Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Законодательство в области ИБ Вносить ли организацию в реестр операторов осуществляющих обработку ПДн?

Вносить ли организацию в реестр операторов осуществляющих обработку ПДн?

Операции с документом
Вверх к Законодательство в области ИБ

Вносить ли организацию в реестр операторов осуществляющих обработку ПДн?

Послано Егор Бегунов в 5.Октябрь.2016 12:05

Коллеги, встал такой вопрос.

С моей точки зрения, как безопасника, это действие формальное и бесполезное, так как на эффективности моей СМИБ оно лишь слегка отразится при анализе рисков. То есть штраф 5-7 ТР в соответствии с статьёй 13.11 административного кодекса. 

Вряд ли кого-то из клиентов будет интересовать данный аспект, так как процесс обработки ПДН тут второстепенен.

То есть мы выигрываем примерно 6 тр, да ещё и делим это на 5 лет(далеко не каждый год организацию сможет посетить роскомнадзор).

Хлопот внесения организации в реестр и постоянная актуализация информации добавят не мало, да и находиться под надзором большого брата, который ещё и отслеживает по данному реестру организации вовремя не внёсшие изменения в свои заявки, ну никакого удовольствия.

Выходит, что это требование 152-ФЗ необходимо соблюдать только организациям, у которых обработка персональных данных является основным процессом, или по требованию сторонних организаций, например, для осуществления совместной бизнес-деятельности.

Коллеги, прошу ваших комментариев. Если я всё-таки чего-то не учёл.

Re: Вносить ли организацию в реестр операторов осуществляющих обработку ПДн?

Послано Александр Астахов в 5.Октябрь.2016 14:21

Закон определяет достаточно много ситуаций, когда регистрироваться не обязательно. См. Чего не требует от операторов закон о ПДн. Вполне возможно вы сделаете вид, что у вас как-раз такая ситуация.

Если у вас все же не такая ситуация, то невнесение в реестр операторов ПДн не гарантирует отсутствие проверок со стороны Роскомнадзора. Вы бы на их месте при планировании проверок на какие организации обращали бы больше внимания, на те которые зарегистрированы в реестре и следовательно наверняка какие-то меры реализовали по защите ПДн или на те которые там не зарегистрированы и следовательно, гарантировано ничего не делали для обеспечения соответствия в области ПДн?

Административные наказания и размеры штрафов в области ПДн имеют тенденцию к непрерывному ужесточению, поэтому, если все же не будете регистрироваться, то придется постоянно отслеживать эту статью АК РФ. Иначе, когда вопрос всплывет, можете быть неприятно удивлены.

 

Re: Вносить ли организацию в реестр операторов осуществляющих обработку ПДн?

Послано Егор Бегунов в 6.Октябрь.2016 11:42

Из 20-и первых попавшихся организаций, вошедших в план проверок Роскомнадзора этого года, в их реестре отсутствует только одна. Остальные подали заявления минимум 3 года назад.

Складывается такое мнение, что регуляторы не хотят нарваться на организацию, которая сможет доказать, что оператором ПДн не является. Поэтому просто берут рандомайзом 500 не проверенных организаций из своего реестра, вычитают те, которых уже не существует и прибавляет те, на которые были жалобы.

Просто, эффективно, и никакой головной боли. Годовой план закрыт.

Вообще представляется, 3 варианта что проверка Роскомнадзор - это:

рычаг ИБ отдела на руководство - выделить инвестиции и повысить свой статус. Что не профессионально.

способ заставить ИБ отдел шевелиться, а организацию всерьёз задуматься о безопасности своих ИС. Что очень здорово.

или, пустые траты. Если статус ИБ отдела не велик, то руководство может самостоятельно принять решение и отдать всю безопасность в консалтинг до проверки, чтобы в час Х всё соответствовало, а дальше будь, что будет. Что я наблюдал не раз.

Так что, на мой взгляд, стоит сперва поднять безопасность на хороший уровень, а затем подавать заявления в Роскомнадзор, чтобы, в случае проверки показать руководству, что вы не просто так едите хлеб с маслом. И закрепить значимость ИБ отдела.

 

Re: Вносить ли организацию в реестр операторов осуществляющих обработку ПДн?

Послано Александр Астахов в 6.Октябрь.2016 15:41

Все вполне логично.

Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex