Добрый день, Маша! Смотрю видео в апреле 2023, видимо уже опоздала с подачей. Можно для тех кто в танке еще раз разжевать: 1)если организация давно работает и у нее по любому есть сотрудники по трудовым договорам, значит она обязана была подать уведомление еще в сентябре? В этом же случае действует лучше поздно чем никогда?) 2) если есть и трудовые договора и гпх и волонтеры и еще другие виды договоров с физ лицами - на всё это разные уведомления на каждый вид нужно подавать или же одно на всех? 3) я буду подавать, после того как сейчас подам уведомление, новое уведомление только в том случае, если изменятся параметры сбора? То есть сколько бы с новыми фл не заключили договоров, подавать не надо? 4) если ИП на ПНД в 2023 отрылся будет заключать договора проката, но только на бумажном носителе , 2 экз клиемнту и ИП , в комп переносить не будет. Это тоже считается сбором данным и обязан подать уведомление? Спасибо
Добрый! 1) Да, лучше поздно, чем никогда 2) Одно на всех, в уведомлении можно указать разные виды собираемых данных 3) Верно 4) Это не автоматизированный сбор данных, поэтому не нужно
Здравствуйте. Скажите - если в в Авито в профиле не мое настоящее имя а почта росси требует изменить его на настоящее иначе не отдаст посылку,могут ли они требовать это и относится это к персональным данным?
Добрый день, с уведомлением все понятно, спасибо, а как все таки правильно хранить персональные данные? У нас хранятся данные сотрудников, клиентов и участников наших проектов, это более 100 тыс чел
Хранить документы с персональными данными нужно в надёжном месте, но критериев надёжности нет 🤷🏼♀️ Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения. Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные. Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.
Ничего непонятно) Что делать Интернет-магазинам на ИП? Надо что-то заполнять, или нет? Клиенты передают персональные данные каждый раз при совершении покупки.
А там всё похоже на самом деле. Разве что в поле «Правовое основание обработки персональных данных» можно указать Закон о защите прав потребителей, статью 16
Добрый! А почему считаете, что это не является автоматизацией? У нас логика такая: пункт «Перечень действий с персональными данными» подразумевает под собой сбор, запись, систематизацию, накопление, хранение, уточнение, использование и даже удаление данных. Кажется, если запись и хранение происходит в программе, то это уже автоматизированный способ обработки.
@@ElbaKontur а вы отличаете изменные персональные данные и неизменные ? вы способны констатировать факт их изменения в случае если таковое произойдёт ? если да - то противопоставьте этому все те процессы работы с данными , в ходе которых по отношении к данным их изменения не происходит . разницу понимаете ?
Когда вы действительно не храните у себя персональные данные на компьютере, а заполняете сразу в сервис (например, в Эльбе), можно указать адрес ЦОД: 620144, Свердловская обл., г. Екатеринбург, ул. Народной воли, стр 19А.
Я не поняла)))) У меня интернет-магазин, где заказчики сами вводят свои ФИО, адрес, номер телефона и электронки, а я отправляю продукцию почтой. Я же должна уведомлять об это Роскомнадзор?
А тут видите речь не только про хранение, но и про сбор и запись персональных данных. В теории, если вы собираете данные и вбиваете в ворд, то вы уже их обрабатываете автоматизированно 🤷🏼♀️ Но кто это проверит, конечно - вопрос.
@@mtgnx в отношении (Персональных , и любых прочих) Данных : - внесение (так называемый "сбор") - хранение - перемещение - копирование - уничтожение это всё - НЕ обработка . "обработка" же - подразумевает во 1х процесс по трансформации и видоизменению данных , и во 2х критерием , удостоверяющим что в отношении данных было произведено их видоизменение или трансформация (это синонимы) - будет НЕСОВПАДЕНИЕ между ВХОДЯЩИМИ данными , и ИСХОДЯЩИМИ . а касаемо АВТОМАТИЗАЦИИ этого процесса - процесса ОБРАБОТКИ (а вовсе не каких то там внесения\хранения\перемещения\копирования\уничтожения) Персональных Данных (равно как и вообще любых других данных) - то конечно же тут должно опять же , наличествовать их именно что видоизменение и трансформация . тоесть для этого должен быть задействован софтверный алгоритм или аппаратное устройство , которые будут ВХОДЯЩИЕ данные изменять таким образом , чтобы они стали чем то отличаться от ИСХОДЯЩИХ данных . и не визуальное их отображение (например в Ворде может быть изменён от документа к документу , шрифт , отображающий Ф.И.О. сотрудника) , а именно что содержимое , делающее исходящие данные чем то отличающимися от исходных входящих так , чтоб в отношении этого отличия можно было квалифицировать что что-то произвело их юридически значимое изменение .
