1

Тема: База Знаний

Здесь публикуем и обсуждаем все полезное.

2

Re: База Знаний

как можно выложить свои шаблоны?

3

Re: База Знаний

Не знаю куда писать такой вопрос: есть ли смысл попытаться в иных случаях скорректировать работу предприятия так, чтобы под этот закон не попадать?
То есть, в случае визита проверяющих, отвечать им что-то вроде того, что элекронной обработки ПД на предприятии не производится.

Ну, взять к примеру небольшое кафе: допустим бухучеты и белую зарплату ведет сторонняя фирма, в фронт-офисе официанты работают хоть и по индивидуальным карточкам, но заведены как "Официант 1" и т.д., отчет по смене печатается и дальше все на бумажке, то есть на компах на месте никаких ПД нет. Можно ли в таком случае как-то упростить квест?


Второй вопрос.
На фирме в программу записываются имя и телефон обслуживаемого клиента, чтобы позже позвонить ему и проконтролировать выполнение заказа, его мнение и пожелания.
Записывается лишь со слов клиента, устно, то есть он может назваться как угодно и дать любой номер, или просто отказаться.
С точки зрения здравого смысла понятно, что эта не достоверная информация не является ПД и тем более глупо слать ее в уполномоченый орган, но что об этом закон гласит?
По факту ведь имеем немалый список фамилий с телефонами, большинство из которых совпадают с реальными, о чем придется говорить с проверяющими?

4

Re: База Знаний

mixa4 пишет:

Не знаю куда писать такой вопрос: есть ли смысл попытаться в иных случаях скорректировать работу предприятия так, чтобы под этот закон не попадать?
То есть, в случае визита проверяющих, отвечать им что-то вроде того, что элекронной обработки ПД на предприятии не производится.

Ну, взять к примеру небольшое кафе: допустим бухучеты и белую зарплату ведет сторонняя фирма, в фронт-офисе официанты работают хоть и по индивидуальным карточкам, но заведены как "Официант 1" и т.д., отчет по смене печатается и дальше все на бумажке, то есть на компах на месте никаких ПД нет. Можно ли в таком случае как-то упростить квест?


Второй вопрос.
На фирме в программу записываются имя и телефон обслуживаемого клиента, чтобы позже позвонить ему и проконтролировать выполнение заказа, его мнение и пожелания.
Записывается лишь со слов клиента, устно, то есть он может назваться как угодно и дать любой номер, или просто отказаться.
С точки зрения здравого смысла понятно, что эта не достоверная информация не является ПД и тем более глупо слать ее в уполномоченый орган, но что об этом закон гласит?
По факту ведь имеем немалый список фамилий с телефонами, большинство из которых совпадают с реальными, о чем придется говорить с проверяющими?

Уважаемый mixa4

Мне кажется, что такие мысли нужно оставить в прошлом, раз и навсегда smile
1) Обработка персональных данных бывает автоматизированной и неавтоматизированной. То есть нельзя говорить, что у вас не ведется электронная обработка.
2) Из первого пункта выходит второй - вы не сможете не обрабатывать персональные данные. Функционирование предприятия напрямую зависит от обработки ПДн.
3) Даже если вы будете практиковать аутстаффинг (или иные аут...), то сбор данных все равно будете производить вы и цели определять тоже.

То есть шансов легитимно доказать, что вы не обрабатываете персональные данные, ИМХО нет.

Что касается второго вопроса.
Вы сейчас затронули, на мой взгляд, жуткую тему. Поясню почему.
1) Телефон и имя - это персональные данные и если говорить формально, то может быть и не обезличенные. Ведь если человек сообщает мобильный номер, то по нему его можно идентифицировать. Частные случаи, когда телефон зарегистирован не на него, не рассматриваем. То есть это обработка ПДн.
2) Институт согласия предполагает не только письменное согласие, но и конклюдентные действия. Конклюдентные - это действия, свидетельствующие о молчаливом согласии лица, совершающего действия, его намерении совершить сделку, заключить договор. То есть звонящий человек, желая получить услугу, сообщает свои персональные данные, автоматически соглашаясь на обработку. Вообще, практика применения конклюдентных действий (в отношении ПДн) отсутствует. Поэтому нам еще предстоит понять каким образом этот механизм будет работать.
3) Ну и самое главное. Если вы применяете конклюдентные действия, то не забывайте про пункт 3 статьи 9 152-ФЗ: "Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора". То есть возможно вам потребуется вести записи телефонных разговоров.

