СЗПДн. Анализ. Поручение обработки ПДн. Часть 2.
Для начала сравним обязанности и
ответственность Оператора ПДн и Обработчика ПДн (лицо, осуществляющее обработку
персональных данных по поручению оператора) при обработке ПДн.
№
|
Обязанности
и ответственность Оператора
|
Обязанности
и ответственность Обработчика
|
Общие
|
||
1.
|
Соблюдение принципов обработки ПДн, определенных в статье 5
|
Соблюдение принципов обработки ПДн, определенных в статье 5
|
2.
|
Ответственность перед субъектом ПДн за действия Обработчиков,
которым поручал
|
Ответственность перед Оператором, который поручил
обработку
|
3.
|
Назначать ответственного за организацию обработки ПДн
|
-
|
При взаимодействии с Субъектом
|
||
4.
|
Соблюдение условий обработки ПДн, определенных в части 1 статьи 6, в
том числе получение согласия на обработку ПДн в случаях, не попадающих под
исключения.
|
-
|
5.
|
Предоставлять доказательства получения согласия
|
-
|
6.
|
Вести перечень Обработчиков, которым поручил и включать этот перечень
в согласие
|
-
|
7.
|
Вести перечень действий с ПДн выполняемых как Оператором так и
Обработчиком, которым поручил и включать этот перечень в согласие
|
-
|
8.
|
Не раскрывать третьим лицам и не распространять ПДн без согласия
субъекта ПДн
|
Не раскрывать третьим лицам и не распространять ПДн без согласия
субъекта ПДн
|
9.
|
При получении ПДн от третьих лиц соблюдать условия в части 8 статьи 9 (требовать
подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6,
части 2 статьи 10 и части 2 статьи 11)
|
Получение ПДн от третьих лиц должно быть разрешено в поручении
Оператора
|
10.
|
Разъяснять субъекту ПДн порядки, условия, правила
|
-
|
11.
|
Рассматривать возражения субъекта ПДн в ряде случаев
|
-
|
12.
|
Предоставлять субъекту информацию об обработке в ряде случаев
|
-
|
13.
|
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн
(в том числе обрабатываемыми Обработчиком по поручению)
|
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн,
по требованию Оператора, поручившего обработку
|
14.
|
Давать мотивированные ответы субъекту в ряде случаев
|
-
|
15.
|
Блокировать обработку ПДн в ряде случаев или обеспечить блокирование
Обработчиком
|
Блокировать обработку ПДн по запросу Оператора, поручившего обработку
|
16.
|
Уточнять ПДн в ряде случаев или обеспечить уточнение Обработчиком
|
Уточнять ПДн по запросу Оператора, поручившего обработку
|
17.
|
Прекратить обработку ПДн в ряде случаев или обеспечить прекращение Обработчиком
|
Прекратить обработку ПДн по запросу Оператора, поручившего обработку
|
18.
|
Уничтожить ПДн в ряде случаев или обеспечить уничтожение Обработчиком
|
Уничтожить ПДн по запросу Оператора, поручившего обработку
|
19.
|
Принимать меры, необходимые и достаточные для обеспечения выполнения
обязанностей предусмотренных 152-ФЗ и подзаконными актами
|
Принимать меры, необходимые и достаточные для обеспечения выполнения
обязанностей предусмотренных 152-ФЗ и поручение оператора
|
20.
|
Опубликовать политику обработки ПДн
|
-
|
При взаимодействии с Регуляторами
|
||
21.
|
Предоставить Роскомнадзору набор внутренних нормативных актов по
запросу
|
-
|
22.
|
Предоставить Роскомнадзору информацию по запросу
|
-
|
23.
|
Уведомить Роскомнадзору об обработке ПДн (в том числе перечень
Обработчиков и перечень действий с ПДн, выполняемых обработчиками)
|
-
|
По защите ПДн
|
||
24.
|
Убедится в адекватности защиты ПДн иностранным государством при трансграничной
передаче
|
Трансграничная передача должна быть разрешено в поручении Оператора
|
25.
|
Принимать необходимые меры ОБ ПДн или обеспечивать их принятие Обработчиком
|
Принимать меры защиты ПДн требуемые поручение Оператора
|
26.
|
В поручении Обработчику определять:
·
перечень действий c ПДн
·
цели обработки ПДн
·
ответственность по обеспечению
конфиденциальности ПД
·
ответственность по обеспечению безопасности
при обработке
·
ответственность за действия с ПДн
·
требовании по защите ПДн
·
порядок взаимодействия Оператора и Обработчика
при необходимости изменений перечня действий с ПДн
·
порядок взаимодействия Оператора и Обработчика
при ознакомлении Субъекта с ПДн
·
порядок взаимодействия Оператора и Обработчика
по устранению нарушений законодательства, допущенных при обработке
персональных данных, по уточнению, блокированию и уничтожению персональных
данных.
|
-
|
27.
|
Выполнять требования
ПП 781 и 687
|
Принимать меры защиты ПДн требуемые в поручение Оператора
|
28.
|
Выполнять требования подзаконных актов ФСТЭК и ФСБ
|
Принимать меры защиты ПДн требуемые в поручение Оператора
|
1.