@@mtgnx "обработке персональных данных" - можно противопоставить фиксацию атрибутов данных . в отличие от обработки персональных данных , которая подразумевает ОБЯЗАТЕЛЬНЫМ И НЕИЗБЕЖНЫМ , в ходе процесса рутиной работы над ними - их видоизменение (например снятие биометрических слепков или взятие медицинских анализов - это одновременно и фиксация атрибутов персональных данных - тоесть копирование букв из паспорта на бумагу бланка мед.обследования или биометрического сканирования ; или ведение банковскогго счёта - видоизменяет графу персональных данных "доход\расход" , а ведение учебного процесса подразумевает изменение персональных данных таких как оценки и тесты по учебным дисциплинам) , то если такое видоизменение не требуется , достаточно фиксировать их аттрибуты : такакая то Имя Фамилия нанимаемого сотрудника , такое то его место проживание , итп . и попросите сотрудника под роспись , чтобы он уведомил вас , если сменит какие либо из этих , вносимых вами в ваши "объекты делооборота" , аттрибуты данных (например имя-фамилию или место проживания) - чтобы вы могли прекратить использование преждних данных и начать использование новых . и обратите внимание что НА ВАШЕЙ стороне в этом процессе - отсутсвует именно что ОБРАБОТКА персональных данных : вы их попросту храните в постоянно неизменном виде , и ничего более .
да как раз таки наоборот : мало какие юр-лица занимаются именно что самой непосредственно ОБРАБОТКОЙ персональных данных , а лишь только используют аттрибуты персональных данных для их внесения , хранения , и обособленных актов сопоставления (на пропускной сверяют ФИО\фотку сотрудника , в бухгалтерии перечисляют на его счёт деньги , привлекают для участия в заключении договоров по работе , итп) .
обработка Персональных Данных (как и любых вообще данных без исключения) подразумевает во-первых некий ПРОЦЕСС , по трансформации и видоизменению данных ; и во-вторых , критерием , удостоверяющим что в отношении данных был произведён процесс их "обработки" (тоесть сделано их видоизменение или трансформация) - будет НЕСОВПАДЕНИЕ между ВХОДЯЩИМИ данными , и ИСХОДЯЩИМИ . но в отличие от этого - обычно имеет место не более чем : 1- сбор(внесение) данных , 2- хранение данных , 3- перемещение данных , 4- копирование данных , 5- уничтожение данных . заметьте , что в этом всём процессе ИСХОДНЫЕ Персональные Данные - всегда остаются незатронутыми : в каком виде вы их берёте в пользование , в таком же и работаете с ними . исключение составляют только те юр-лица , кому по роду деятельности следует именно что ВИДОИЗМЕНЯТЬ персональные данные : - учитель учит учеников и изменяются его баллы и оценки ; - банкир ведёт денежные счета своего подобечного и видоизменяет состояние движения денежных средств по ним ; - страховщик фиксирует состояние страхуемого имущества и ведёт мониторинг за изменением его сохранности ; - медик собирает анализы и проводит лечение , изменяя состоянрие персональных данных содержащих сведения об здоровье и анамнезе ; - оператор связи устанавливает соединение узла пользователя с узлами его целевых маршрутов в интернете\телефонии , для чего присваивает пользователю адрес сеанса связи и видоизменяет его по мере возникновения у оператора связи такой необходиомсти ; и т.д. только там , где ВХОДЯЩИЕ персональные данны отличаются от ИСХОДЯЩИХ персональных данных , и это вызвано либо НЕПОСРЕДСТВЕННО рутинной работой юр-лица , либо такой работой проделываемой ТРЕТЬИМИ ЛИЦАМИ , в результате передачи этим юр-лицом Персональных Данных третьим лицам , для их ими обработки - то только в этом случае и будет иметь место ПРОЦЕСС ОБРАБОТКИ персональных данных . но хранение\копироание\перемещение\удаление - это НЕ ОБРАБОТКА данных . потому что САМО СОДЕРЖИМОЕ данных в этом процессе - так и остаётся неизменным , а значит НИКАК не влияет на лицо , поставляющее вам свои персональные данные . ещё одним , отличающимся от вышеперечисленых , приемром того когда над Персональными Данными происходит-таки ОБРАБОТКА - это вынесение ТРЕТЬИМИ ЛИЦАМИ , которым юр-лицом была вверена обработка персональных данных - "рекламных коммерческих предложений" (обзвон со спамом от банковских учреждений , происходящий если абонент заводящий симку у оператора сотовой связи явным образом не указал , в ходе заключения договора с оператором сотовой связи , запрет на ПЕРЕДАЧУ И ОБРАБОТКУ третьим лицам своих Персональных Данных) . и вот как раз таки тут то и существуют - специализирующиеся на СБОРЕ И ОБРАБОТКЕ персональных данных в больших и многомерных объёмах , да ещё и в АВТОМАТИЗИРОВАНОМ режиме (big data алгоритмы , выявляющие корреляции между разрознеными элементами данных , и временно номинирующие для них произвольные числовые значения - в зависимости от итоговой задачи запроса к ним . например для составления статистических выборок по маркетингово значимым сведениям) .
