Автор: lex | 106911 | 19.07.2019 10:08 |
Добрый день коллеги, помогите разобраться со следующей ситуацией. Устроился трудится в Администрации небольшого городка, практически все ИСПДн на балансе подведомственной организации, на часть ИСПДн даже есть документация где этот подвед прописан как оператор ИС. В уведомлении в Роскомнадзор все эти ИСПДН числятся за Администрацией как за оператором ПД. Может ли одна организация быть оператором ИС, а другая оператором ПД?
|
Автор: Alex | 106912 | 19.07.2019 10:52 |
>Может ли одна
в общем случае, может. чтобы точнее ответить, надо бы посмотреть формулировки в документации - если обслуживание ИС без ознакомления с ПДн с фиксацией фактов обслуживания, договорами и прочими танцами с бубнами, то всё нормально. иначе, имхо есть небольшое нарушение (если передавали обработку ПДн подведомственной организации ч.3 ст.6 152-ФЗ), применительно к вашей ситуации, и вы, и подведомственная организация являетесь операторами (п.2 ст.3 152-ФЗ) |
Автор: lex | 106924 | 24.07.2019 08:37 |
Спасибо Alex, просто не могу понять кто должен указывать эти ИСПДН в уведомлении Роскомнадзор и мы и владелец (оператор ИС)?Защиту информации кто должен организовывать, кто главнее)). Честно запутался с понятиями оператор по 152 и 149 ФЗ.
|
Автор: Alex | 106927 | 24.07.2019 11:08 |
>и мы и владелец
надо определиться с термином "владелец" (кратко): организация (должностное лицо), определяющие цели, состав обрабатываемых ПДн, меры защиты ПДн. Оператор: организация (должностное или частное лицо), получившее на законном основании ПДн и обрабатывающее по поручению и в соответствии с требованиями владельца ПДн >кто должен указывать >кто должен организовывать >кто главнее владелец ИСПДн |
Автор: Константин | 106928 | 24.07.2019 11:33 |
Указывать должен и оператор ОГВ и организация-обработчик, которая тоже является оператором.
|
Автор: lex | 106929 | 24.07.2019 12:45 |
Всем огромное спасибо!
1)Получается Подведомственная организация( которая отвечает за информатизацию, является заказчиком, на железе и балансе которой крутится ИСПДн) подает сведения в Роскомнадзор и мы Администрация (как непосредственный пользователь ИСПДн и тот кто заносит в ИС персональные данные и собирает согласие у субъектов Пд) подаем уведомление в Роскомнадзор об одних и тех же системах ИСПДн так как оба являемся операторами ПД. 2) Как быть с ИБ, как распределить ответственность, где прописать. Правильно я понял что владелец ИСПД (Подведомственная организация) выдвигает нам (Администрации г.о.) требования по защите? На ИСПД вообще нет документации и не прописаны роли участников, придется все разрабатывать и организовывать практически с нуля. |
Автор: Константин | 106930 | 24.07.2019 15:41 |
2 lex
Так п.3 ст.6 152-ФЗ вам в помощь. Вам товарищ Alex его упоминал. Подвед, который оператор ИС согласно п.3 ст.6 152-ФЗ поручает вам обработку. В этом пункте все указано, как передавать. Акт о передаче включает в себя ответственность по ИБ. |
Автор: lex | 106931 | 24.07.2019 16:08 |
Спасибо, Константин, Alex. Теперь вроде все стало понятно. Два оператора ПД, от обоих уведомление в Роскомнадзор, требованиия по соблюдению ИБ пропишем в Акте. Подведомственная организация оператор ПД, мы Администрация организация-обработчик ПД (также оператор ПД)...... Только есть нюанс, согласие с субъектов Подвед не собирает, все согласия собирает Администрация, в том числе на передачу ПД (в случаях установленных законодательством), где Администрация прописана как Оператор Пд, с указанием мест хранения ПД на мощностях Подведа. Не будет тут нарушения? Так как согласно п.4 ст.6 152-ФЗ Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. И кто будет нести ответственность перед субъектом ПД согласно п.5 ст.6 152-ФЗ ?
|
Автор: Alex | 106932 | 24.07.2019 17:01 |
>Два оператора ПД, от обоих уведомление
так >Не будет тут нарушения не будет, пока всё так >И кто будет нести ответственность перед субъектом ПД согласно п.5 ст.6 152-ФЗ ? владелец, т.е. "мы Администрация организация-обработчик ПД (также оператор ПД)" |
Автор: oko | 106933 | 24.07.2019 19:48 |
*в сторону*
Ответственность в полной мере всегда лежит на том, кто не смог ранее отстоять свою "избранную" зону ответственности, ага... Контора, которой необходимы в силу определенных факторов сбор/хранение/накопление/обработка/etc. ПДн (ПД - это "платежный документ", "перспективный двигатель", короче, что угодно, только не "персональные данные", потому что ИСПДн, а не ИСПД, ага) и, главное, которая определяет ЦЕЛИ и СОСТАВ обрабатываемых ПДн - она "оператор ПДн". "Дочерки", которым "Оператор" поручил что-либо совершать с ПДн (условно, собирать, как Администрация, или хранить, как подвед) фактически привязаны к "Оператору" и наследуют его статус. Так оно в ФЗ, да только в жизни иногда выходит глупо... Благо, что с безопасностью и ответственностью несколько проще. Кто "корневой Оператор" (кто определяет Цели и Состав), тот и заказывает музыку (читай, классифицирует ИСПДн, выставляет требования безопасности применительно конкретно к ней, родимой). Он же по умолчанию за все и отвечает. А вот чтобы "дочерка", которая у "корневого Оператора" сродни протезу (причем протезы де юре не ранжируются - камешек в огород и девочек-волонтеров с фотоаппаратами и бланками для пенсионеров, и, например, ЦОД Ростелекома, ага), отвечала за "промашку" с ПДн, произошедшую по ее вине - вот для этого должен быть составлен грамотный договор/соглашение/etc. Аналогично и для выполнения установленных требований безопасности... Вывод: определиться, кто же "первичный Оператор" в данной схеме и дальше действовать в полном согласии с НМД и здравым смыслом. Потому как реестр РКН, конечно, резиновый, но растягивать его за счет пложения лишних "операторов ПДн" не стоит - может эффектом рогатки дать пальцам, ага... |
Просмотров темы: 1730