23 Августа, 2011

О новой форме уведомления об обработке ПДн

Andrey Prozorov

Роскомнадзор ( www.rsoc.ru ) выпустил новый приказ от 19.08.2011 № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" . Это происходит уже не первый раз, и было ожидаемо в связи с обновлением 152-ФЗ. Напомню, что прошлый был от 16 июля 2010 г. № 482. Посмотрим, что изменилось.




1. Было: "п.3. Уведомление должно быть направлено в письменной формеи подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписьюв соответствии с законодательством Российской Федерации.". 


Стало: "п.3. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документаи подписывается уполномоченным лицом."


2. Мелкие правки в п.4. Теперь вместо "местонахождения" оператора - "адрес"


3. Внесены небольшие правки в п.6 (про категории ПДн). Внесли правки в определение ПДн и уточнили, что биометрические персональные данные "используются Оператором для установления личности субъектаПДн".


4. !!! в п.10 "Описание мер" заметно расширился список требований. Было только про класс ИСПДн и орг.-тех.меры.
Стало:
"а) описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
б)фамилия, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
в) класс информационной системы персональных данных Оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
г) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных."
Принципиальную разницу в а) и г) я не нашел...  


5. Появилось поле "сведения о наличии или об отсутствии трансграничной передачи", в котором должен указываться перечень иностранных государств, на территорию которых осуществляется трансграничная передача ПДн.


6. Добавлено поле (п.12) «сведения об обеспечении безопасности персональных данных», в котором указываются сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации. По сути тоже, что и в п.10 (некое дублирование), либо это сделано для того, чтобы в случае появления новых требований не переделывать форму уведомления.




Итого имеем: уточнение по обработке биометрических ПДн, новое требование по поводу ответственного за обработку ПДн и внесение хаоса в меры защиты ПДн. Кстати, в последнее время РКН все чаще обращает внимание на этот пункт и просит Операторов более подробно писать про меры и средства защиты.




P.S. У Алексея Волкова в блоге тоже нашел анализ данного приказа.

[Обновление от 28.08.11]
P.S.S. Появилась запись на эту тему в блоге Лукацкого