Если мы оформляем документы на отгрузку и передаём паспортные данные водителей, но договор у меня не лично с водителями а с ИП владельцем транспорта, нужно ли оформлять с водителем документы на сбор персональных данных и передавать в Роскомнадзор?
Ольга, прочитала оба ваших вопроса, ситуации нестандартные и сложно найти официальные ответы или практику на этот счёт. Одно понятно, лучше уведомить, чем не уведомлять, к тому же сами данные в Роскомнадзор передавать не нужно - нужно лишь категорию этих данных. Как раз рассказываю об это на 3:21
Для хранения перс данных сотрудников использую только Контур.Эльбу. Что я должен писать в полях: - Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» - Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ - Осуществление трансграничной передачи персональных данных (я вообще не в курсе, в РФ ли сервера Эльбы) - Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ (я вообще не в курсе точного адреса ЦОДа Эльбы)
Давайте так: - Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено безопасное хранение персональных данных и цифровая защита. - Электронная подпись с криптографической защитой СКЗИ КриптоПро, класс СКЗИ - КС1, идентификация и проверка подлинности пользователя при входе в информационную систему - Не осуществляется. - Тут нужно написать адрес, по которому вы собираете персональные данные, ваш офис или магазин.
@@ElbaKontur "Обеспечено безопасное хранение персональных данных и цифровая защита." - а оно обеспечено? По факту я не знаю. Возможно то, что я вбил паспорта своих сотрудников в Эльбе лежит где-нибудь в открытом доступе или даже Контур совершенно легально (какой-нибудь п.1124 пп 72б договора с Эльбой) подторговывает этими данными. По поводу криптопро и прочее. Насколько я понял пункт формы "Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ" речь идёт как минимум о постановлении Правительства РФ № 1119, а как максимум ещё и о приказе ФСТЭК от 18.02.2013 г. N 21 и приказе ФСБ России от 10.07.2014 г. N 378. Давайте ограничимся самым простым, постановлением 1119, пункт 13а: "13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;" В целом логично - как минимум доступ к компьютеру где лежат перс данные должен быть ограничен. Так вот, а я откуда знаю, что доступ к серверам эльбы вообще ограничен, что там рядом не трёт шваброй уборщица не уполномоченная тереть шваброй рядом с моими перс данными? По поводу "адрес, по которому вы собираете персональные данные, ваш офис или магазин" - спрашивают не место где я собрал данные, а "местонахождение базы данных" - а БД у меня в офисе не хранится. Она хранится в Эльбе. === На самом деле если взглянуть ещё и на приказы ФСТЭК и ФСБ (и замок на двери это просто цветочки по сравнению с тем, что на самом деле требуется), то понимаешь что там вообще всё весьма сложно для ИП с одним сотрудником точащего коньки на катке и хранящего номер паспорта этого сотрудника в Excel-ке на ноуте. ОК, мне повезло и я храню номер паспорта не в Excel-ке, а в Эльбе. И в связи с этими возможно вообще не правильно формулирую вопрос. Краеугольным моментом является то, что по факту я отдал все эти вопросы на аутсорс Эльбе. И в связи с этим являюсь ли я вообще лицом осуществляющим автоматизированную обработку перс данных? А если не являюсь, то в связи с этим тогда может не о чем уведомлять РКН, не попадаю ли я в этом случае под какое-то исключение (как в случае вноса ПД в тетрадку)?
Контур, конечно, бережно хранит данные, формальный ответ такой: данные сотрудников хранятся на нашем сервере. Система аттестована на соответствие требованиям безопасности персональных данных по третьему уровню защищенности (УЗ 3). По поводу ЦОДа. Данные вы всё же где-то собираете и где-то их вносите в Эльбу - это и есть сбор и обработка персданных, поэтому ваш офис/магазин вполне подходит под это определение. По этой же причине вы являетесь оператором обработки персданных. Следовательно, обязанность уведомлять Роскомнадзор всё же у вас, а не у Контура.
@@ElbaKontur Ещё раз внимательно посмотрел на форму РКН. Предположение такое, информация о сотрудниках это "информационная система N1". Тогда в ситуации ИП с 1 сотрудником без Excel, но с Эльбой получается: Перечень действий: - неавтоматизированная (т.к. вношу вручную) - с передачей по сети Интернет (т.к. передаю в Эльбу) Осуществление трансграничной передачи персональных данных: - не осуществляется (согласно договору использования Контур.Эльба, п 7.3.4 - вот что я хотел от вас услышать, но пришлось искать самому) Теперь самое важное, по поводу ЦОДа. В форме написано: "Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ" Т.е. там спрашивают не про место где я ввожу данные в базу данных (мой офис), а именно про место где эти данных хранятся (ЦОД Эльбы). Т.е. ВОПРОС остаётся такой - как заполнить раздел "Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ" формы (pd.rkn.gov.ru/operators-registry/notification/form/) PS. А ещё у вас бардак с договором. Согласно какому договору фактически осуществляется работа с Эльбой? В самой Эльбе (в футере ссылка "Лицензионный договор") ведёт на договор №5/21 от 01.01.2021: elba.kontur.ru/About/License elba.kontur.ru/Static/StaticDocuments/License.pdf А вот в справочной Эльбы (e-kontur.ru/enquiry) (в футере ссылка "Лицензионный договор") вдруг неожиданно размещён договор №1905/21 от 03.09.2021: e-kontur.ru/Files/userfiles/file/Docs/License.pdf PPS. А тем, кому интересно (а должно быть интересно всем пользователям Эльбы, т.к. по факту это обязательное требование РКН о необходимости заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером) смотрим пп 2.3 и 7 договора - очень хорошо, что это там есть и жалко, что в видосе про это вообще не было упомянуто.
По идее, работодатели, еще не включенные в реестр операторов персональных данных, должны были направить в Роскомнадзор уведомление об обработке персональных данных до 1 сентября. Но оказалось, что сам Роскомнадзор трактует новые правила более мягко. 1 сентября ведомство на своем сайте сообщило, что предельный срок представления уведомления об обработке персональных данных не определен. Соответственно, 01.09.2022 не является крайним сроком подачи такого уведомления. Из этого можно сделать вывод, что тех работодателей, которые еще не успели представить уведомление, штрафовать не будут. Источник: Информация Роскомнадзора
Читал, что в случае, если вы всех не записываете руками в блокнотик, значит используете тех. средства, а это уже автоматизированная обработка, значит надо уведомлять РКН.
Как интересно: посиделки с друзьями, пообщались, выпили, закусили. Одно из физлиц собрало все данные (номера телефонов, адреса, в т. ч. электронной почты, номера авто, на которых гости приехали, и много чего другого - ну чем не база данных) - и все слил в Роскомнадзор. Ну зачем это все нужно (если исключить заботу о нашем благе)? Читаем Н. В. Гоголя «Мертвые души» - в переводе Аватар.
Маразм! Это примерно из серии: до 1 января 2023 каждый гражданин страны должен прийти в МФЦ и подать заявление о том, что для его существования ему нужно кушать и дышать! А я Вам скажу куда все это идет! Завтра каждую компанию и каждого ИП заставят установить специальную программу (типа имеющую защиту) и обяжут заносить в нее все данные о сотрудниках и клиентах. И всем будет совершенно плевать на сохранность этих данных, главное, что подключение и использование программы будет платным))))
Огонь - видос! Спасибо, Мария!
всё чётко....по полочкам.....люблю её как специалиста🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰🥰
спасибо 🥰
Добрый день, Маша! Смотрю видео в апреле 2023, видимо уже опоздала с подачей. Можно для тех кто в танке еще раз разжевать: 1)если организация давно работает и у нее по любому есть сотрудники по трудовым договорам, значит она обязана была подать уведомление еще в сентябре? В этом же случае действует лучше поздно чем никогда?) 2) если есть и трудовые договора и гпх и волонтеры и еще другие виды договоров с физ лицами - на всё это разные уведомления на каждый вид нужно подавать или же одно на всех? 3) я буду подавать, после того как сейчас подам уведомление, новое уведомление только в том случае, если изменятся параметры сбора? То есть сколько бы с новыми фл не заключили договоров, подавать не надо? 4) если ИП на ПНД в 2023 отрылся будет заключать договора проката, но только на бумажном носителе , 2 экз клиемнту и ИП , в комп переносить не будет. Это тоже считается сбором данным и обязан подать уведомление? Спасибо
Добрый!
1) Да, лучше поздно, чем никогда
2) Одно на всех, в уведомлении можно указать разные виды собираемых данных
3) Верно
4) Это не автоматизированный сбор данных, поэтому не нужно
@@ElbaKontur спасибо большое 🌹
Всё понятно, спасибо😊
Здравствуйте. Скажите - если в в Авито в профиле не мое настоящее имя а почта росси требует изменить его на настоящее иначе не отдаст посылку,могут ли они требовать это и относится это к персональным данным?
Добрый день, с уведомлением все понятно, спасибо, а как все таки правильно хранить персональные данные? У нас хранятся данные сотрудников, клиентов и участников наших проектов, это более 100 тыс чел
Хранить документы с персональными данными нужно в надёжном месте, но критериев надёжности нет 🤷🏼♀️ Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.
Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные. Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.
Спасибо!) полезно
Если есть один сотрудник с 2015 года, нужно ли оформлять с ним документы о сборе персональных данных и передавать заявление в Роскомнадзор?
А кого уведомить о том, что уведомил?
Министерство уведомительных уведомлений!
Ничего непонятно) Что делать Интернет-магазинам на ИП? Надо что-то заполнять, или нет? Клиенты передают персональные данные каждый раз при совершении покупки.
Должны, да. У вас же есть галочка о том, что клиенты соглашаются обработку перс данных?
