4 марта, четверг 10:06
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Общедоступный терминал с ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Общедоступный терминал с ПДн

    Подкинули вот такую задачку.
    У кадровиков возникла идея установить у себя в подразделении некий терминал (по виду а-ля платежный), который позволил бы соискателям не только осуществлять поиск вакансий на предприятии, но и заполнять и отправлять стандартную форму резюме.

    Проблемы.
    1. Согласие на обработку ПДн. Конечно предлагают воткнуть в стандартную форму пункты дабы соответствовало требования ФЗ-152. Но вот подпись.
    Исходя из п.4 ст.9 ФЗ-152 можно говорить только о двух вариантах: письменный и с использование электронной подписи. Именно поэтому вариант с акцептом оферты не рассматриваю и считаю в принципе ошибочным (если есть возражения, прошу предложений как выполнить условия п1. ст.9 ФЗ-152, а именно как потом доказать, что согласие получено именно от субъекта ПДн).
    2. Терминал планируют расположить в помещении, куда доступ не контролируется. Проблема с выполнением что прежнего ПП-781, что нынешних требований ПП-1119.
    3. Не понятно как выполнять требования по управлению доступом, регистрации и учету и т.д.

    Пока я так понимаю вариант реализуемый. Может быть есть какие то идеи?

  • #2
    Установить терминал Вы можете.

    заполнять и отправлять стандартную форму резюме
    Организовать такую форму принятия заявлений Вы не можете. И не сможете, потому чтов ней будут содержаться ПДн

    как потом доказать, что согласие получено именно от субъекта ПДн
    Скорее всего никак. По крайней мере я не вижу как это можно реализовать.

    Единственное, что приходит в голову, указывать в форме заявки свои трудовые качества, желаемую должность и номер мобильного телефона как идентификатор и способ связи с человеком. Тоесть получилась такая "обезличенная заявка", позволяющая при этом связаться с человеком. И она уже падает на почту кадровикам.

    У кадровиков вообще часто возникают бредовые идеи, но Вам оно надо?

    Комментарий


    • #3
      Интересно а если рассматривать как приколюху, поставить купюропреемник в терминал. Без прошивки, чисто на прием бумаги. Заказать рулоны соответствующего размера, на них пропечатать согласие с местом подписи. Человек отправляет заявку, в конце идет момент: "Подпишите листок согласия на обработку ПДн и вставьте его в приемник. В случае отсутствия согласия на обработку ПДн Отправленные Вами данные подлежат уничтожению без рассмотрения." Далее по событию от приемника идет акцепт заявки.
      Пофантазировал, сейчас набегут и заклюют :-D

      Комментарий


      • #4
        1. Добавьте галочку "согласен" с текстом по всем требованиям ФЗ-152.
        2. Считайте терминал как ИС с обезличенными ПДн и не указывайте в документах.
        3. Не показывайте этот терминал регуляторам.

        Комментарий


        • #5
          1. Часть 4 статьи 9 говорит только о согласии в письменной форме и только в тех случаях, когда именно такое согласие и именно в такой форме требуетсязаконом. Это не ваш случай. Доказательством согласия и свободной воли субъекта будет собственно фает предоставления им своиз ПД. Доказательство не абсолютное, но таким же не абсолютным является и бумажное согласие.
          2, 3. Стесняюсь спросить: а чем общедоступный терминал в общественном месте отличается от персоналки дома у пользователя?

          Комментарий


          • #6
            В данном случае согласие просто не требуется. ПДн собираются с целью заключения договора.

            Комментарий


            • #7
              Сообщение от alexmib Посмотреть сообщение
              1. Добавьте галочку "согласен" с текстом по всем требованиям ФЗ-152.
              2. Считайте терминал как ИС с обезличенными ПДн и не указывайте в документах.
              3. Не показывайте этот терминал регуляторам.
              А кто может от Вашего имени поставить галочку?

              Ну если согласие не требуется тогда никаких вопросов то и не может быть, но оно точно не требуется? Если не сложно есть документальное подтверждение что оно не требуется при заключении договора?

              Комментарий


              • #8
                Сообщение от АС Посмотреть сообщение
                В данном случае согласие просто не требуется. ПДн собираются с целью заключения договора.
                Спорно, т.к. договора может и не быть, но даже если и будет это не освобождает от остальных 100499 требований, включая уничтожение по достижении цели обработки, чего кадровики делать не захотят.

                Комментарий


                • #9
                  Сообщение от alexmib Посмотреть сообщение
                  Спорно, т.к. договора может и не быть, но даже если и будет это не освобождает от остальных 100499 требований, включая уничтожение по достижении цели обработки, чего кадровики делать не захотят.
                  Разве не необходимо принимать согласие на обработку ПДн до заключения договора.

                  Комментарий


                  • #10
                    Сообщение от tsv_and Посмотреть сообщение
                    Разве не необходимо принимать согласие на обработку ПДн до заключения договора.
                    При заключении договора согласие вообще не особо нужно.

                    Комментарий


                    • #11
                      Если надо хоть какую-то бумажку для успокоения духа, пусть даже и нелегитимную, то тут http://www.arb.ru/b2b/news/48737/ есть письмо №5 http://www.arb.ru/site/docs/ConsCent...02-12-2011.doc в котором есть такой ответ консультационной линии АРБ:
                      12. В каких случая можно обрабатывать резюме и анкеты будущих работников, не имея их письменного согласия.

