Есть ли разница между филиалом и учреждением в ОРД по защите ПДн - Форум по вопросам информационной безопасности

Добрый день коллеги. Намедни такой вопрос возник, есть ли какие-нибудь различия между ОРД учреждения и филиала в области защиты ПДн при обработке сих не только работников, но и рядовых граждан, если учреждение уже является Оператором ПДн и имеет все необходимые документы?

Каковы функции и задачи филиала, если учреждение = оператор?

Если в двух словах: Филиал регистрирует запросы граждан, учреждение обрабатывает запросы.

Вполне вероятно, что филиал выполняет функции по обработке ПДн и тогда он должен обладать статусом оператора. Наверно, это территориально обособленное образование. тогда филиал должен располагать "всеми необходимыми документами".

На деле нет, филиал имеет возможность только принятия ПДн, а вся обработка/изменения/удаление происходит непосредственно в учреждении.

Вопрос философский. А как регулятор рассматривает "принятие"? вполне возможно, как обработку.

Да, признаю, моя вина, сглупил немного, ведь по 152-ФЗ тоже попадаем под обработку:

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Смущает просто, что кроме сбора ПДн по сути ни чем и не занимаемся. Т.е. если субъект ПДн обратиться к нам с запросом на то же изменение своих ПДн, то его запрос должен обрабатываться в учреждении, где внесут необходимые изменения, а потом вышлют нам правки с изменениями.

А в чём проблема передать филиалу заверенные копии распорядительных документов для ПДн и ознакомить персонал? ПДн те же, перечень работ даже уже, ведомственные документы те же.
Главное, чтобы каналы передачи данных, по которым идёт обмен, были описаны в документах головной конторы.

Да я тоже считаю, что этот вариант был бы более уместным. У нас же ситуация складывается таким образом, что скинули комплект шаблонов документов, и поручили сделать под себя. И вот тут уже загвоздка идет, т.к. по этим документам мы уже сами выходим Операторам ПДн, хотя на деле лишь действуем от лица Оператора.

А как насчет требований к оператору в части лицензии ТЗКИ? является ли филиал лицензиатом? распространяется ли действие лицензии, выданной организации, на филиал?