@@ElbaKontur Теперь понятно) А у вас есть пример для таких случаев? Думаю их будет большинство, тк в текущем примере только трудовые отношения...
А там всё похоже на самом деле. Разве что в поле «Правовое основание обработки персональных данных» можно указать Закон о защите прав потребителей, статью 16
Добрый день. Ведущая не объяснила, что всё таки является автоматизацией перс.данных. Занесение перс.данных в 1С не является автоматизацией.
Добрый! А почему считаете, что это не является автоматизацией?
У нас логика такая: пункт «Перечень действий с персональными данными» подразумевает под собой сбор, запись, систематизацию, накопление, хранение, уточнение, использование и даже удаление данных. Кажется, если запись и хранение происходит в программе, то это уже автоматизированный способ обработки.
@@ElbaKontur а вы отличаете изменные персональные данные и неизменные ? вы способны констатировать факт их изменения в случае если таковое произойдёт ? если да - то противопоставьте этому все те процессы работы с данными , в ходе которых по отношении к данным их изменения не происходит . разницу понимаете ?
Как часто работодатель должен уведомлять? Или это разово?
Разово) Что-то новое придётся отправлять, только если начнёте собирать какой-то новый вид персональных данных сотрудников
Перед каждый заключеним труд договора надо уведомлять?
Нет, лишь раз. Ещё раз нужно будет, только если начнёте собирать какие-то новые персональные данные, которые в начальном уведомлении не указали.
@@ElbaKontur спасибо большое
Какой адрес ЦОДа писать если обработка ПДн работника с применением сведств автоматизации ведется в только Эльбе?
Когда вы действительно не храните у себя персональные данные на компьютере, а заполняете сразу в сервис (например, в Эльбе), можно указать адрес ЦОД: 620144, Свердловская обл., г. Екатеринбург, ул. Народной воли, стр 19А.
Поколение тиктокеров...
Есть статья, которую можно ПРОЧИТАТЬ?
Да) e-kontur.ru/blog/15894/personal-data
если я как астролог получаю от клиента письмо с его датой рождения, это считается сбором персо?
Считается :(
То есть я ИП и у меня есть договор с самозанятым, который оказывает мне услугу. Мне надо все вот это делать?
Если вы собираете его персональные данные для заключения договора, к примеру, то да ☹️
@@ElbaKontur что значит собираю данные?
@@ElbaKontur телефон, почта, паспорт и т.д. я вносил в договор
Я не поняла)))) У меня интернет-магазин, где заказчики сами вводят свои ФИО, адрес, номер телефона и электронки, а я отправляю продукцию почтой. Я же должна уведомлять об это Роскомнадзор?
Должны, да 👀
Спасибо!!! 🤭
На здоровье!
Нужно ли уведомлять, если ничего не собирается ?
Нет)
я так понял, что если средств автоматизации нет, то можно и не уведомлять? если я нанимаю одного сотрудника и вбиваю руками его данные в договор?
А тут видите речь не только про хранение, но и про сбор и запись персональных данных. В теории, если вы собираете данные и вбиваете в ворд, то вы уже их обрабатываете автоматизированно 🤷🏼♀️ Но кто это проверит, конечно - вопрос.
@@ElbaKontur для мне обработка цифровая и автоматизированная это всё-таки разные вещи (надо это уточнять, документ не читал)
@@mtgnx в отношении (Персональных , и любых прочих) Данных :
- внесение (так называемый "сбор")
- хранение
- перемещение
- копирование
- уничтожение
это всё - НЕ обработка .
"обработка" же - подразумевает во 1х процесс по трансформации и видоизменению данных ,
и во 2х критерием , удостоверяющим что в отношении данных было произведено их видоизменение или трансформация (это синонимы) - будет НЕСОВПАДЕНИЕ между ВХОДЯЩИМИ данными , и ИСХОДЯЩИМИ .
а касаемо АВТОМАТИЗАЦИИ этого процесса - процесса ОБРАБОТКИ (а вовсе не каких то там внесения\хранения\перемещения\копирования\уничтожения) Персональных Данных (равно как и вообще любых других данных) - то конечно же тут должно опять же , наличествовать их именно что видоизменение и трансформация . тоесть для этого должен быть задействован софтверный алгоритм или аппаратное устройство , которые будут ВХОДЯЩИЕ данные изменять таким образом , чтобы они стали чем то отличаться от ИСХОДЯЩИХ данных .
и не визуальное их отображение (например в Ворде может быть изменён от документа к документу , шрифт , отображающий Ф.И.О. сотрудника) , а именно что содержимое , делающее исходящие данные чем то отличающимися от исходных входящих так , чтоб в отношении этого отличия можно было квалифицировать что что-то произвело их юридически значимое изменение .
