Основное изменение в рамках обработки персональных данных, когда юридическое лицо становится оператором, произошло 1 сентября 2022 года. Это от 14.07.2022 № 266-ФЗ. Могу ошибаться, но как раз за эти 3 года количество операторов увеличилось с ~ 1 миллиона до 2.4 миллионов. Не согласен с автором статьи, потому что прием на работу с 1.09.2022 уже подразумевает обработку ПД.
Интересный теоретический вопрос, а как определить уровень защищенности для почты, если кто-то скинет файл с ПД более 100к человек, когда УЗ рассматривали для менее 100к человек? Я не знаю, насколько сейчас обязаловка делать приказ об определении ИСПДн и акты УЗ ИСПДн (может что-то уже необязательно, но сделано все равно на всякий). И туда же, если мы указали как конкретизированную цель обработки, в соответствии с приказом Роскомнадзора № 179 от 28.10.2022 , требуется подтверждение уничтожения, а именно составления акта об уничтожении ПД. Так же интересно, как в таком случае идет ознакомление с юридическими последствиями отказа от предоставления персональных данных, с чем обязаны ознакомить, в случае отказа от подписания согласия. Но опять же, практика подписания через ЭЦП...
Из самых странных вещей наверное это "возможная утечка информации", что РКН все равно о таких событиях надо уведомлять, и как это мониторить в малых-средних компаниях - непонятно. Т.е. можно просто закинуть информацию, что произошел слив, и компания обязана на это ответить.
Я через госуслуги подавал запрос по практике применения законодательства, на что регулятор ответил дословно с письма "
Согласно пункту 12.4 Типового регламента внутренней организации федеральных органов исполнительной власти, утвержденного постановлением Правительства Российской Федерации от 28.07.2005 № 452, разъяснение законодательства Российской Федерации, практики его применения, а также толкование норм, терминов и понятий осуществляются федеральными органами исполнительной власти по обращениям граждан и организаций в случаях, если на них возложена соответствующая обязанность или если это необходимо для обоснования решения, принятого по обращению гражданина.
Учитывая, что указанные в Вашем обращении вопросы не относятся к контрольно-надзорным полномочиям Управления в области персональных данных, предоставить разъяснения по существу приведенных доводов не представляется возможным. "
Основное изменение в рамках обработки персональных данных, когда юридическое лицо становится оператором, произошло 1 сентября 2022 года. Это от 14.07.2022 № 266-ФЗ. Могу ошибаться, но как раз за эти 3 года количество операторов увеличилось с ~ 1 миллиона до 2.4 миллионов. Не согласен с автором статьи, потому что прием на работу с 1.09.2022 уже подразумевает обработку ПД.
Интересный теоретический вопрос, а как определить уровень защищенности для почты, если кто-то скинет файл с ПД более 100к человек, когда УЗ рассматривали для менее 100к человек? Я не знаю, насколько сейчас обязаловка делать приказ об определении ИСПДн и акты УЗ ИСПДн (может что-то уже необязательно, но сделано все равно на всякий). И туда же, если мы указали как конкретизированную цель обработки, в соответствии с приказом Роскомнадзора № 179 от 28.10.2022 , требуется подтверждение уничтожения, а именно составления акта об уничтожении ПД. Так же интересно, как в таком случае идет ознакомление с юридическими последствиями отказа от предоставления персональных данных, с чем обязаны ознакомить, в случае отказа от подписания согласия. Но опять же, практика подписания через ЭЦП...
Из самых странных вещей наверное это "возможная утечка информации", что РКН все равно о таких событиях надо уведомлять, и как это мониторить в малых-средних компаниях - непонятно. Т.е. можно просто закинуть информацию, что произошел слив, и компания обязана на это ответить.
Я через госуслуги подавал запрос по практике применения законодательства, на что регулятор ответил дословно с письма "
Согласно пункту 12.4 Типового регламента внутренней организации федеральных органов исполнительной власти, утвержденного постановлением Правительства Российской Федерации от 28.07.2005 № 452, разъяснение законодательства Российской Федерации, практики его применения, а также толкование норм, терминов и понятий осуществляются федеральными органами исполнительной власти по обращениям граждан и организаций в случаях, если на них возложена соответствующая обязанность или если это необходимо для обоснования решения, принятого по обращению гражданина.
Учитывая, что указанные в Вашем обращении вопросы не относятся к контрольно-надзорным полномочиям Управления в области персональных данных, предоставить разъяснения по существу приведенных доводов не представляется возможным. "