Anterior operadores Roscomnadzor auditorías de los datos personales para el último año

La Oficina título en los últimos años han aparecido cada vez Habré en las noticias relacionadas con qué algunas listas negras regulares y cerraduras ridículas, pero en este artículo me gustaría recordar una de las funciones menos importantes Roskomnadzor - supervisión de la aplicación de la legislación en el ámbito de la protección datos personales.

Dio la casualidad de que en 2013-2014 los planes de inspecciones de Roskomnadzor ha conseguido una gran cantidad de nuestros clientes, pero no temía sobre todo porque la comprobación nuestros clientes eran en el pasado, y la experiencia es muy positiva. Sabemos que los nuevos clientes también, todas puestas en orden y esperaron otra prueba sólo para poner una nueva casilla en la cartera de "La prueba exitosa de los reguladores". Pero este artículo no hubiera aparecido en la luz, si todo satisfizo nuestras expectativas optimistas ...

principios del año pasado, escribí un artículo , que de forma incremental trató de hablar de las etapas de preparación para estos controles. Y este algoritmo funcionó claramente hasta mediados de 2013. ¿Qué sucedió? A continuación voy a discutir con más detalle sobre algunos de los casos, la tiranía de RKN sobre las inspecciones de los datos personales, pero si brevemente - la Oficina respecto de los controles introducidos sistema bastón. Los inspectores ahora buscar cualquier violación de los más superficiales, sólo para emitir una orden y obligados a pagar por lo menos una pequeña pero desagradable bien. Es posible que el palo se considera sólo en nuestra región, pero la comunicación con colegas de otras regiones de Rusia sugiere lo contrario.

Antes de decirle a casos específicos, pregunte si seguir leyendo para recordar algunos hechos:
  • la composición de la inspección no ha cambiado, es decir, en todos los casos los auditores han sido las mismas personas;
  • conjunto de medidas y calidad de los preparativos para la inspección de todo comprobado antes y el segundo semestre de 2013 se en el mismo nivel;.
  • para cada inspección posterior durante la preparación considerados caprichos anteriores inspección
    Primer pedido de uno de nuestros clientes se debió al hecho de que en la notificación del operador en cuanto a los datos personales de los empleados no indican que se tratan con los no garantiza, que dan a esto o que los empleados con un determinado propósito. ¿Cuántos no trató de apelar al sentido común y al explicar que el poder es un documento separado y que es el hombre quien es la autorización necesaria (quién y qué se emite el poder) en lugar de un poder notarial es un número requerido de hombre - no ayudó. Y esto ayudó definición muy vaga de "datos personales" en el 152-FZ (cualquier información relacionada, directa o indirectamente, a una persona física identificada o identificable). Estamos muy aficionado a todos los legisladores redacción vaga. ¿Cuál es en este caso llevado a cabo un examen anti-corrupción de los proyectos de ley en el Ministerio de Justicia no es particularmente claro.

    De acuerdo, con los números tienen en cuenta el poder del tiempo abogado, que esperamos para la próxima inspección. Y aquí estamos de nuevo en una sorpresa.
    En este momento los inspectores de Roskomnadzor, al parecer, no se han encontrado inconsistencias categorías de datos de carácter personal, y decidieron hacer una finta oídos - para encontrar un desajuste en las categorías de datos personales. Aquí la situación es la misma que las propias categorías PD - si se ha especificado en el aviso que procesa los datos personales de los empleados y clientes, pero en realidad se trata con PD adicional lo que algunos voluntarios, se obtiene una receta. Y en este caso los representantes de RCN nada en la cabeza no viene a decir que los empleados actuales y despedidos de la organización es en realidad diferentes categorías de datos personales (como nos recuerda que los inspectores - las mismas personas antes de que no está prestando atención). Aquí, también, cualquier apelación al sentido común no ayudó.

