Продлен срок для приведения систем персональных данных в соответствие с законодательством

А как вообще регистраторам этот закон соблюдать?

Ну как всегда - никак. Какое это отношение к нам имеет? Мы никакие информационные системы с персональными данными не имеем.

Там не только про системы. Взяли паспортные данные значит обрабатываете персональные данные.

если только паспортные данные, то не так страшно, а вот если ФИО + ИНН
чувствую запах денех пора получать лицензию на аттестацию ИСПДн

Да ИНН здесь не является определяющим.

А простые организации тоже должны уведомлять?

По мнению роскомсвязьнадзора уведомление должны представить абсолютно все юридические лица . (Ходил на два их семинара и на курсы). Абсурд, но они как налоговики изобретают всё новые обоснования своей иезуитсткой позиции. Кому интересно - могу поделиться инфой.

Мне интересно

visorus написал(а):

По мнению роскомсвязьнадзора уведомление должны представить абсолютно все юридические лица . (Ходил на два их семинара и на курсы). Абсурд, но они как налоговики изобретают всё новые обоснования своей иезуитсткой позиции. Кому интересно - могу поделиться инфой.

Нажмите для раскрытия...

Вот злодеи:diablo:При таком "творческом подходе" возникает риск использования при наличии соответствующего интереса закона о персональных данных вкупе со ст. 137 УК РФ как "дубинки" в отношении исполнителей, работающих с инфой в разных сферах ...

visorus написал(а):

По мнению роскомсвязьнадзора уведомление должны представить абсолютно все юридические лица . (Ходил на два их семинара и на курсы). Абсурд, но они как налоговики изобретают всё новые обоснования своей иезуитсткой позиции. Кому интересно - могу поделиться инфой.

Нажмите для раскрытия...

И мне интересно, "что это за зверь и с чем его едят?"

visorus написал(а):

Кому интересно - могу поделиться инфой.

Нажмите для раскрытия...

И мне интересно. Теперь даже для заключения простого трудового договора нужно уведомлять?

lin/tit, ФЗ 152 ст.22
п.2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Доклад представителя Роскомсвязьнадзора в приаттаченном файле

ссылка на подпункты 1-2 ч.2 ст.22 отбивается следующими доводами: после расторжения трудового договора документы хранятся от 5 до 75 лет (карточка Т-2), т.е. происходит хранение ПД без трудовых отношений. Примерно то же самое и по гражданско-правовым договорам.
Кроме того Роскомсвязьнадзор говорит следующее: любая организация рассматривает резюме и коммерческие предложения, - т.е. обрабатывает ПД. Доходит до того, что имя-фамилия тоже ПД, а ведь их все "обрабатывают". Ну и до кучи: предоставление сведений в Пенсионку, Военкоматы и т.д.

Обращаю внимание, что это не мои доводы, а бред чиновников которым надо наполнить свой реестр, чтобы затем обосновать финансирование - дескать смотрите скока операторов нам надо проверить \ проконтролировать.

А самое на мой взгляд существенное то, что направив уведомление о включение в реестр операторов ПД, организация тем самым только ухудшает своё положение, поскольку, во-первых, сама "назвалась груздем", во-вторых в 90% составленное уведомление будет недостоверно (к примеру какой разумный человек включит в него такой вид обработки как уничтожение ПД?) - а это уже самостоятельное нарушение п. п. 3, 7 ст. 22 Федерального закона N 152-ФЗ

visorus, а нам ни разу не присылали

visorus написал(а):

резюме и коммерческие предложения

Нажмите для раскрытия...

с паспортными данными....

Reg&Likv,ПД (персональные данные) - не тождественно паспортным данным. Как я ранее сказал, имя-фамилия так же относятся к ПД, более того об этом прямо сказано в законодательном определении понятия ПД (ст.3)

Добрый день, у меня вопрос...как узнать мы операторы или нет..судя по вашему сообщению - операторы ВСЕ!!! Так получается нам всем ЮРИКАМ надо уведомлять...
я вот только не пойму, ведь в законе прописано, что ненадо уведомлять, если это связано с трудовыми отношениями и в целях исполнения договора (у нас данные только работников и физиков для исполнения договора)- как нам быть?
и второй вопрос- если третья (например милиция) сторона запросить у нас Пд мы несем ответственность за передачу или нет???? жду ваших комментарии

Господа, подскажите, плиз, как быть с приведением в соответствие систем персональных данных, расположенных в филиалах за рубежом!
:dont_know:
Если филиал осуществляет обработку в ИСПДн, то по требованиям какого законодательства должна осуществляться их защита - российского или зарубежного? Если российского, то каким образом ФСТЭК и ФСБ будут осуществлять контроль и надзор?
Или ответ на этот вопрос зависит от того, чья ИСПДн: если головной компании, то ее защита подпадает под российские требования, а если самого филиала, то под зарубежные?

Добавлено через 18 минут 15 секунд

Виточка написал(а):

я вот только не пойму, ведь в законе прописано, что ненадо уведомлять, если это связано с трудовыми отношениями и в целях исполнения договора (у нас данные только работников и физиков для исполнения договора)- как нам быть?

Нажмите для раскрытия...

Если у вас действительно обрабатываются ПДн только работников и в целях договоров, стороной которых являются остальные физики, то вы вправе не подавать Уведомление.

По поводу передачи ПДн в гос.органы... Если есть нормативные требования предоставить определенные сведения по запросу гос.органов (например, в Пенсионный фонд, военкоматы...), тогда согласие можно не брать (п.1 ч.2 ст.6 №152-ФЗ)

lin/tit написал(а):

И мне интересно.

Нажмите для раскрытия...

Как понимаю, оператор (в т.ч. и оператор с информационной системой 1 класса) разрабатывает внутренние документы, наличие лицензии не нужно, тех.средства защиты не должны быть разработаны организациями, имеющими соответствующие лицензии, аттестация и декларирование соответствия не должно осуществляться. так?