@@mtgnx "обработке персональных данных" - можно противопоставить фиксацию атрибутов данных . в отличие от обработки персональных данных , которая подразумевает ОБЯЗАТЕЛЬНЫМ И НЕИЗБЕЖНЫМ , в ходе процесса рутиной работы над ними - их видоизменение
(например снятие биометрических слепков или взятие медицинских анализов - это одновременно и фиксация атрибутов персональных данных - тоесть копирование букв из паспорта на бумагу бланка мед.обследования или биометрического сканирования ; или ведение банковскогго счёта - видоизменяет графу персональных данных "доход\расход" , а ведение учебного процесса подразумевает изменение персональных данных таких как оценки и тесты по учебным дисциплинам) ,
то если такое видоизменение не требуется , достаточно фиксировать их аттрибуты : такакая то Имя Фамилия нанимаемого сотрудника , такое то его место проживание , итп . и попросите сотрудника под роспись , чтобы он уведомил вас , если сменит какие либо из этих , вносимых вами в ваши "объекты делооборота" , аттрибуты данных (например имя-фамилию или место проживания) - чтобы вы могли прекратить использование преждних данных и начать использование новых . и обратите внимание что НА ВАШЕЙ стороне в этом процессе - отсутсвует именно что ОБРАБОТКА персональных данных : вы их попросту храните в постоянно неизменном виде , и ничего более .
Я ИПшник. При заполнении заказ-наряда я записываю фио клиента и номер телефона, значит мне надо уведомлять Роскомнадзор?
Если не на бумагу записываете, то, получается, нужно
А если в сотрудниках только один директор который и учредитель?
И даже в этом случае нужно уведомлять ☹️
@@ElbaKontur понятно (
Какой то очередной бред. Все юр лица по факту обрабатывают персональные данные. Зачем уведомлять?😅
🤷🏼♀️
да как раз таки наоборот : мало какие юр-лица занимаются именно что самой непосредственно ОБРАБОТКОЙ персональных данных , а лишь только используют аттрибуты персональных данных для их внесения , хранения , и обособленных актов сопоставления (на пропускной сверяют ФИО\фотку сотрудника , в бухгалтерии перечисляют на его счёт деньги , привлекают для участия в заключении договоров по работе , итп) .
обработка Персональных Данных (как и любых вообще данных без исключения) подразумевает во-первых некий ПРОЦЕСС , по трансформации и видоизменению данных ; и во-вторых , критерием , удостоверяющим что в отношении данных был произведён процесс их "обработки" (тоесть сделано их видоизменение или трансформация) - будет НЕСОВПАДЕНИЕ между ВХОДЯЩИМИ данными , и ИСХОДЯЩИМИ .
но в отличие от этого - обычно имеет место не более чем : 1- сбор(внесение) данных , 2- хранение данных , 3- перемещение данных , 4- копирование данных , 5- уничтожение данных . заметьте , что в этом всём процессе ИСХОДНЫЕ Персональные Данные - всегда остаются незатронутыми : в каком виде вы их берёте в пользование , в таком же и работаете с ними .
исключение составляют только те юр-лица , кому по роду деятельности следует именно что ВИДОИЗМЕНЯТЬ персональные данные :
- учитель учит учеников и изменяются его баллы и оценки ;
- банкир ведёт денежные счета своего подобечного и видоизменяет состояние движения денежных средств по ним ;
- страховщик фиксирует состояние страхуемого имущества и ведёт мониторинг за изменением его сохранности ;
- медик собирает анализы и проводит лечение , изменяя состоянрие персональных данных содержащих сведения об здоровье и анамнезе ;
- оператор связи устанавливает соединение узла пользователя с узлами его целевых маршрутов в интернете\телефонии , для чего присваивает пользователю адрес сеанса связи и видоизменяет его по мере возникновения у оператора связи такой необходиомсти ;
и т.д.
только там , где ВХОДЯЩИЕ персональные данны отличаются от ИСХОДЯЩИХ персональных данных , и это вызвано либо НЕПОСРЕДСТВЕННО рутинной работой юр-лица , либо такой работой проделываемой ТРЕТЬИМИ ЛИЦАМИ , в результате передачи этим юр-лицом Персональных Данных третьим лицам , для их ими обработки - то только в этом случае и будет иметь место ПРОЦЕСС ОБРАБОТКИ персональных данных .
но хранение\копироание\перемещение\удаление - это НЕ ОБРАБОТКА данных . потому что САМО СОДЕРЖИМОЕ данных в этом процессе - так и остаётся неизменным , а значит НИКАК не влияет на лицо , поставляющее вам свои персональные данные .
ещё одним , отличающимся от вышеперечисленых , приемром того когда над Персональными Данными происходит-таки ОБРАБОТКА - это вынесение ТРЕТЬИМИ ЛИЦАМИ , которым юр-лицом была вверена обработка персональных данных - "рекламных коммерческих предложений" (обзвон со спамом от банковских учреждений , происходящий если абонент заводящий симку у оператора сотовой связи явным образом не указал , в ходе заключения договора с оператором сотовой связи , запрет на ПЕРЕДАЧУ И ОБРАБОТКУ третьим лицам своих Персональных Данных) .
