тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Биометрия, политика обработки, оценка эффективности — вопрос-ответ по ПДн

By 24.02.2025 Информационная безопасность 0 Comments

Биометрия, политика обработки, оценка эффективности — вопрос-ответ по ПДн

Рубрику «вопрос-ответ» от Вероники Нечаевой, нашего директора по ИБ, называют любимой. И это не случайно — в теме ПДн много тонкостей, а для каждого частного случая будут применимы свои меры. Собрали 10 вопросов — о трансграничной передаче, биометрии, комиссиях, политиках и многом другом — и ответили на них понятным языком, с примерами из практики.

Вопрос 1

Фото субъекта — в любых случаях это биометрия или только в каких-то определенных? Аналогичный вопрос про видео. Как регуляторы это поясняют?

Есть разъяснения Роскомнадзора про фото- и видеофиксацию, ими можно пользоваться. Напомню: биометрические персональные данные — данные, которые используются для идентификации субъекта. И по этой теме на сегодня, действительно, очень много споров. Нужно рассматривать каждый конкретный кейс отдельно.

Вот здесь, например, я рассказывала про потоковое виденаблюдения и случаях, когда видеонаблюдение устанавливается для контроля за деятельностью сотрудника

— Вероника Нечаева, CISO CORTEL

Вопрос 2

Физическое лицо может быть оператором ПДн?

Да, может. Например, самозанятые. В 152-ФЗ напрямую сказано, что физическое лицо, обрабатывающее ПДн — это оператор, за исключением тех случаев, когда он обрабатывает ПДн членов своей семьи

Вопрос 3

Если ВУЗ ранее подавал уведомление об обработке персональных данных, в 2025 году нужно подавать повторно?

Повторно нужно подавать всем, по новой форме, если до этого уведомление было подано до 1 марта 2022 года.

Вопрос 4

Нужно ли сотрудникам подписывать уведомление об обработке ПДн без использования средств автоматизации, если они работают в ИСПДн?

Уведомление об обработке подписывает ТОЛЬКО руководитель организации. Больше его никто подписывать не должен.

Вопрос 5

Законно ли в одной форме собирать согласия и на обработку, и на передачу целому списку юрлиц? В случае отзыва согласия придется идти отдельно к тем, кому мои данные передали или это требование можно направить тому, кто брал это согласие?

По форме: у многих сейчас есть мультиформа по согласиям на обработку. Плюс ко всему, иногда есть одна форма согласия, и к ней идёт перечень лиц, которым эти ПДн передаются с одной конкретной целью. Если оформлено грамотно и корректно, то да, законно.

Если вы направляете отзыв, то да, всей процедурой по отзыву у других юрлиц занимаетесь вы, а не оператор

Вопрос 6

Раньше допускалось политику на сайте делать только для сайта, а политику «внутрянки» — отдельным документом на бумаге. Что-то поменялось?

Ничего не поменялось. Мы так и делаем 🙂 Много нюансов про Политику обработки подробно разбирали вот здесь.

— Вероника Нечаева, CISO CORTEL

Вопрос 7

Как сейчас на практике обходятся с Google Analytics, учитывая нюанс с локализацией?Массово отключают или же продолжают использовать, уведомляя РКН о трансграничной передаче?

Массово отключают, переходят на Яндекс Метрику, так как сервера Google находятся в странах с «неадекватной» защитой ПДн. Поэтому рекомендую переходить на российский инструмент, или же, если вы хотите пользоваться зарубежным сервисом, проверять, чтобы сервера находились в «адекватных» странах

Вопрос 8

Есть два ООО и один ИП, сотрудники трудоустроены в разные организации, но по сути это один бизнес, общие телефония, кадровик и т.д. И в том числе общая база клиентов в 1С. Как на это реагирует РКН? Можно ли просто разработать комплекты документов для каждой организации, или есть нюансы?

Нюансы есть, и ещё какие 🙂 1С физически и юридически принадлежит только одной компании, которая её купила. Если сотрудники официально трудоустроены в одном юрлице, а имеют доступ к ПДн другого юрлица, то у вас утечка ПДн 24/7, незаконный доступ к ПДн в том числе, который, напомню, преследуется Уголовным Кодексом.

Что я рекомендую делать в данной ситуации: ещё раз всё пересмотреть, навести порядок — как минимум, хотя бы на 0,1% ставки устроить сотрудников, которые взаимодействуют с ПДн этой организации. У меня таких кейсов много, выход всегда находим

— Вероника Нечаева, CISO CORTEL

Вопрос 9

Если Приказом утверждается комиссия (например, по оценке вреда субъекту ПДн), то обязательно ли утверждать Положение об этой комиссии?

Обязательно, чтобы было понятно, какими правами, функционалом и обязанностями эта комиссия наделена. Можно не делать много комиссий, а только одну, но с большим положением — она будет утверждать акты установления уровня защищённости, оценки вреда субъекту и т.д.

Вопрос 10

При подаче уведомления о намерении обработки по новой форме, какую дату указывать: текущую или дату образования юрлица, если цели «старые»?

Если уже подавали уведомление — указывайте дату, которая была в старом уведомлении. Если не подавали ни разу — ставьте дату образования юрлица, никто вас за это не накажет. Накажут за то, что нет уведомления, а не за то, что вы его поздно подали

Если у вас остались вопросы и вы бы хотели получить персональную консультацию по вашей ситуации с обработкой и защитой персональных данных — заполните эту форму. Мы свяжемся с вами.