Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита персональных данных - Форум по вопросам информационной безопасности

Защита персональных данных - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Игорёк | 108493 03.09.2020 10:36
Всем привет, столкнулся с такой ситуацией на новой работе: В организации есть 3 ИСПДн, только они не наши, а сторонней компании с которой у нас заключен договор. По сути в организации нет своих ИСПДн и баз данных, не серверов, ничего.

ПДн клиентов напрямую вносят в ИСПДн, также ведется не автоматизированная обработка ПДн.

Вопрос: нужно ли отправлять уведомление в РКН? Если операторы ИСПДн не мы то и за защиту персональных данных отвечает сторонняя организация?

Автор: Юрец | 108496 03.09.2020 17:53
Мое мнение: уведомление отправлять не надо, Ваша компания не является собственником ИСПДн, а за обработку ПДн (соответственно и защиту) отвечает оператор по договору.

Автор: Игорёк | 108498 04.09.2020 08:05
Ок, спасибо за ответ. Стоит ли тогда трясти ту компанию , кто оператор, и требовать от них доки по защите ПДн, все ли соотвествует требованиям ФЗ 152 и ФСТЭК 21? или это их проблемы и в случаи утечки ПДн вся отвественность будет на них?

Автор: Игорёк | 108522 04.09.2020 14:40
Ок, спасибо за ответ. Стоит ли тогда трясти ту компанию , кто оператор, и требовать от них доки по защите ПДн, все ли соотвествует требованиям ФЗ 152 и ФСТЭК 21? или это их проблемы и в случаи утечки ПДн вся отвественность будет на них?

Автор: практик | 108524 04.09.2020 15:12
2 Игорёк
Вы должны получить от операторов бланки согласий клиентов на обработку ПДн, и собирать от клиентов. И иметь какое-то соглашение, что Операторы вам доверяют работу с их клиентами.
Если зайдёт какая проверка (допустим, у них протечка), вы должны доказать, что это не ваша ИСПДн, и вы, как исполнитель, приняли меры (технические и организационные) согласно требованиям Оператора

Автор: oko | 108525 04.09.2020 15:22
*в сторону*
Только у меня вызывает недоумение фраза "В организации есть 3 ИСПДн, только они не наши, а сторонней компании с которой у нас заключен договор"? Какие могут быть вопросы про Оператора, РКН, соответствие требованиям безопасности, если уже есть договор - в нем все эти моменты и должны быть прописаны (или в доп.приложениях к нему)...

to Игорёк
<или это их проблемы и в случаи утечки ПДн вся отвественность будет на них?> - ответственность будет лежать на том, кто допустил утечку/блокирование/удаление/etc ПДн. Если вы их вносите в эти ИСПДн и стали виновником (и не выполнили предписанные требования безопасности) - ответственность будет на вас...

Автор: практик | 108527 04.09.2020 20:51
Ответственность ДОЛЖНА БЫТЬ на виновном.
Но при расследовании часто работают по формальному признаку.
Поэтому как раз в договоре на внесение данных в ИСПДн (например, девочками-операторами МФЦ) и должно быть прописано разграничение ответственности. То есть за какие нарушения отвечает собственно оператор ПК, а за какие Оператор ИСПДн

Другое дело, что подготовка этих договоров, приложений, инструкций и бланков - обязанность Операторов системы. А вы только должны убедиться, что вам выставлены требования, и что они выполняются (и обе эти части должны быть подтверждены договорами и актами, с подписями обеих сторон.

Просмотров темы: 260

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*