тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Яндекс-формы и ПДн, отзывы и лицензии — вопрос-ответ по ПДн

By 24.04.2025 Информационная безопасность 0 Comments

Яндекс-формы и ПДн, отзывы и лицензии — вопрос-ответ по ПДн

Продолжаем рубрику «Вопрос-ответ» по ПДн от Вероники Нечаевой. Сегодня разбираем, как передавать ПДн через электронную почту, что есть согласие на передачу, а что — на поручение, про цели и обработку.

Вопрос 1

Как быть с Яндекс-формами, какое согласие собирать с людей? На обработку нам и на передачу Яндексу?

И то, и другое. Только важно обязательно проверить — передача это или поручение на обработку.

— Вероника Нечаева, CISO CORTEL

Вопрос 2

Где сказано, что оператор не может самостоятельно разрабатывать Технический проект на СЗПДн для собственных нужд?

В требованиях к лицензируемым видам деятельности в законе о лицензируемых видах деятельности.

Вопрос 3

Пациент отозвал согласие на ОПД у мед организации, наши действия: удаляем из медицинской информационной системы, продолжаем хранить на бумаге. Все верно? Или есть вариант продолжить хранить в ИС , поскольку часть мед документации велась в электронном формате?

Когда у вас отозвали согласие, у вас, в соответствии с требованиями ФЗ, в рамках которого работает ваша организация, есть перечень действий, для которых эти согласия нужны. Расскажу недавний кейс на примере ребят, которые у меня консультировались:

Пришёл человек, получил субсидию на проведение газа к себе домой. Пришёл и показал эту субсидию частной газовой компании, которая сделала ему скидку 99% от стоимости проведения газа. Получил, и на следующий же день после того, как ему подключили газ, пишет: «Я отзываю у вас согласие на обработку ПДн. Если вы продолжите обрабатывать, я натравлю на вас Роскомнадзор, Прокуратуру и других».

Операторы спрашивают у меня, мол, что делать? Во-первых, в законах прописано, что для предоставления субсидии, пока она предоставляется, и пока идёт отчёт, на протяжении определённого промежутка времени должны обрабатываться определённые ПДн: ФИО, почему предоставлена льгота, паспортные данные и т.д. Они ДОЛЖНЫ это обрабатывать, несмотря на то, что пришёл отзыв согласия.

Как поступать в подобной ситуации? Если у вас есть требования от конкретного закона, вы обязаны ответить субъекту ПДн — направить ему письменное разъяснение, на основании какого закона и почему вы не можете прекратить обработку. Затем — зафиксировать факт обращения и ответа в журналах. Это пригодится вам при проверке Роскомнадзора. Если вы собирали больше, чем требуется по закону, вы их удаляете, отмечаете это в разъяснении, журналах, и не забудьте про Акт об уничтожении!

— Вероника Нечаева, CISO CORTEL

Вопрос 4

Каким образом возможно передавать ПДН через электронную почту? К примеру, запароленный архив — допустимо?

Вообще, запароленный архив недопустимо, но в некоторых случаях региональные регуляторы разрешают, например, школам. У школ федеральное финансирование, и деньги на криптографические средства защиты информации поступают «раз в 100 лет», а как-то выполнять требования законов нужно, поэтому регулятор готов «прикрыть левый или правый глаз» 🙂 Нужно смотреть, какая конкретно у вас организация.

— Вероника Нечаева, CISO CORTEL

Вопрос 5

Как защитить электронную почту, через которую передаются ПДн, если она расположена на стороннем сервисе, например, «Яндекс.Почта»?

Просить Яндекс, чтобы они вас «положили» в защищённый ресурс. Если не могут — переходите в защищённый почтовик.

Вопрос 6

Допустимо ли направлять расчетный лист по корпоративной электронной почте сотрудникам, если данная передача отражена в трудовом договоре?

По корпоративной почте — да. Она находится внутри контролируемой зоны и канал передачи должен быть защищён. Высылать лист на какую-то «левую» почту сотрудника — запрещено.

— Вероника Нечаева, CISO CORTEL

Вопрос 7

ПО, которое используется на АРМ для обработки ПДн, обязательно должно иметь сертификат ФСТЭК?

Либо сертификат ФСТЭК, либо подтверждение прохождения оценки соответствия.

— Вероника Нечаева, CISO CORTEL

Вопрос 8

При оценке вреда субъектам, если в организации обрабатываются ПДн школьников (летняя работа) риск априори высокий?

Конечно, у вас же обрабатываются данные несовершеннолетних. Я вам больше скажу — до введения моратория на проверки организаций Роскомнадзором, на их сайте, в открытом доступе, можно было увидеть, кого они собираются проверять. И это были все организации, которые обрабатывали данные несовершеннолетних, спецкатегории и биометрию

Вопрос 9

Возможна ли обработка ПДн с различными целями обработки в одном программном обеспечении (например в системе электронного документооборота)?

Нет. У ЭДО — одна цель. Если у этого ЭДО есть небольшие подпрограммы, как, например, в 1С («Предприятие», «Бухгалтерия» и т.д.) под разные цели обработки, то можно. Если нет, и цель обработки одна — то нельзя.

Вопрос 10

Можно ли сотруднику организации получить лицензию на установку СКЗИ?

Нет, лицензию на СКЗИ может получить только юридическое лицо. Если речь идёт об установке СКЗИ себе в организацию для собственных нужд, вы можете устанавливать их себе без лицензий, если иного не требует владелец или интегратор. Например, VipNet вы так просто сами себе не установите. А вот «КриптоПро» — очень даже.

Если у вас остались вопросы и вы бы хотели получить персональную консультацию по вашей ситуации с обработкой и защитой персональных данных — просто заполните форму. Мы свяжемся с вами.