и вот как раз таки тут то и существуют - специализирующиеся на СБОРЕ И ОБРАБОТКЕ персональных данных в больших и многомерных объёмах , да ещё и в АВТОМАТИЗИРОВАНОМ режиме (big data алгоритмы , выявляющие корреляции между разрознеными элементами данных , и временно номинирующие для них произвольные числовые значения - в зависимости от итоговой задачи запроса к ним . например для составления статистических выборок по маркетингово значимым сведениям) .
Если мы оформляем документы на отгрузку и передаём паспортные данные водителей, но договор у меня не лично с водителями а с ИП владельцем транспорта, нужно ли оформлять с водителем документы на сбор персональных данных и передавать в Роскомнадзор?
Ольга, прочитала оба ваших вопроса, ситуации нестандартные и сложно найти официальные ответы или практику на этот счёт. Одно понятно, лучше уведомить, чем не уведомлять, к тому же сами данные в Роскомнадзор передавать не нужно - нужно лишь категорию этих данных. Как раз рассказываю об это на 3:21
Для хранения перс данных сотрудников использую только Контур.Эльбу.
Что я должен писать в полях:
- Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
- Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ
- Осуществление трансграничной передачи персональных данных (я вообще не в курсе, в РФ ли сервера Эльбы)
- Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ (я вообще не в курсе точного адреса ЦОДа Эльбы)
Давайте так:
- Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено безопасное хранение персональных данных и цифровая защита.
- Электронная подпись с криптографической защитой СКЗИ КриптоПро, класс СКЗИ - КС1, идентификация и проверка подлинности пользователя при входе в информационную систему
- Не осуществляется.
- Тут нужно написать адрес, по которому вы собираете персональные данные, ваш офис или магазин.
@@ElbaKontur "Обеспечено безопасное хранение персональных данных и цифровая защита." - а оно обеспечено? По факту я не знаю. Возможно то, что я вбил паспорта своих сотрудников в Эльбе лежит где-нибудь в открытом доступе или даже Контур совершенно легально (какой-нибудь п.1124 пп 72б договора с Эльбой) подторговывает этими данными.
По поводу криптопро и прочее. Насколько я понял пункт формы "Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ" речь идёт как минимум о постановлении Правительства РФ № 1119, а как максимум ещё и о приказе ФСТЭК от 18.02.2013 г. N 21 и приказе ФСБ России от 10.07.2014 г. N 378. Давайте ограничимся самым простым, постановлением 1119, пункт 13а:
"13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;"
В целом логично - как минимум доступ к компьютеру где лежат перс данные должен быть ограничен.
Так вот, а я откуда знаю, что доступ к серверам эльбы вообще ограничен, что там рядом не трёт шваброй уборщица не уполномоченная тереть шваброй рядом с моими перс данными?
По поводу "адрес, по которому вы собираете персональные данные, ваш офис или магазин" - спрашивают не место где я собрал данные, а "местонахождение базы данных" - а БД у меня в офисе не хранится. Она хранится в Эльбе.
===
На самом деле если взглянуть ещё и на приказы ФСТЭК и ФСБ (и замок на двери это просто цветочки по сравнению с тем, что на самом деле требуется), то понимаешь что там вообще всё весьма сложно для ИП с одним сотрудником точащего коньки на катке и хранящего номер паспорта этого сотрудника в Excel-ке на ноуте.
ОК, мне повезло и я храню номер паспорта не в Excel-ке, а в Эльбе. И в связи с этими возможно вообще не правильно формулирую вопрос.
Краеугольным моментом является то, что по факту я отдал все эти вопросы на аутсорс Эльбе.
И в связи с этим являюсь ли я вообще лицом осуществляющим автоматизированную обработку перс данных?
А если не являюсь, то в связи с этим тогда может не о чем уведомлять РКН, не попадаю ли я в этом случае под какое-то исключение (как в случае вноса ПД в тетрадку)?
Контур, конечно, бережно хранит данные, формальный ответ такой: данные сотрудников хранятся на нашем сервере. Система аттестована на соответствие требованиям безопасности персональных данных по третьему уровню защищенности (УЗ 3).
По поводу ЦОДа. Данные вы всё же где-то собираете и где-то их вносите в Эльбу - это и есть сбор и обработка персданных, поэтому ваш офис/магазин вполне подходит под это определение. По этой же причине вы являетесь оператором обработки персданных. Следовательно, обязанность уведомлять Роскомнадзор всё же у вас, а не у Контура.
@@ElbaKontur Ещё раз внимательно посмотрел на форму РКН.
