Согласие при передаче ПДн, обрабатываемых в рамках ФЗ, третьим лицам. - Форум по вопросам информационной безопасности
Согласие при передаче ПДн, обрабатываемых в рамках ФЗ, третьим лицам. - Форум по вопросам информационной безопасности
| Автор: lex | 108251 | 23.06.2020 14:14 |
|
Добрый день, уважаемые коллеги! Помогите, пожалуйста, разобраться с данной ситуацией. Являюсь работником органа местного самоуправления, обрабатываем ПДн в рамках оказания муниципальных услуг, обращения граждан. ПДн заносятся в ИСПДн подведомственной организации, т.е. идет передача ПДн от одного юридического лица другому, сейчас в процессе заключения договора (поручения) на передачу ПДн.
Вопрос! Должны ли мы брать согласие с субъектов ПДн, данные которых мы обрабатываем в рамках ФЗ так как идет передача данных третьей стороне?1 |
|
| Автор: oko | 108253 | 23.06.2020 20:55 |
|
to lex
Кто собирает, тот и берет согласие. Сбор ПДн - это составная часть обработки ПДн согласно ФЗ-152. А в согласии необходимо явно указывать третью сторону, цели и перечень (из той выборки, что собираете) передачи ПДн... |
|
| Автор: lex | 108254 | 23.06.2020 23:42 |
|
to oko
Спасибо! Правильно я понимаю, что если бы мы не передавали ПДн, обрабатываемые в рамках ФЗ и исполнения функций ОМСУ, то согласие брать было бы не обязательно и необходимость сбора согласия возникает только с момента передачи ПДн третьей стороне. |
|
| Автор: oko | 108255 | 24.06.2020 20:13 |
|
to lex
Перечитал ФЗ-152. Ст. 6 п. 3 вам в помощь. В целом, если ФЗ, согласно которому вы вообще собираете ПДн, предусматривает возможность их передачи на обработку третьей стороне, то можете не брать согласие. В ином случае, вам следует уведомить о передаче ПДн владельца ПДн. И это проще всего сделать в форме согласия (вне зависимости от того, что вы работаете согласно отдельному ФЗ и, юридически, имеете право никакого согласия сами не брать). Так выйдет надежнее и проще, чем потом кому-то доказывать (особенно, в случае утечки из-за третьей стороны, ага)... |
|
| Автор: lex | 108256 | 25.06.2020 09:26 |
|
to oko. Спасибо большое, а если ПДн обрабатываются по поручению (только хранятся на мощностях сторонней организации и эта организация является подведомственной), все равно имеет факт передачи ПДн третьей стороне? Просто физически нереально собрать согласие у всех субъектов, так часть обращений граждан могут поступать на почту, по телефону и тд.
Пока встретил только в законе о связи, что ПДн могут передаваться третьей стороне без согласия в рамках... |
|
| Автор: lex | 108257 | 25.06.2020 14:38 |
|
Путаница в голове именно с обработкой в рамках ФЗ. Если исходить из логики и закона по обращению граждан мы не можем отказать гражданину в приеме обращения, даже если не будет его согласия. Но и отработать мы обращение не сможем, так как ИС на балансе и железе подведа и нужно согласие на передачу на хранение третьей стороне.
|
|
| Автор: oko | 108259 | 25.06.2020 23:36 |
|
to lex
Обойдите это проще: если у подведа именно хранение, а не полноценная обработка (т.е. с ПДн напрямую никто не работает, они потоково записываются автоматически и хранятся в некой СУБД) - "повесьте" уведомление о подобной передаче ПДн третьей стороне (указание конкретной организации) с целью хранения. Уведомление вешайте на сайте своей гос.организации или высылайте при обращении по эл.почте в обратном письме. С указанием, что владелец ПДн в праве отказаться от подобного способа обработки при письменном обращении к вам. Все, прикрыты со всех сторон... В принципе, такая схема возможна даже если у подведа не только хранение ПДн производится. Тут юридический вопрос - и лучше с ним к юристам обращаться. Как безопасник скажу: данные должны храниться в защищенном виде и все стадии и места хранения/обработки должны быть прозрачны для владельца ПДн вне зависимости от путаницы и главенства тех или иных законов... |
|
Просмотров темы: 930
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"