    Uno de los clientes llegaron a la parte inferior para el contenido de las políticas públicas con respecto a los datos personales. Es un documento que debe ser publicada en el dominio público (si usted tiene un sitio web, entonces). Naturalmente, en este trabajo nunca vamos a escribir ningún detalle como ese y de quién estamos defendiendo. Y ¿por qué hemos hecho publicar información útil para los potenciales delincuentes en el portal? Así, roskomnadzorovtsy queremos en un documento público, pintamos detalle las medidas adoptadas para proteger los datos personales. ¿Por qué - no está claro. En general, un deseo anormal para el exhibicionismo de Roskomnadzor ha sido durante mucho tiempo una preocupación. Eso sólo es registro de los sistemas de información de estado , en el que podemos encontrar un trabajo y la movilidad (por ejemplo, aquí ) Número responsable del sistema y su e-mail, e información acerca de los sistemas de servidor y cliente de operación utilizados en el sistema, la aplicación software del sistema, la información sobre la financiación y mucho más. Simplemente un paraíso para los ingenieros sociales, los spammers, y otra chernoshlyapov.

    Pero volvamos a la inspección. El último caso fue un poco diferente del resto. El cliente vino a nosotros en busca de ayuda a la semana antes de la prueba. Durante la pre-convocatoria y comprobar los operadores de registro de la EP se encontró que la empresa no se presentó un escrito de tratamiento de datos personales antes. Es decir, los operadores de registro del cliente estaba ausente. Aquí es necesario comprender que incluso si hemos preparado un aviso en el mismo día, 152-FZ ofrece Roskomnadzor hasta 30 días para que el operador de registro de la presentación de la notificación, y la experiencia demuestra que la entrada de registro aparece 20-25 días a partir de la fecha de la notificación (aunque, de nuevo, se refiere directamente a nuestra región, donde algunos chicos del RCN pueden ser porastoropnee). En general, hemos decidido proceder con la posición de que el 152-FZ prevé los casos en que no se requiere la notificación para presentar esto, en particular cuando el tratamiento de la EP se hace en la aplicación de la relación de trabajo y en el contrato, una de las partes, que es el tema de la EP. En principio, podría funcionar, si al RCN no sería objetivo de castigar a la organización, ya que el cliente era una pequeña empresa comercial que simplemente se encarga de los empleados con EP el Código del Trabajo y concluye contratos con clientes. La orden, emitida por la auditoría, fue que la empresa tuvo que presentar un aviso, y como no presentada, y luego rompió el 152-FZ, ay-ay-ay! Y en la prescripción era ninguna justificación, un "no aviso, y cae bajo la excepción no hace, por lo tanto, viola ...". En palabras de los auditores se les dijo que una relación contractual con los clientes es difícil de encontrar defectos, por lo que deben presentar un aviso, porque (¡IMPORTANTE!) Organización transferencias los datos personales de los empleados a terceros - en el Servicio Fiscal de la Federación y el Fondo de Pensiones! Eso es todo! Hay, por supuesto, es inmediatamente claro - ¿por qué en la ley federal, todas estas excepciones permiten que el operador no presentar una notificación de la EP? ¿No es más fácil escribir - "todas las personas jurídicas deben presentar un aviso" y para terminar este
    ?
    ¿Qué hacer? h5>
     Francamente, estoy incluso preguntándose lo que vendrá, y lo que cavar representantes RCN en el próximo cheque, porque no hay un sistema de la caña. Pero a veces un pensamiento - o tal vez sobre todo publicar en un lugar visible un defecto claro? Es pequeñas multas, y vio la violación en un lugar prominente, con los inspectores de alta probabilidad haría a la medida cautelar, vamos a pagar una pequeña cuota, para eliminar las violaciónes de manera oportuna y continuaremos a vivir en paz, y los inspectores no cavar más profundo. Hay otra opción - a impugnar la medida cautelar Roskomnadzor en la corte, que está decidido a hacer de nuestro último cliente. Por desgracia, el desenlace de esta historia, no puedo compartir, porque la propia historia aún no ha terminado. En cualquier caso, todo el mundo va a elegir su camino a sí mismo, aunque es posible en su área para el sistema de caña aún no ha llegado.

    Fuente: habrahabr.ru/post/228063/