Из приведенного выше сравнения видно, что большая
часть обязанностей по взаимодействию с Субъектами и Регуляторами ложится на
Оператора. Фактически Оператор становится посредником между Субъектами,
Регуляторами и Обработчиками.
Если говорить о различие во
внутренних документах по обработке, то у Оператора должны быть регламентированы
мероприятия:
·
по организации обработки ПДн
·
по обработке ПДн
·
по взаимодействию с Субъектами
·
по взаимодействию с Регуляторами
·
по взаимодействию с Обработчиками
До выхода 152-ФЗ, вопросы
организации обработки в Обработчике и вопросы взаимодействия с Обработчиком фактически
не прорабатывались, всё организации были сами за себя и внедряли свои
оригинальные мероприятия. Теперь же Оператор должен анализировать, проектировать,
разрабатывать мероприятия для себя и всех кому поручил.
Если раньше Оператор вел перечень ПДн,
действий с ПДн, целей, оснований, сроков хранения ПДн только за себя, то теперь
он должен вести эти перечни по всем Обработчикам, которым поручил.
У Обработчика же должно быть
регламентированы мероприятия обработке ПДн и по взаимодействию с Оператором. И то, большей частью они должны быть получены
от Оператора или тесно связаны с ним.
Так что глупо приходить к
обработчику и спрашивать, почему он не собирает согласия, не принимает такие-то
меры, если эти меры не требует от него Оператор.
Соответственно когда приходит
Интегратор и внедряет Обработчику типовой комплект документов для Оператора это
вызывает недоумение.
2.
Из приведенного выше сравнения видно, что большая
часть обязанностей Обработчика по обеспечению безопасности ПДн зависит от требований
предъявляемых в Поручении.
Могут быть варианты, когда
требования для Обработчика окажутся даже более жесткими или более широкими чем
для Оператора. Ведь ничего не мешает Оператору скопировать все требования из 152-ФЗ,
подзаконных актов и добавить ещё что-то от себя.
Но в некотором идеальном
варианте должно быть наоборот – Оператор может взять на себя такие мероприятия
как проведение обследования ИСПДн, оптимизацию ИСПДн, разработку модели угроз, технических
требований к СЗПДн, проекта СЗПДн, шаблонов документов. Обработчику же
останется только выбрать из готового перечня понравившиеся СЗИ и принять у себя
рекомендованные документы.
Соответственно когда приходит Интегратор и выполняет для Обработчика полный набор мероприятий не имея на руках требований Оператора - это вызывает недоумение.
Соответственно когда приходит Интегратор и выполняет для Обработчика полный набор мероприятий не имея на руках требований Оператора - это вызывает недоумение.
Комментарии
Я опять же могу быть не прав, но при выдаваемом оператором обработчику поручения (как надо обрабатывать ПДн) по сути дела мы выдаем его юр лицу,но судя по логике у обработчика при ведении таких операций должно быть лицо на которого ляжет эта обязанность?
Дальше зависит от Оператора.
Он может потребовать от Обработчика выполнения каких-то конкретных мер и все,
а может часть обязанностей по организации взять на себя и например осуществлять контроль выполнения требований 152-ФЗ Обработчиком.
Поэтому все обязательства оператора применяются и к обработчику (только субъекты перс. данных разные).
В случае с сотрудниками, Организация будет Оператором по определенной части своих процессов обработки ПДн. Скорее всего не понадобится собирать согласия, подавать уведомление. Обращений по вопросам ПДн от сотрудников тоже минимум. Да и в соответствии с трудовым кодексом у Организации наверное есть положение по обработке ПДн сотрудников.
В таком случае будет выбор - или Коллектор становится оператором или Банк поручает курьерской компании доставку.
Аналогично можно строить многоуровневые цепочки передачи ПДн, где вся информация аккумулируется в начальном супероператоре ПДн.
При желании, договор между Оператором и Обработчиком, может распространятся так-же и на другие данные. Например требования по обеспечению безопасности коммерческой тайны.