Я думаю что реальных выхода здесь два:
1) Настаивать на обезличенности данных.
2) Настаивать на конклюдентных действиях.

Отредактировано tuxedo (2011-07-04 09:38:32)

5

Re: База Знаний

Очень часто проскакивает фраза, о том, что если фирма имеет ИСПДн но использует ее только для обработки данных своих сотрудников, то он может не заявлять о себе, как об операторе обработки ПДн... А таких фирм очень много - это мелкая торговля, сторительство и т.п.!
У меня вопросы: 
  1) почему везде говорится что 90% всех фирм являются операторами или я что то не понимаю?
  2) Сейчас большинство использует 1С для передачи в налоговую и пенсионный сведений о сотрудниках и их ЗП - это подпадает под пункт передачи ПДн третьим лицам?

Отредактировано twox (2011-07-04 15:01:16)

6

Re: База Знаний

пообщаюсь завтра с руководством той фирмы и уточню свой второй вопрос...


twox пишет:

1) почему везде говорится что 90% всех фирм являются операторами или я что то не понимаю?

ответ можно найти в FAQ: внизу перечислено когда можно не подавать, а выше сказано кто такой оператор, то есть это разные вещи: даже если влезешь в категорию тех кто не должен подавать, это не значит что ты вообще не попадаешь под действие закона

кстати, часть закона об обязательном уведомлении уполномоченных органов вступила в действие уже давно, кто нарушает - наверно делает это уже злостно )

Отредактировано mixa4 (2011-07-04 20:57:26)

7

Re: База Знаний

twox,

Что касается того, необходимо ли подавать уведомление, я уже отвечал развернуто в этом посте - http://zpdn-day.ru/forum/viewtopic.php?pid=64#p64

Более того, отсутствие необходимости подавать уведомление не говорит о том, что вы не являетесь оператором.
Да, передача данных в ПФ - передача персональных данных

8

Re: База Знаний

Автосервис, клиент по телефону может записаться на обслуживание, типа - я, Сидоров, приеду завтра в 10:00 на тойоте номерной знак в666ад менять масло, у механиков эта инфа видна таблицей на мониторе для целей планирования.
Надо понять какие заботы тут возникают.
Я вот думаю, а следует ли вообще информацию, сообщенную по телефону, рассматривать как персональные данные?
Одно дело, когда например берется у клиента документ типа паспорта, и данные по нему заносятся работником в программу, но по телефону то они (данные) не обладают достоверностью, голос может сообщить чужие или не существующие фамилию и телефон, разве закон распространяется на такую информацию?

Второй момент в том же автосервисе: когда клиент уже расплачивается, у него спрашивают имя и телефон, по этим данным позже оператор совершает обзвон и интересуется доволен ли человек обслуживанием, какие имеет пожелания и прочую маркетинговую лабуду.
Можно ли, как в предыдущем вопросе, не считать сообщенную клиентом информацию персональными данными в связи с отсутствием достоверности (контроля нет, человек спокойно может назвать чужое имя и телефон)? В противном случае, нужно ли получать согласие на обработку или можно потом сослаться на ст.6 п.2.2 в связи с совершением покупки или оказанием услуг?

И кстати, ст.22 п.2.1 - можно не уведомлять при трудовых отношениях, но что произойдет когда работник уволится?

9

Re: База Знаний

al_gor пишет:

как можно выложить свои шаблоны?

Если Вас не затруднит, киньте мне на мыло admin@medyar.ru Ваши шаблоны...для ознакомления.
Заранее благодарен.

10

Re: База Знаний

mixa4 пишет:

И кстати, ст.22 п.2.1 - можно не уведомлять при трудовых отношениях, но что произойдет когда работник уволится?

Об этом закон молчит, но я думаю, что обработка перс. данных уволенного сотрудника производится практически в тех же целях, что и в случае, когда он является сотрудником. Поэтому мне кажется, что уведомление можете не отправлять.
Давайте к нюансам:
1) Согласно перечню типовых архивных документов вы должны хранить данные о работнике от 75 лет (есть исключения). При этом храниться должны бумажные документы - личные дела, карточки и т.д. Хранение вы осуществляете на основании ФЗ.
2) Но если вам, по каким-то причинам, необходима автоматизированная обработка после увольнения, то, как я это понимаю, вам придется взять согласие на такую обработку.