AKTIV_CONSULTING1 окт в 08:08

Грамотная организация обработки ПДн – первый шаг

9 мин

4.4K

Блог компании «Актив»Информационная безопасность * Хранение данных * IT-стандарты *

Обзор

Комментарии 5

Shaman_RSHU 1 окт в 09:19

Понятие "Ответственный за защиту ПДн" чем-нибудь регламентируется? Почему тогда Ответственный за обработку -это DPO (Data Protection Officer)?

AKTIV_CONSULTING 1 окт в 11:33

Есть две сущности:

Ответственный за обработку ПДн в ст. 22.1 152-ФЗ указан как "Ответственный за организацию обработки ПДн в организации", там же указаны его функции. В модном слове «DPO» действительно есть "protect" - защищать, но если мы посмотрим в GDPR, то найдем там схожие с Ответственным за обработку ПДн функции в чуть более расширенном виде. Именно поэтому сейчас во многих компаниях отождествляют Ответственного за организацию обработки и DPO.
Сущность "Ответственный за защиту ПДн" - это, как правило, назначаемое в соответствии с п. 14 ПП №1119 "лицо, ответственное за обеспечение безопасности ПДн в ИСПДн" или "администратор безопасности в ИСПДн".

Sembit 3 окт в 05:45

Что такое процесс, можете пояснить? Например, ведение кадрового учета? Или так: прием сотрудника, проведение медосмотра, перевод, увольнение? Есть ли пример заполненного реестра процессов обработки ПДн?

AKTIV_CONSULTING 6 окт в 13:28

Простыми словами процесс обработки ПДн - это действия с ПДн, которые можно объединить под один процесс, в нем будут либо схожие категории субъектов, либо схожие цели. Можно применять разные подходы, кому-то комфортнее выделять процессы как процесс = цель. Я придерживаюсь позиции бизнес-процесс, в котором есть действия с ПДн = процесс обработки ПДн. Например, обзвон клиентов, бухгалтерская отчетность, расчеты с персоналом и физическими лицами, согласование договоров, взаимодействие с партнерами, организация закупочной деятельности и т.д.
Ведение кадрового учета действительно процесс. Внутри кадрового учета будет как исполнение требований ТК РФ, так и, как в вашем примере, проведение медосмотра - это разные цели обработки. Составляя реестр процессов так и пишете - первый столбец кадровый учет (процесс), второй столбец, например, СОУТ, ДМС, медосмотры водителей (это уже цели). Пример заполнения реестра приложила к комментарию.

Загрузили в папку пример - https://drive.google.com/drive/folders/1ftVCzoYE0vNMZhFerakPkAhY8M2IC0N5

Sembit 6 окт в 15:17

Спасибо!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий