ПДн. Эксплуатация. Перечни ФИО или должностей сотрудников?

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Ранее эта проблема уже обсуждалась, но всё ещё остается актуальной. Итак. Статьей 88 ТК РФ, Постановлением правительства №687, Постановлением правительства №1119, Постановлением правительства №211, приказом ФСБ №378 требуется установить и утвердить перечень лиц, допущенных к обработке ПДн.


Перечней может быть один, а может быть несколько (по допуску к разным ИСПДн, неавтоматизированной обработке ПДн, местам хранения ПДн, в помещения с СКЗИ, к работе с СКЗИ), не суть. Если организация достаточно большая, то в следствии текучки и кадровых перемещений приходится регулярно обновлять такие перечни.  Необходимо каждый день собирать информацию об изменениях, готовить приказ об утверждении перечня и утверждать его у руководителя Оператора.


В целях минимизации трудозатрат, небольшая часть встреченных мной организаций предпочитает вести перечни допущенных к … лиц включающие только должность и наименование подразделения.
   

Несколько лет назад региональное управление Роскомнадзора по ЮФО на семинарах и проверках категорически настаивало на том что перечни должны быть именными – содержать ещё и ФИО. Аргументы к этому были следующие:

·         Оператор обязан в документе определить лица, допущенные / уполномоченные обработке ПДн. Необходимо по каждому конкретному сотруднику понимать, допущен он к обработке ПДн или нет. Чаще всего в одном подразделении существует много ставок с одинаковым наименованием должности, что не позволяет без ФИО однозначно определить.

·         В перечнях лиц может быть указана какая-то специфика, актуальная только для конкретного сотрудника (отвечает за сохранность материальных носителей ПДн в таком-то кабинете, в таком-то шкафу, допущен к работе с каким-то специфическим СКЗИ). Без ФИО, перечень лиц будет неверно определять ответственных в таком случае.


Последние пару лет от местного Роскомнадзора уже не слышно такой четкой позиции по отношению к перечню лиц. Опять же встречал несколько операторов, которые ведут перечни допущенных лиц без ФИО, только с указанием должностей и подразделений.


К сожалению, не удалось найти судебной практики, содержащей случаи, когда у Оператора ведется перечень допущенных к обработке ПДн лиц, без указания ФИО. Если вы встречали что-то подобное, прошу поделиться информацией …


Было интересно, какая существует практика утверждения “перечня лиц” в областях не связанных с ПДн. Беглый просмотр около 100 последних публичных приказов и распоряжений об утверждении “перечня лиц” показал, что в более 90% случаев перечни содержат ФИО (примеры 1, 2, 3) но встречаются и варианты только с должностями (пример 4, 5).  

Для возможного разрешения данной проблемы задал вопрос в Роскомнадзор и Минкомсвязи. РКН традиционно ответили, что не комментируют законодательство РФ. А ответ Минкомсвязи привожу ниже.




Как видно, орган государственной власти ответственный за нормативно-правовое регулирование в сфере ПДн считает что ФИО нужны.


А что вы думаете по поводу перечней лиц, ответственных/допущенных к .. ПДн?

Оцените материал:
Total votes: 49
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.