Регистрация файлов личных данных или назначение ABI? Какой вариант выбрать?

  1. Давайте начнем с того, кто на самом деле ABI.
  2. Кто может быть назначен для выполнения функции ABI?
  3. Когда мы обозначаем ABI.
  4. РЕГИСТР АДМИНИСТРАТОРОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  5. Какова процедура регистрации файлов персональных данных?
  6. Реестр наборов персональных данных

24 марта 2016 г. Э. Вашкевич

Вашкевич

Долгое время предприниматели сталкивались с дилеммой в отношении правил, касающихся защиты персональных данных. Одной из тем, которые спят в веках, является вопрос назначения администратора информационной безопасности или выполнения его функций администратором личных данных. Из заголовка статьи может быть выведена одна очень важная вещь: назначение ABI - это не обязательство, а право. Выбор вариантов зависит от ADO. Только что лучше?

Фактически, на решение влияет ряд элементов, а именно: характер бизнеса, размер компании, количество обрабатываемых файлов персональных данных, финансовые возможности и т. Д.

Давайте начнем с того, кто на самом деле ABI.

Администратором информационной безопасности является лицо, назначенное Администратором персональных данных, основной задачей которого является обеспечение соблюдения положений о защите персональных данных. (Статья 36а (2) пункт 2 Уодо)

Это достигается путем:

  • проверка соответствия обработки персональных данных положениям о защите персональных данных и подготовка отчета для Администратора данных по этому вопросу,
  • надзор за разработкой и обновлением документации, описывающей метод обработки данных, а также технические и организационные меры, обеспечивающие защиту обрабатываемых персональных данных в соответствии с угрозами и категориями охватываемых данных и соблюдение изложенных в них правил.
    Вы обрабатываете личные данные? Эти документы являются обязательными ,
  • обеспечение ознакомления лиц, уполномоченных на обработку персональных данных, с положениями о защите персональных данных.

Кто может быть назначен для выполнения функции ABI?

Основными условиями, которым должен соответствовать кандидат на должность ABI, являются требования, предъявляемые законодателем.
(Статья 36а (5)):

  • должны иметь полную правоспособность и пользоваться всеми публичными правами,
  • должны обладать достаточными знаниями в области защиты персональных данных,
  • не может быть наказан за умышленное преступление.

ADO решает, обладает ли данный человек указанными знаниями в области защиты персональных данных. В Уодо нет рекомендаций по этому вопросу.

Существует свобода выбора ABI. Это может быть уже работающий работник, независимо от продолжительности работы, но это может быть и человек со стороны. Часто случается, что администратор информационной безопасности работает в организации системного администратора. Однако если ASI не обладает достаточными знаниями о правовых аспектах защиты персональных данных, то другим решением может быть назначение юриста для выполнения функции ABI, который будет сотрудничать с системным администратором IT. В этом случае знания исчерпываются на двух уровнях: юридическом и техническом.

Когда мы обозначаем ABI.

Первый этап - это уведомление о назначении ABI Генеральному инспектору по личным данным. Это должно быть сделано с помощью специальной формы заявки, которая является приложением к распоряжению министра администрации и оцифровки от 10 декабря 2014 года (Законодательный вестник 2014 года, пункт 1934).

ABI подотчетен непосредственно руководителю организационной единицы или лицу, являющемуся администратором данных.

ADO обязано обеспечить ABI средствами и их организационным разделением, которые необходимы для самостоятельного выполнения возложенных на него задач ADO обязано обеспечить ABI средствами и их организационным разделением, которые необходимы для самостоятельного выполнения возложенных на него задач.

ABI обязан вести открытый реестр файлов данных, которые обрабатываются ADO. Этот регистр должен содержать подробную информацию о контроллере данных, цели обработки данных, категориях субъектов данных, объеме обработки данных, способе сбора и обмена данными и возможной передаче данных в третью страну (пункты 2-4а пункта 1 статьи 41 и 7 уодо).

Если ADO обрабатывает конфиденциальные данные, ABI должен сообщить о таком наборе GIODO до начала обработки. Если коллекции не содержат данных такого типа, их не нужно регистрировать.

ABI действует как своего рода посредник между ADO и Генеральным инспектором по защите персональных данных. Он обязан сообщать GIODO обо всех ошибках и упущениях, которые происходят с данным ADO. С другой стороны, GIODO имеет право сообщать в ABI, чтобы заказать замену чека, устанавливая дату и объем такого контроля.

РЕГИСТР АДМИНИСТРАТОРОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

... что делать, если мы не назначаем ABI?

В этом случае обязательства ABI возлагаются на Администратора данных, за исключением ведения открытого реестра файлов персональных данных, подготовки отчетов для Генерального инспектора по персональным данным, а также проведения проверок от его имени.

О сборе обработанных персональных данных ADO необходимо сообщать непосредственно в GIODO. Однако есть некоторые исключения. Нет необходимости регистрировать файлы личных данных:

  • обрабатываются исключительно с целью выдачи FV, счета или ведения финансовой отчетности,
  • широко доступны,
  • обработанные в коллекциях, которые не проводятся с использованием информационных систем, за исключением файлов, содержащих конфиденциальные данные, мы ссылаемся здесь на обычные данные, обработанные в бумажном виде. (Статья 43, пункт 1, пункты 1-12, Уодо)

Примеры файлов персональных данных, которые должны сообщаться в GIODO: входящая / исходящая корреспонденция, информационный бюллетень, база данных подрядчиков, реестр контрактов, база данных конкурса, гостевые книги, записи жалоб, мониторинг, ...

Какова процедура регистрации файлов персональных данных?

Файл персональных данных должен быть представлен в форме, образец которой прилагается к распоряжению министра внутренних дел и администрации от 11 декабря 2008 года, касающемуся формы для подачи регистрационного файла GIODO (Законодательный вестник 2008 года № 229, пункт 1536). ).

Заявка может быть отправлена ​​по почте, по электронной почте или подана лично в офисе GIODO.

Следует помнить, что нам не нужен GIODO для передачи содержимого данных, например, стека таблиц с данными о контрагентах, а только их объема и характера.

По запросу ADO GIODO может выдать свидетельство о регистрации коллекции. Однако когда речь идет о конфиденциальных данных, такой сертификат выдается сразу после регистрации.

Если в представленные файлы персональных данных были внесены какие-либо изменения, мы обязаны проинформировать GIODO о них в течение 30 дней после внесения этих изменений.

Реестр наборов персональных данных

суммирование

суммирование

Решение о назначении ABI - сложная тема. Следует продумать и предшествовать реальной оценке возможностей организации. В конце концов, будучи небольшой компанией, которая обрабатывает один или два набора персональных данных, мы не будем создавать дополнительную позицию. Затраты могут быть неадекватны преимуществам создания ABI.

Это отличается в случае более крупных компаний, где обрабатываются несколько файлов персональных данных, которые довольно часто меняются. ADO может не иметь возможности выполнять задачи в соответствии с Законом о защите личных данных из-за других своих обязанностей. В этом случае назначение АБИ оправдано.

В этом случае назначение АБИ оправдано