Pull to refresh

Comments 11

Если в реестре у компании указана одна ИСПДн, в ней указано что обработка данных работников и данных полученных от компаний по договору. Тут же явно нарушение по объединению баз данных ПДн обрабатываемых в разных целях? Ну либо криво заполнили конечно же.
Если точнее, то в законе сказано:

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.


Что считать целями совместимыми, а что несовместимыми законодатель не потрудился разъяснить. На практике уже зависит от проверяющих и их позиции.

Подскажите пожалуйста. Дата начала обработки перс.данных — когда образована организация, но тогда не было ещё закона о Перс.данных. и соответственно небыло — ответственного, журнала, инструкций… Если сейчас заполнять уведомление, то нужно будет назначить ответственного, создать журналы — каким числом это делать?

Делайте спокойно текущими датами. На нашей практике вопросов к датам документов не возникало. Даже наоборот — некоторые документы по просьбе проверяющих делаются и утверждаются прямо в процессе проверки.
IP адрес нужно указывать в перечне обрабатываемых ПДн?
А Роскомнадзор на мои запросы отвечает, что это ПДн.
«Считаем возможным пояснить, что анализ положений локальных актов, регламентирующих порядок и условия использования основных метрических интернет-сервисов, показал, что, в большинстве случаев, объем собираемой информации включает в себя:
персональная информация, предоставленная Пользователем при регистрации (создании учетной записи), такая как имя, номер телефона, адрес и возраст;
электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении);
дата и время осуществления доступа к сайтам и/или сервисам;
информация об активности пользователя во время использования сайтов и/или сервисов (например, история поисковых запросов);
информация о геолокации пользователя;
иная информация о пользователе, необходимая для обработки в соответствии с условиями, регулирующими использование метрического интернет-сервиса.
Таким образом, полагаем, что получаемая при использовании функционала метрических интернет-сервисов информация позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, что позволяет ее отнести к сведениям, подпадающим под определение «персональные данные»»
Ну это не секрет, что РКН может чудить. Это в каком регионе? Мы как-то с нашими сошлись все-таки на том, что IP-адрес это реквизит устройства, а не человека.
Это я отправляла один и тот же запрос в минкомсвязи и РКН Московский и ещё несколько регионов, пришёл абсолютно одинаковый ответ ото всех, только подписи должностных лиц разные :)
Мы в общении с нашими напирали на постатейный комментарий Роскомнадзора и в частности на комментарий по персональным данным:

В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений.

Членами рабочей группы были представлены также отдельные примеры, основанные на опыте работы с персональными данными. В частности, к числу идентификаторов (данных, позволяющих однозначно идентифицировать физическое лицо), которые сами по себе однозначно определяют физическое лицо, могут быть отнесены: номер и серия паспорта; страховой номер индивидуального лицевого счета; идентификационный номер налогоплательщика; биометрические данные; банковский счет, номер банковской карты.

Членами рабочей группы также были представлены отдельные примеры, основанные на опыте работы с персональными данными. Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами,
которые сами по себе определяют физическое лицо.


Таким образом IP-адрес и другие идентификаторы сами по себе нельзя считать персданными. Только в совокупности с другими данными.
Комментарий это конечно хорошо, только он к сожалению юридической силы не имеет… :(
В любом случае, спасибо за информацию.
Only those users with full accounts are able to leave comments. Log in, please.