обработка персональных данных и штрафы в связи с этим

добрый день!

тут оказывается придумали еще один повод собирать деньги с населения. весело. давно уже придумали оказывается с 1 июля 17 года.
ближе к делу. вопрос такой. тут есть исключения в статье 22 закона 152 фз о том что можно не уведомлять в случае в частности таком:

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;


подскажите пожалуйста, кто в теме, мне не совсем понятна формулировка (специально видимо запутывают честных людей) - обрабатываемых без использования средств автоматизации какая еще автоматизация? у меня сайт с просто формой обратной связи, в которой можно указать свое ФИО и электропочту. никакой автоматизации. я подпадаю под этот пункт и не должен уведомлять и кланяться этому надзору значит?


п.с. одни надзоры да контроли в стране, а кругом бардак...

и еще вопрос даже такой:

а просто адрес электронной почты не считается у них формой сбора перс данных, часом? а то еще вдруг чего доброго даже почту нельзя размещать на сайте....?

актуально )

ФИО + почта - уже куда перс.данных на обработку :mad:
Вы обратную связь с сайта автоматически получаете? Значит автоматическая обработка

Цитата:

---

Сообщение от Январь

уже куда перс.данных на обработку

---

а если написать в графе ФИО скажем - "Как к вам обращаться?" может члк себя Тигренок назовет. это будет считаться ПДН? )) кроме шуток.

Цитата:

---

Сообщение от Январь

Вы обратную связь с сайта автоматически получаете?

---

форма обратной связи работает как-то там сама. это скрипт от typeform. и все? это считается авто обработка значит?

и как я понимаю, мало там просто разместить галочку и ссылку на офферту о конфиденциальности, это было бы полбеды, так надо еще как-то там эти перс данные хранить правильно? тема про сервера на территории рф итд. это про это?

Man of the World, а нет нигде четкого определения.

Цитата:

---

Сообщение от Январь

Man of the World, а нет нигде четкого определения.

---

и как посоветуете быть в итоге? разместить ссылку на офферту и на этом остановиться? не париться за хранение ПДН?

Цитата:

---

Сообщение от Man of the World

разместить ссылку на офферту

---

О чем оферта? Нужно на сайте политику по обработке ПД публиковать и согласия физиков на обработку собирать. Плюс, я так понимаю, в роскомнадзоре (или как оно называется, забыла) регистрироваться.

Посмотрела, у нас на сайте в контактах даны телефон и эл.почта, другой обратной связи и нет. А нам предписание о необходимости разработки системы защиты перс. данных прислали по электронке.
Никакую личную информацию мы не запрашиваем. Интересно, можно не реагировать на этих дармоедов?
На фоне сдачи годовой отчетности совсем торможу...

Цитата:

---

Сообщение от МаринаАнатольевна

предписание о необходимости разработки системы защиты перс. данных прислали по электронке.

---

аналогично получили сегодня на электронную почту подобное предписание (см.файл).

Вложение 60892

при этом ни на какую рассылку от Россертификации с указанием нашего почтового ящика мы не подписывались.
еще момент - Россертификация в шапке указывает адрес С.-Петербург, а мы находимся под Москвой.
и, судя по тексту письма, эта организация явно работает агентом Роскомнадзора.
а иначе как объяснить всю эту историю, рассказанную в их письме.

электронный адрес рассылки, кстати, info@mailrossert-post7.
т.е. явно не официальный адрес Роскомнадзора и не Россертификации.

теперь вот думаю, переслать это письмо на официальный сайт Роскомнадзора что ли...
год назад уже была такая суматоха с рассылкой фальшивых писем.

и вот - свежие сообщения от 05 февраля 2018г.:

Цитата:

---

"Роскомнадзор предупредил россиян о массовой рассылке поддельных сообщений

Россиянам следует уделять особое внимание электронному адресу отправителя
В понедельник днем, 5 февраля, представители Роскомнадзора поставили в известность граждан России о массовой рассылке от имени должностных лиц сообщений, которые не отвечают действительности.

«Письма направляются с адресов общедоступных почтовых сервисов на «бланках» Управления за подписью несуществующих сотрудников», - отмечают в федеральной службе. Сотрудники Роскомнадзора, обращаясь к согражданам, просят уделять особое внимание электронному адресу отправителя. При этом они также напоминают, что все их сообщения подписываются электронной подписью с указанием сведений о соответствующем сертификате.

