн.

4 комментария:

ААА комментирует...

собственно все вышесказанное приведено в методических рекомендациях Банка России по защите ПДн. Там же есть и шаблон подобного перечня.

Сергей Б комментирует...

Собственно почему я решил написать.
Недавно общался с рядом организаций и интеграторов, которые делают комплекты документов по минимуму.
Утверждали что такой документ лишний.
Я честно не понимаю как без него может жить оператор ПДн?

ААА комментирует...

ну эт нормально. ни один интегратор не может научить оператора как работать с пдн. Ибо интегратор - это секс на одну ночь :). А оператору приходится утром заправлять постель, мыть бокалы и выносить пустые бутылки...

Сергей Б комментирует...

Кстати посмотрел, что в методических рекомендациях БР по защите ПДн как раз таки довольно корявенький перечень.

Там все данные объединены.
А для удобства нам нужно чтобы данные были указаны по каждому типу субъектов ПДн иои наоборот для каждого типа ПДн были указано - данные каких субъектов это.