Приветствую всех, господа!
Не думал, что настолько очевидные вещи вызовут настолько большой ажиотаж. Ради общего развития, считаю нужным дать комментарии.
Мне очень лестно, что у Loreweil так много свободного времени, что он наблюдает за моей компанией столько лет и результатом стало целое «журналистское расследование». Я, наверное, очень Вас задел перепиской в Instagram, но раз Вы решили заручиться общественной поддержкой и перенесли обсуждение сюда, то я не против.
Самый большой факт, который разочаровывает меня в людях, особенно в так называемых «квалифицированных специалистах», это невежество.
Помимо всего прочего, меня очень поразила Ваша позиция: «Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову».
То, что Вы являетесь специалистом узкой квалификации и не имеете опыта в остальных аспектах деятельности бизнеса, совершенно не значит, что нужно насаждать свое невежество другим людям. Если дворник не разбирается в маркетинге, не значит, что все должны ему подражать.
В наше время невозможно быть специалистом во всем, согласен, но нынешнее общество требует познаний во многих сферах.
А теперь, перейдем к вашей квалификации, поскольку к ней у меня возникло огромное количество вопросов, цитата:
«Далее нам вешают лапшу о «начале внеплановых проверок с 1 апреля 2018 года», как будто ранее РКН не проводил внеплановых проверок по персональным данным. В этом же предложении жирным шрифтом акцентируется, что якобы все организации должны уведомить РКН об обработке персональных данных, хотя в части 2 статьи 22 Федерального закона №152-ФЗ «О персональных данных» приводится целых 9 пунктов исключений, когда оператор ПДн может не подавать такое уведомление».
Мы с 2017 г. агрегируем обращения от наших клиентов о том, насколько часто их проверяют и каждый апрель ситуация стабильно повторяется (небольшой инсайд Вам). Что запрещает нам использовать эти данные? Да, все организации должны уведомить РКН об обработке персональных данных, поскольку если пораскинуть мозгами, то любую организацию можно притянуть по ч.1 ст.22.
Любой вид деятельности по ОКВЭД 96.02 предполагает обязательства по сбору, обработке, систематизации и хранении информации по физическим лицам с целями, которые не относятся к трудовому законодательству, в связи с чем любой Оператора теряет право на освобождение от подачи уведомления в Роскомнадзор:
Оформление и заключение договоров на оказание услуг или поставку товаров, со стороны Оператора в пользу контрагентов (клиентов);
Оформление и заключение договоров на оказание услуг или поставку товаров, со стороны контрагентов в пользу Оператора;
Рассмотрение и учет обращений, поступающих от контрагентов (клиентов) и иных лиц в адрес Оператора;
Принятие мер должной осмотрительности при взаимодействии с действительными и потенциальными контрагентами (агентами, партнерами, подрядчиками, поставщиками);
Оформление доверенностей в рамках наделения сотрудников и иных лиц специальными полномочиями для выполнения возложенных на них трудовых функций и (или) представления интересов;
Участие в гражданском, арбитражном, уголовном, административном процессах, а также исполнение судебных актов, ведение кадрового учета;
Обеспечение возможности решения о приеме на работу, замещение вакантных должностей соискателями;
Персональные данные работников попадают не только под обработку по трудовому законодательству, а в том числе часто происходит обработка персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, которая требует подачи уведомления в Роскомнадзор, например:
обработка сведений об имущественном положении;
обработка сведений о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ);
обработка персональных данных уволенных сотрудников (за исключением случаев, предусмотренных трудовым законодательством, например ст. 64.1 ТК РФ);
обработка персональных данных членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ).
Я не говорю об использовании ЭЦП, поскольку Оператор право на освобождение от подачи уведомления в Роскомнадзор, согласно ст.22., ч.2., а именно — использует электронную цифровую подпись, для оформления которой требуется передача персональных данных должностного лица третьей стороне – удостоверяющему центру, согласно Федеральному закону от 06.04.2011 г. № 63-ФЗ «Об электронной подписи» (ст.ст,14 п.2, 17 п.2.)
Далее, нет таких законодательных норм, которые бы регулировали то, что в любых материалах необходимо указывать нижнюю планку штрафов по КоАП.
«И снова вранье, которое заключается в том, что никакой льготной федеральной программы по разработке документации по защите ПДн не существует и никогда не существовало».