Напомним, ранее представители федеральной службы уже сообщали об участившихся случаях фальшивой рассылки писем. Они отмечали, что распространяемая информация не соответствует действительности, а также просили операторов персональных данных, получивших подобные письма, сообщить о фактах получения неправомерных требований. "

---

и вот еще, более свежая дата - 13 февраля 2018г. на сайте Гаранта:

Цитата:

---

"Информация Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 февраля 2018 г. “ВНИМАНИЮ СМИ: о рассылке поддельных писем от имени Роскомнадзора”
13 февраля 2018

В Роскомнадзор поступили сведения об электронной рассылке в СМИ от имени Управления Роскомнадзора по Центральному федеральному округу поддельных писем с требованием удалить якобы противоправную информацию.

Письма направляются с адресов общедоступных почтовых сервисов на «бланках» Управления за подписью несуществующих сотрудников (например, А.П. Стреглов).

В связи с этим при получении официальных писем из Роскомнадзора просим обращать особое внимание на электронный адрес отправителя. Все электронные адреса Роскомнадзора оканчиваются на @rkn.gov.ru.

Обращаем также внимание, что все официальные письма Роскомнадзора подписываются электронной подписью с указанием сведений о соответствующем сертификате."

---

тем не менее, полученное спамное письмо взбодрило и заставило еще раз оценить риски нашей организации (в которой работает два человека на оптовой торговле) по ст.22 152-ФЗ.

и вполне вероятно, мы всё-таки напишем согласие на обработку персональных данных без использования средств автоматизации (т.е. от руки) в свои личные дела и, может быть, составим внутренний документ, гласящий о том, как и где эти ПД используются, а именно - исключительно в соответствии с трудовым законодательством.

а вы как защищаете персональные данные своих сотрудников?
(вопрос ко всем, кто заглянул в эту тему)

добрый день, подниму тему.
почитала, собрала в кучу. может будут у кого идеи, замечания?

Обычное ООО, обрабатываем персональные данные своих сотрудников (начисление з/п, сдача отчетности)
Вроде бы должны быть вот эти документы:

1. приказ руководителя о назначении ответственного за работу с персональными данными и обеспечении их защиты.
2. документ, содержащий перечень персональных данных которые реально используются в деятельности организации. В этом перечне должны быть:
• заявление о приеме на работу;
• анкета сотрудника;
• личная карточка;
• личное дело;
• трудовой договор;
• приказы;
• трудовая книжка;
• материалы аттестационных комиссий.
Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).
3. список лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников
4. Положение о работе с персональными данными

Обязательно ли уведомлять Роскомнадзор?

отрывок из статьи в интернете "Речь идет об уведомлении Роскомнадзора о том, что организация работает с персональными данными. Ситуация тут крайне неоднозначная.
На первый взгляд, закон освобождает от подачи такого уведомления, если обрабатываются только персональные данные сотрудников. Однако на практике органы Роскомнадзора зачастую требуют предоставлять уведомление, даже если кроме работы с данными сотрудников организация никакой другой работы с персональными данными не ведет. При этом контрольное ведомство пользуется противоречивостью положений закона. Статья 22 Закона о персональных данных, которая освобождает от необходимости направлять уведомление в части персональных данных сотрудников организации, сформулирована так, что использование данных сотрудников в отношениях с банком при начислении им заработной платы, а также с государственными органами при предоставлении сведений о работниках формально под это исключение не подпадает. Поэтому во избежание лишних споров и штрафов советуем все же направить уведомление."
В этом вопросе не разбираюсь вообще, буду благодарна за любую критику.

olga-osina, подпишусь на тему. Недавно задумались о перс.данных водителей (экспедиторов), которые приезжают и забирают продукцию. Они же приходят с доверенностью, в которой указаны что ни на есть именно персональные данные))). Что с этими данными делать??? Кто еще сталкивался с подобными мыслями?

Цитата:

---

Сообщение от olga-osina

кроме работы с данными сотрудников организация никакой другой работы с персональными данными не ведет

---

Перс.данные своих сотрудников защитили, но это наши...

Цитата:

---

Сообщение от olga-osina

Обязательно ли уведомлять Роскомнадзор?

---

нет ,если только по своим сотрудникам собираете

Цитата:

---

Сообщение от Владимир Лойер

нет ,если только по своим сотрудникам собираете

---

спасибо, хоть один вопрос отпал

Подскажите, а если несколько лет назад имели глупость уведомить РКН об обработке перс данных, хотя обработка ведется только с сотрудниками и клиентами по договорам, теперь регулярно требуют заполнять отчеты, в частности "сведения о месте нахождения базы данных информации, содержащей персональные данные" - нужно либо указать какие средства защиты есть на ПК, либо указать ЦОД - что указывать?

И можно ли исключиться из реестра исходя из того, что обрабатываются только те данные, по которым изначально не требовалось подавать уведомление?