Предположение такое, информация о сотрудниках это "информационная система N1". Тогда в ситуации ИП с 1 сотрудником без Excel, но с Эльбой получается:
Перечень действий:
- неавтоматизированная (т.к. вношу вручную)
- с передачей по сети Интернет (т.к. передаю в Эльбу)
Осуществление трансграничной передачи персональных данных:
- не осуществляется (согласно договору использования Контур.Эльба, п 7.3.4 - вот что я хотел от вас услышать, но пришлось искать самому)
Теперь самое важное, по поводу ЦОДа. В форме написано:
"Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ"
Т.е. там спрашивают не про место где я ввожу данные в базу данных (мой офис), а именно про место где эти данных хранятся (ЦОД Эльбы).
Т.е. ВОПРОС остаётся такой - как заполнить раздел "Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ" формы (pd.rkn.gov.ru/operators-registry/notification/form/)
PS. А ещё у вас бардак с договором. Согласно какому договору фактически осуществляется работа с Эльбой?
В самой Эльбе (в футере ссылка "Лицензионный договор") ведёт на договор №5/21 от 01.01.2021:
elba.kontur.ru/About/License
elba.kontur.ru/Static/StaticDocuments/License.pdf
А вот в справочной Эльбы (e-kontur.ru/enquiry) (в футере ссылка "Лицензионный договор") вдруг неожиданно размещён договор №1905/21 от 03.09.2021:
e-kontur.ru/Files/userfiles/file/Docs/License.pdf
PPS. А тем, кому интересно (а должно быть интересно всем пользователям Эльбы, т.к. по факту это обязательное требование РКН о необходимости заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером) смотрим пп 2.3 и 7 договора - очень хорошо, что это там есть и жалко, что в видосе про это вообще не было упомянуто.
@Контур.Эльба Очень жду ответа
Теперь битва пойдет за персональные данные людей!? А я вообще никаму свои данные давать не собираюсь!
По идее, работодатели, еще не включенные в реестр операторов персональных данных, должны были направить в Роскомнадзор уведомление об обработке персональных данных до 1 сентября.
Но оказалось, что сам Роскомнадзор трактует новые правила более мягко. 1 сентября ведомство на своем сайте сообщило, что предельный срок представления уведомления об обработке персональных данных не определен. Соответственно, 01.09.2022 не является крайним сроком подачи такого уведомления.
Из этого можно сделать вывод, что тех работодателей, которые еще не успели представить уведомление, штрафовать не будут.
Источник: Информация Роскомнадзора
О, это славные новости! А не могли бы вы ссылкой поделиться?
@@ElbaKontur pd.rkn.gov.ru/operators-registry/notification/
Глупый вопрос. Если мои клиенты оставляют номер телефона и имя, и я их записываю в телефон, это считается автоматизированной обработкой?))
Уф, хороший вопрос)) Найти на него ответ в законе, конечно, невозможно, но формально это похоже на автоматизированный сбор персональных данных, да)
Читал, что в случае, если вы всех не записываете руками в блокнотик, значит используете тех. средства, а это уже автоматизированная обработка, значит надо уведомлять РКН.
@@ElbaKontur а если просто запомнил в уме телефон, то это считается мозговой обработкой данных?)))))) как достали эти странные законы...
А физик-самозанятый должен кого-то о чём-то уведомлять?
Да, физлицо тоже может быть оператором, который собирает или обрабатывает персональные данные 👩🏼💻
Как интересно: посиделки с друзьями, пообщались, выпили, закусили. Одно из физлиц собрало все данные (номера телефонов, адреса, в т. ч. электронной почты, номера авто, на которых гости приехали, и много чего другого - ну чем не база данных) - и все слил в Роскомнадзор. Ну зачем это все нужно (если исключить заботу о нашем благе)? Читаем Н. В. Гоголя «Мертвые души» - в переводе Аватар.
А что, Эльба у нас теперь иноагент? Или ведущая только иногагент? Официально? На основании чего? Ну так, просто интересно... ;)
Никто не иноагент, на самом деле :) Но Маше нравится концепция иноагента
@@ElbaKontur а в чем заключается эта концепция? Можете пояснить?
Маразм! Это примерно из серии: до 1 января 2023 каждый гражданин страны должен прийти в МФЦ и подать заявление о том, что для его существования ему нужно кушать и дышать! А я Вам скажу куда все это идет! Завтра каждую компанию и каждого ИП заставят установить специальную программу (типа имеющую защиту) и обяжут заносить в нее все данные о сотрудниках и клиентах. И всем будет совершенно плевать на сохранность этих данных, главное, что подключение и использование программы будет платным))))
Ох, надеемся, такого всё же не случится 👀
Браво! Это единственный ответ на вопрос: а зачем нужно собирать ПД. Полагаю, это еще и верный ответ
"Может быть тебе дать ключ от квартиры, где деньги лежат..."
Просто хочу Машу!
👀👀
Все пишем отказ от обработки персональных данных.
😻
мау
какая инересная подвеска на шее))
🤫
Адрес ЦОДа это конечно сильно
Б - безопасность
Зачем "иноагент" блюрите? Вы совсем отбитые?
Нам самим от этого не радостно, но такие уж времена.
Девочка не умеешь разговаривать а лезешь куда тебе не просят, помолчи