Государственной – не существовало. А наша, частная – существовала до 2021г. Когда мы поняли, что в регионах нет бюджета платить стандартную стоимость услуг по разработке документов, мы ввели льготную ценовую политику для определенных предприятий. Вот вам даже ссылочка: yadi.sk/i/wryXQMc5n1RLFA
По поводу нашего товарного знака (Россерт), зарегистрирован в Роспатенте под номером: № 659280
«В разделе «Лицензия и аккредитация» собственно нет никакой лицензии (да неужели? нас опять обманывают?), зато есть свидетельство о регистрации системы добровольной сертификации «Россертификация». Помните, в самом начале я говорил, что мы не понимаем, что такое «Россертификация» и «Россерт» — теперь понятно, это СДС (система добровольной сертификации)».
Рядом написали для людей, которые в первый раз с этим сталкиваются и\или не умеют читать, что документы относятся к системе сертификации, где они зарегистрированы и какой присвоен номер. Почему у Вас это вызвало вопросы? Видимо очень сложно посмотреть не только в левую часть экрана, но и в правую.
«В 2020 году снова активизировалась похожая спам рассылка. В письме ожидаемо грозились штрафами за невыполнение требований по защите персональных данных, давались ссылки на пару проплаченных статей, и предлагалось пройти по ссылке, вбить ИНН своей организации и получить якобы вручную подготовленный отчет по выполнению вашей организацией требований закона «О персональных данных». Пример такого отчета здесь. Но это уже было от лица некого Федерального центра по защите персональных данных СДС «Росконтроль».
Кто вам сказал, что отчет будет подготовлен в ручном режиме? Отчет формируется онлайн и приходит за минуту. Опять Вы видите только то, что хотите видеть.
Использование латинских символов «r», «k», «n» принадлежащих домену обусловлено наименованием Системы добровольной сертификации «Росконтроль» — «ROSKONTROL». «rkn» является сокращением наименования данной системы для удобства потенциальных клиентов и заинтересованных лиц. Запретов и ограничений на регистрацию и использование доменных имен, содержащих латинские символы «r», «k», «n», согласно действующему законодательству Российской Федерации, не предусмотрено.
«А именно верхний правый буллет. Кто знает, что это за сертификация такая, которая уменьшает риск проведения проверки (кроме противозаконных)? Поделитесь, пожалуйста, в комментариях».
Вы сами ответите на этот вопрос, если вообще когда-либо лично сопровождали проверки Роскомнадзора в качестве аудитора. Фраза: «Предоставить копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн», в том числе договора и сертификаты.
«Ну и левый нижний буллет я, как специалист, не могу не прокомментировать. Здесь проблема в том, что подать за Вас уведомление никто не имеет права, т. к. уведомление подается в бумажном виде с подписью руководителя и печатью организации (если есть). А вот помочь подготовить можно, но можно подготовиться и самостоятельно, прочитав нашу статью здесь».
Имеет. Написано, не поленитесь прочитать еще раз: «В электронном виде». У Роскомнадзора на сайте даже форма есть, которая содержит данные исполнителя.
«Кто-то здесь может возразить, что обычное ООО может попасть под эту статью, если будет хранить свою базу 1С на заграничном облаке. В принципе да, такое возможно, да вот только услуги, которые предлагает г-н Келлерманн (разработка пакета документов) при выявлении такого нарушения проверяющими не спасут».
У нас есть услуга переноса данных клиентов с заграничного облака на сервера, расположенные в пределах нашей страны. С чего Вы решили, что данный вопрос решается документами – никому не ясно.
«Дело в том, что разработка документа «Модель угроз безопасности» являются частью лицензируемого ФСТЭК России вида работ «проектирование систем в защищенном исполнении». Сами для себя Вы можете разработать этот документ без лицензии, но если разрабатываете его как услугу, то необходимо получать лицензию ФСТЭК на проведение работ по технической защите конфиденциальной информации (ТЗКИ). ООО «Единый центр сертификации» такой лицензии не имеет, это легко проверить по реестру».
Нам не нужна лицензия ФСТЭК, поскольку разработка модели угроз отдается стороннему подрядчику, имеющему данную лицензию.
Совершенно не понимаю, кто наделил Вас полномочиями судить о том, нарушаю ли я действующее законодательство. Данный пост никак не красит ни Вас, как специалиста, ни компанию, в которой Вы работаете.
Данный пост нарушает пользовательское соглашение career.habr.com/info/legal/agreement, п.4.7.3: «…а также вводить пользователей или Хабр в заблуждение относительно свойств и характеристик каких-либо субъектов или объектов».
