Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Список допущенных к обработке перс данных
Добрый день!
Попыталась задать вопрос в общей теме, но там сыплется какой-то спам((( Итак.
Руководство требует, чтобы сотрудники подразделения ИТ, с правами локального администратора, были включены в список сотрудников, имеющих право на обработку ПНД. Мотивируют это тем, что, например, они могут выполнять перенос данных пользователя с одного ПК на другой (при замене ПК), а эти данные могут содержать в себе ПНД. Насколько это правомерно? На мой взгляд, к обработке ПНД это не имеет никакого отношения, тем более, что они могут даже не понимать, содержат файлы ПНД или нет. И если все-таки это считается обработкой ПНД, то какие правовые последствия это может иметь для сотрудников?
Пожалуйста, поделитесь опытом!
Включаете ли вы системных администраторов в список лиц, допущенных к обработке персональных данных?
Екатерина, конечно включать.
Обработка - любое действие, в том числе и перенос и копирование.

Не вижу даже ничего страшного, что вы их включите, даже наоборот легче им будет.
Вот мне это совершенно не понятно. Для выполнения администраторами своих обязанностей персональные данные им не требуются. К БД они доступа не имеют, с документами кадровыми-бухгалтерскими они не работают. Я даже не могу понять, как можно составить матрицу доступа "вид персональных данных - сотрудник, имеющий доступ" в этом случае. Потому что добавляются они в перечень лиц "на всякий случай", и никто не может предстаказать, к каким данным и какой доступ они могут получить.
А как быть с требованиями к рабочим местам сотрудникам, обрабатывающих персональные данные? Если мы признаем, что админ на ПК не просто получает доступ к данным, но и их обрабатывает, то его надо сажать в отдельное помещение под ключ? И далее по тексту?
Доступ это уже обработка ПДн.
Резервное копирование данных администраторы не выполняют?
А кто администрирует эти БД у вас? (полюбому ж ИТ и если это они, то у них есть доступ к ПДн)


Я составлял матрицу доступа так:
ФИО ИС Доступ к ПДн при неавтоматизированной обработке
Иванов чтениезаписьудалениеадмин...) Права доступа и к каким категориям ПДн
ФИО - Иванов
ИС - чтениезаписьудалениеадмин...
Доступ к ПДн при неавтоматизированной обработке - Права доступа и к каким категориям ПДн

в виде таблицы
Спасибо огромное за ответы!)
Базы у нас администрируют другие люди, у них другие должности, и по ним нет вопросов, что у них есть право на доступ и обработку.
Есть вопрос по 2м конкретным людям, которые имеют права локальных админов на машинах и теоретически могут что-то увидеть.
В этом весь вопрос и встал: нельзя определить, к каким категоряим данных они могут получить доступ. Это зависит от того, что пользователь сохранит себе на ПК и вообще попросит ли он сам что-то с ними сделать.
По нашему положению понятия доступа и обработки разделены.
То есть сейчас это выглядит так:
Должность - доступ к ПДн/обработка ПДн
Категорирвоанием пока не занимались вообще. Разделения на ИС и неавтоматизированную обработку нет тоже.
И при таком раскладе получается, что вордовские файлы со списком работников вообще никуда не попадают? Или под ИС понимается вся система предприятия, не только БД?
По определению п. 3 ст. 10 152-ФЗ ИСПДн - совокупность содержащихся в БД ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Таким образом, ИС и компьютеры на которых обрабатываются ПДн, являются ИСПДн.

По логике: если работник имеет доступ к ПДн (включен в перечень лиц, имеющих доступ), то он обрабатывает ПДн, соответственно он должен быть включен в перечень лиц, обрабатывающих ПДн.

По крайней мере я трактую так данный Федеральный закон :)
Мотивируют это тем, что, например, они могут выполнять перенос данных пользователя с одного ПК на другой (при замене ПК), а эти данные могут содержать в себе ПНД.

Если они вдруг будут выполнять перенос ПДн, то они должны иметь на это право, иначе их можно будет потом наказать за нарушение внутренних документов (в данном случае вашего Положения).
Тогда получается, что у нас положение изначально некорректно построено, потому что нельзя разделять понятия доступа и обработки.
Логика закона, видимо, совсем никак не вяжется с моей собственной, поэтому я в своей голове никак не могу уложить все это дело)))
В моем представлении, обработка ПДн - это именно обработка данных, а не файлов данных. То есть какие-то операции над ФИО, датой рождения, пропиской и проч.
Опять же, как связать это со статья 5.1 152-ФЗ, где написано, что «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».
Какиую цель может преследовать админ, копируя профиль пользователя на другой ПК? Он даже не знает, есть там ПДн или нет.
Так в том и дело) как они идентифицируют, ПДн это или нет?
Если вы перевозите ящик, но не знаете что в нем, а вас останавливают уполномоченные на это органы, открывают ящик, а там запрещенные к перевозке средства. Вы скажите, что я не знаю, что я перевожу, и вы тогда ни в чем не будете виноваты, ну или тот кто вам это поручил? :) тоже самое с копированием/переносом информации. Если кто-то копирует информацию, то он должен иметь на это право.

По вашему пониманию: если вы осуществляете передачу ПДн, ну к примеру по электронной почте, то здесь вы передаете ПДн не в файле, и вы должны соблюдать 152-ФЗ. А если вы передаете ПДн на флешке, на которой записан exel файл, в котором содержатся ПДн, то соблюдать закон не обязательно?)

Это 5.2 152-ФЗ. В уведомлении Роскомнадзора Оператор (ваша организация) и определяет цели обработки (для осуществления возложенных на вашу организацию функций).
Изменено: Андрей - 07.12.2016 15:29:51
Ну, да, вроде как логично)
Тогда на рабочее место админа распространяются все те же требования по обеспечению безопасности, что и к сотруднику отдела кадров, например?
И далее, имеют ли право вообще сотрудники отдела кадров, к примеру, хранить ыайлы с персональными данными на своем ПК? или это определяется внутренними положениями? И тогда если мы определяем, что файлы на ПК не хранятся, что он импользуется только как промежуточная точка обработки данных, а далее они передаются по назначению, при этом постоянно они хранятся либо на носителе, либо в БД, то мы можем считать, что админ не обрабатывает данные? Потому что у него исключен к ним доступ?
Тогда на рабочее место админа распространяются все те же требования по обеспечению безопасности, что и к сотруднику отдела кадров, например?

Если он имеет доступ к тем же данным или может иметь (может воспользоваться этими данными), то да.

И далее, имеют ли право вообще сотрудники отдела кадров, к примеру, хранить ыайлы с персональными данными на своем ПК?

Если внутренними документами предусмотрено или не запрещено, то можно.
Если вы осуществляете обработку ПДн не на компьютерах, то соблюдайте требования 152-ФЗ и 687 Постановления (об неавтоматизированной обработке).
Если с помощью компьютера обрабатываете, то еще 21 приказ ФСТЭК и 1119 Постановление.
Вроде как так.

если мы определяем, что файлы на ПК не хранятся, что он импользуется только как промежуточная точка обработки данных, а далее они передаются по назначению, при этом постоянно они хранятся либо на носителе, либо в БД, то мы можем считать, что админ не обрабатывает данные? Потому что у него исключен к ним доступ?

По логике всё правильно, но утверждать не могу :)
Андрей, спасибо)
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку