Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ЦОД ядра системы «Мир» построен на Эльбрусах и Рубиконах

18/02/2018

С момента провозглашения курса на импортозамещение замена зарубежных продуктов и решений, формирующих ИТ-инфраструктуру российских предприятий, на отечественные разработки стала одной из постоянно обсуждаемых тем.

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Ответственный за обработку ПДн в организации и ее подразделениях, Кто несет ответственность за обраьботку ПДн, и где (закон, приказ) это прописано?
Прошу прощения, если вопрос уже поднимался, но найти его мне не удалось. Встал вопрос у нас о назначении лиц, ответственных за обработку ПДн. ПДн обрабатываются в кадрах и бухгалтерии. Руководители данных подразделений требуют предоставить им ссылку на документ (закон, приказ, ...), где говорится о том, что такие ответственные должны быть! Я так и не смог найти никакого документа, в котором этот момент четко оговаривался. Прошу вашей помощи.
ответственность за безопасную обработку ПДн разделяют между собой все лица, допущенные к ИСПДн, в пределах своих должностных обязанностей.
А документ, формулирующий ответственность - требования безопасности при обработке ПДн. Этот документ должны подписать все лица, допущенные к обработке ПДн.
Утвердить всё это приказом руководителя - и проблем не будет.
В настоящее время это отражено в п.13 ПП-781 и в 58 Приказе ФСТЭК (ч.1 п.1.3)
А новой редакции Закона о ПДн, который будет скорее всего принят 17 июня, этому посвящана целая «Статья 221. Лица, ответственные за организацию обработки персональных данных в организациях":
1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, стандартов обеспечения безопасности персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, стандартов обеспечения безопасности персональных данных;
3) организовать прием и обработку обращений и запросов субъектов персональных данных и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
5. Если у лица, ответственного за организацию обработки персональных данных, возникнут сомнения относительно того, каким образом необходимо толковать (применять) ту или иную норму законодательства Российской Федерации в области персональных данных, оно вправе обратиться в уполномоченный орган по защите прав субъектов персональных данных за соответствующим разъяснением.»;
Цитата
Александр пишет:
ответственность за безопасную обработку ПДн разделяют между собой все лица, допущенные к ИСПДн, в пределах своих должностных обязанностей.
А документ, формулирующий ответственность - требования безопасности при обработке ПДн. Этот документ должны подписать все лица, допущенные к обработке ПДн.
Утвердить всё это приказом руководителя - и проблем не будет.

Т. е. достаточно написать Положение "Обработка ПДн" с разделом "требования безопасности при обработке ПДн" и в нем определить ответственных? Разделение ответственности между собой - слишком размыто. Есть документы, которые должено подписывать ответственное лицо (Акт об уничтожении ПДн, носителей ПДн - например).
Цитата
Игорь пишет:
В настоящее время это отражено в п.13 ПП-781 и в 58 Приказе ФСТЭК (ч.1 п.1.3)
А новой редакции Закона о ПДн, который будет скорее всего принят 17 июня, этому посвящана целая «Статья 221. Лица, ответственные за организацию обработки персональных данных в организациях":
1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, стандартов обеспечения безопасности персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, стандартов обеспечения безопасности персональных данных;
3) организовать прием и обработку обращений и запросов субъектов персональных данных и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
5. Если у лица, ответственного за организацию обработки персональных данных, возникнут сомнения относительно того, каким образом необходимо толковать (применять) ту или иную норму законодательства Российской Федерации в области персональных данных, оно вправе обратиться в уполномоченный орган по защите прав субъектов персональных данных за соответствующим разъяснением.»;

Спасибо огромное!!!
Цитата
Роман (Гость) пишет:
Т. е. достаточно написать Положение "Обработка ПДн" с разделом "требования безопасности при обработке ПДн" и в нем определить ответственных? Разделение ответственности между собой - слишком размыто. Есть документы, которые должено подписывать ответственное лицо (Акт об уничтожении ПДн, носителей ПДн - например).
Ответственные назначаются приказом руководителя, а их должностные права и обязанности должны быть закреплены во внутренней документации Организации (будь то Инструкции или Положения)
верно, для уничтожения, сбора, передачи, ПДн, реагирования на запросы субъектов пишутся регламенты. Или один регламент для всех способов обработки.
В них пишется, что ответственный за то-то, то-то назначается Приказом руководителя.
Здравствуйте. Я работаю в частной организации главным бухгалтером и меня решили назначить ответственным за осуществление мероприятий по защите персональных данных. Поскольку я вообще далека от этой темы и почитав данный форум, поняла, что должен быть человек, который хотя бы как-то касался темы в отношении информационной безопасности. Правомочно ли мне вменять такие обязанности? Разъясните, пожалуйста.
Наталья, в организации может назначться структурное подразделение или должностное лицо, необязательно специалист.
Начните со своих обязанностей, типа Должностная инструкция ответственного за защиту ПДн. В ней пропишите право давать указания сотрудникам организации выполнять ваши поручения по проведению мероприятий по защите (конечно если есть такие сотрудники: юристу и начальнику отдела кадров - разработка нормативной документации, IT - специалисту - техническую составляющую, себе - организация и координация работы)
Коллеги, разрешите еще один вопрос на данную тему.

Моделируя следующую ситуацию: есть люди из штата компании, назначенные оператором ответственными за информационную безопасность. Работа, проведенная этими людьми, в силу различных причин, проведена не полностью, и на этом этапе происходит их смена, с назначением новых сотрудников на их место.
Вопрос в следующем: какую ответственность понесут новые сотрудники компании в случае обнаружения данных недостатков в ходе проверки? Если, грубо говоря, назначили сегодня, а проверка - завтра, т.е. времени на устранение недостатков не было.

С одной стороны - новые сотрудники исполняют свои обязанности недавно, и за предыдущую команду не в ответе. С другой стороны, есть ИСПДн, есть нарушения, есть люди ,назначенные, утвержденные и ответственные за это.
Вероника,
ответственность несут не люди, а оператор = юрлицо в вашем случае. И проверки бояться не стоит, для начала вам выдадут предписание на устранение выявленных недостатков (а недостатки были бы даже если работа была выполнена по-вашему мнению полностью, их найдут по-любаму). Вот у вас и появится время на их устранение, ну а максимум штраф в 5-10 тыс.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)