При рассмотрении данного поста в территориальном УФАС, явно возникнут вопросы по закону о защите конкуренции, по какому же судебному решению Вы пишите, что моя деятельность является мошенничеством. В том числе, напомню Вам об ответственности, согласно недавно принятому закону о клевете в Интернете. Я надеюсь, что ответил на все Ваши вопросы и вы предпримите все необходимые действия, не дожидаясь требования администрации ресурса.
Информация
В рейтинге
Не участвует
Откуда
Санкт-Петербург, Санкт-Петербург и область, Россия
96.02...»Не думал, что настолько очевидные вещи вызовут настолько большой ажиотаж. Ради общего развития, считаю нужным дать комментарии.
Мне очень лестно, что у Loreweil так много свободного времени, что он наблюдает за моей компанией столько лет и результатом стало целое «журналистское расследование». Я, наверное, очень Вас задел перепиской в Instagram, но раз Вы решили заручиться общественной поддержкой и перенесли обсуждение сюда, то я не против.
Самый большой факт, который разочаровывает меня в людях, особенно в так называемых «квалифицированных специалистах», это невежество.
Помимо всего прочего, меня очень поразила Ваша позиция:
«Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову».
То, что Вы являетесь специалистом узкой квалификации и не имеете опыта в остальных аспектах деятельности бизнеса, совершенно не значит, что нужно насаждать свое невежество другим людям. Если дворник не разбирается в маркетинге, не значит, что все должны ему подражать.
В наше время невозможно быть специалистом во всем, согласен, но нынешнее общество требует познаний во многих сферах.
А теперь, перейдем к вашей квалификации, поскольку к ней у меня возникло огромное количество вопросов, цитата:
«Далее нам вешают лапшу о «начале внеплановых проверок с 1 апреля 2018 года», как будто ранее РКН не проводил внеплановых проверок по персональным данным. В этом же предложении жирным шрифтом акцентируется, что якобы все организации должны уведомить РКН об обработке персональных данных, хотя в части 2 статьи 22 Федерального закона №152-ФЗ «О персональных данных» приводится целых 9 пунктов исключений, когда оператор ПДн может не подавать такое уведомление».
Мы с 2017 г. агрегируем обращения от наших клиентов о том, насколько часто их проверяют и каждый апрель ситуация стабильно повторяется (небольшой инсайд Вам). Что запрещает нам использовать эти данные? Да, все организации должны уведомить РКН об обработке персональных данных, поскольку если пораскинуть мозгами, то любую организацию можно притянуть по ч.1 ст.22.
Любой вид деятельности по ОКВЭД 96.02 предполагает обязательства по сбору, обработке, систематизации и хранении информации по физическим лицам с целями, которые не относятся к трудовому законодательству, в связи с чем любой Оператора теряет право на освобождение от подачи уведомления в Роскомнадзор:
Персональные данные работников попадают не только под обработку по трудовому законодательству, а в том числе часто происходит обработка персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, которая требует подачи уведомления в Роскомнадзор, например:
Я не говорю об использовании ЭЦП, поскольку Оператор право на освобождение от подачи уведомления в Роскомнадзор, согласно ст.22., ч.2., а именно — использует электронную цифровую подпись, для оформления которой требуется передача персональных данных должностного лица третьей стороне – удостоверяющему центру, согласно Федеральному закону от 06.04.2011 г. № 63-ФЗ «Об электронной подписи» (ст.ст,14 п.2, 17 п.2.)
Далее, нет таких законодательных норм, которые бы регулировали то, что в любых материалах необходимо указывать нижнюю планку штрафов по КоАП.
«И снова вранье, которое заключается в том, что никакой льготной федеральной программы по разработке документации по защите ПДн не существует и никогда не существовало».
Государственной – не существовало. А наша, частная – существовала до 2021г. Когда мы поняли, что в регионах нет бюджета платить стандартную стоимость услуг по разработке документов, мы ввели льготную ценовую политику для определенных предприятий. Вот вам даже ссылочка: yadi.sk/i/wryXQMc5n1RLFA
По поводу нашего товарного знака (Россерт), зарегистрирован в Роспатенте под номером: № 659280
«В разделе «Лицензия и аккредитация» собственно нет никакой лицензии (да неужели? нас опять обманывают?), зато есть свидетельство о регистрации системы добровольной сертификации «Россертификация». Помните, в самом начале я говорил, что мы не понимаем, что такое «Россертификация» и «Россерт» — теперь понятно, это СДС (система добровольной сертификации)».
Рядом написали для людей, которые в первый раз с этим сталкиваются и\или не умеют читать, что документы относятся к системе сертификации, где они зарегистрированы и какой присвоен номер. Почему у Вас это вызвало вопросы? Видимо очень сложно посмотреть не только в левую часть экрана, но и в правую.
«В 2020 году снова активизировалась похожая спам рассылка. В письме ожидаемо грозились штрафами за невыполнение требований по защите персональных данных, давались ссылки на пару проплаченных статей, и предлагалось пройти по ссылке, вбить ИНН своей организации и получить якобы вручную подготовленный отчет по выполнению вашей организацией требований закона «О персональных данных». Пример такого отчета здесь. Но это уже было от лица некого Федерального центра по защите персональных данных СДС «Росконтроль».
Кто вам сказал, что отчет будет подготовлен в ручном режиме? Отчет формируется онлайн и приходит за минуту. Опять Вы видите только то, что хотите видеть.
Использование латинских символов «r», «k», «n» принадлежащих домену обусловлено наименованием Системы добровольной сертификации «Росконтроль» — «ROSKONTROL». «rkn» является сокращением наименования данной системы для удобства потенциальных клиентов и заинтересованных лиц. Запретов и ограничений на регистрацию и использование доменных имен, содержащих латинские символы «r», «k», «n», согласно действующему законодательству Российской Федерации, не предусмотрено.
«А именно верхний правый буллет. Кто знает, что это за сертификация такая, которая уменьшает риск проведения проверки (кроме противозаконных)? Поделитесь, пожалуйста, в комментариях».
Вы сами ответите на этот вопрос, если вообще когда-либо лично сопровождали проверки Роскомнадзора в качестве аудитора. Фраза: «Предоставить копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн», в том числе договора и сертификаты.
«Ну и левый нижний буллет я, как специалист, не могу не прокомментировать. Здесь проблема в том, что подать за Вас уведомление никто не имеет права, т. к. уведомление подается в бумажном виде с подписью руководителя и печатью организации (если есть). А вот помочь подготовить можно, но можно подготовиться и самостоятельно, прочитав нашу статью здесь».
Имеет. Написано, не поленитесь прочитать еще раз: «В электронном виде». У Роскомнадзора на сайте даже форма есть, которая содержит данные исполнителя.
«Кто-то здесь может возразить, что обычное ООО может попасть под эту статью, если будет хранить свою базу 1С на заграничном облаке. В принципе да, такое возможно, да вот только услуги, которые предлагает г-н Келлерманн (разработка пакета документов) при выявлении такого нарушения проверяющими не спасут».
У нас есть услуга переноса данных клиентов с заграничного облака на сервера, расположенные в пределах нашей страны. С чего Вы решили, что данный вопрос решается документами – никому не ясно.
«Дело в том, что разработка документа «Модель угроз безопасности» являются частью лицензируемого ФСТЭК России вида работ «проектирование систем в защищенном исполнении». Сами для себя Вы можете разработать этот документ без лицензии, но если разрабатываете его как услугу, то необходимо получать лицензию ФСТЭК на проведение работ по технической защите конфиденциальной информации (ТЗКИ). ООО «Единый центр сертификации» такой лицензии не имеет, это легко проверить по реестру».
Нам не нужна лицензия ФСТЭК, поскольку разработка модели угроз отдается стороннему подрядчику, имеющему данную лицензию.
Совершенно не понимаю, кто наделил Вас полномочиями судить о том, нарушаю ли я действующее законодательство. Данный пост никак не красит ни Вас, как специалиста, ни компанию, в которой Вы работаете.
Данный пост нарушает пользовательское соглашение career.habr.com/info/legal/agreement, п.4.7.3: «…а также вводить пользователей или Хабр в заблуждение относительно свойств и характеристик каких-либо субъектов или объектов».
При рассмотрении данного поста в территориальном УФАС, явно возникнут вопросы по закону о защите конкуренции, по какому же судебному решению Вы пишите, что моя деятельность является мошенничеством. В том числе, напомню Вам об ответственности, согласно недавно принятому закону о клевете в Интернете. Я надеюсь, что ответил на все Ваши вопросы и вы предпримите все необходимые действия, не дожидаясь требования администрации ресурса.