                      Во всех. В данном случае согласия соискателя должности (возможного будущего работника) не требуется, поскольку данная обработка подпадает под предусмотренную п.5 ч.1 ст.6 ФЗ-152 установку о том, что «обработка ПДн необходима для…заключения договора по инициативе субъекта ПДн». Таким договором является трудовой договор, а субъект проявил инициативу, заполнил анкету работодателя или разместил свое резюме на сайте или передал его кадровому агентству для подбора места работы.
                      Сам ФЗ-152 ст.6:
                      1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
                      ...
                      5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
                      ...
                      10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
                      п.5 можно натянуть на тех, с кем потом будет заключён договор, п.10 на тех, кто резюме с такими же данными опубликовал в интернете, а те, кто не устроился, жаловаться вряд ли будут т.к. они заинтересованы в сохранении их резюме и хорошего отношения для возможного получения работы в будущем.

                      Комментарий


                      • #12
                        Сообщение от Lit Посмотреть сообщение
                        Подкинули вот такую задачку.
                        У кадровиков возникла идея установить у себя в подразделении некий терминал (по виду а-ля платежный), который позволил бы соискателям не только осуществлять поиск вакансий на предприятии, но и заполнять и отправлять стандартную форму резюме.

                        Пока я так понимаю вариант реализуемый. Может быть есть какие то идеи?
                        У нас есть похожие мысли. Но сделать такой терминал не для сторонних лиц, а для своих сотрудников. И "запихать вовнутрь" кадровую информацию из карточки Т2.
                        Для чего это нужно?!
                        1. Чтобы сотрудники без обращения в отдел кадров могли посмотреть свои персональные данные и в случае каких-либо ошибок или изменений информировали об этом отдел кадров сначала посредством личного обращения, а в дальнейшем возможно и сразу в электронной форме с помощью терминала.
                        2. Чтобы сотрудники могли посмотреть сведения о графике отпусков в отношении себя.
                        3. Узнавать свежие новости, приказы и распоряжения в отношении себя и своего подразделения.
                        4. В перспективе возможность направлять через терминал заявления, оставлять запросы и другие служебные документы.

                        Чтобы организовать такой функционал, однозначно нужна идентификация пользователей в информационной системе терминала. Т.к. в основном данное решение рассчитано на рабочих вариант с логином и паролем не очень подходит для этого - нужен более простой способ. Мы хотим применить решение с электронным пропуском, который есть у каждого сотрудника организации, кстати такие же пропуска выдаются и временным посетителям, с отметкой временный, после выхода с территории предприятия пропуска возвращаются в бюро пропусков.
                        Так вот подходим к самому интересному. Возможно ли использовать связку электронный пропуск + пин код (который будет выдаваться сотруднику при подписи им положения об использовании электронной подписи), как простую электронную подпись?!
                        Такое решение обеспечило бы как простоту использования такого терминала рабочими, так и удовлетворительную степень обеспечения безопасности и соблюдения законодательства в области использования электронной подписи. Учетные записи в терминале можно блокировать после 3-5 неверных попыток ввода пин кода. На документах формируемых через терминал и направляемых в отдел кадров, в конце документа будет проставляться надпись - "подписано простой электронной подписью" + ФИО.

                        Теперь вернемся к проблемам Lit:
                        Сообщение от Lit Посмотреть сообщение
                        Проблемы.
                        1. Согласие на обработку ПДн. Конечно предлагают воткнуть в стандартную форму пункты дабы соответствовало требования ФЗ-152. Но вот подпись.
                        Исходя из п.4 ст.9 ФЗ-152 можно говорить только о двух вариантах: письменный и с использование электронной подписи. Именно поэтому вариант с акцептом оферты не рассматриваю и считаю в принципе ошибочным (если есть возражения, прошу предложений как выполнить условия п1. ст.9 ФЗ-152, а именно как потом доказать, что согласие получено именно от субъекта ПДн).
                        2. Терминал планируют расположить в помещении, куда доступ не контролируется. Проблема с выполнением что прежнего ПП-781, что нынешних требований ПП-1119.
                        3. Не понятно как выполнять требования по управлению доступом, регистрации и учету и т.д.
                        Все проблемы можно было бы решить одним махом - поставив такой терминал на территории организации, например на проходной, под контролем охраны. Чтобы получить доступ к терминалу человеку будет необходимо оформить пропуск. При оформлении пропуска человеку можно дать для подписи соглашение о использовании пропуска в качестве простой электронной подписи. (Не захочет подписывать?! Нет проблем. Просто не получит доступа к информации расположенной в терминале).
                        Да это усложнит доступ к терминалу, но зато решит все поставленные Вами проблемы. А тем кому необходимо посмотреть информацию об организации и свободные вакансии без входа на территорию, может это сделать и через Интернет и официальный сайт (если уж Вы планируете располагать терминал в общедоступном месте, то и выложить эту информацию на офф. сайте вижу вполне разумным шагом).

                        Комментарий


                        • #13
                          Сообщение от malotavr Посмотреть сообщение
                          1. Часть 4 статьи 9 говорит только о согласии в письменной форме и только в тех случаях, когда именно такое согласие и именно в такой форме требуется законом. Это не ваш случай. Доказательством согласия и свободной воли субъекта будет собственно фает предоставления им своиз ПД. Доказательство не абсолютное, но таким же не абсолютным является и бумажное согласие.
                          Не совсем понял почему это не мой случай. Мне нужно согласие от субъекта ПДн "в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом" согласно ст.9 п.1. При этом "обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных.. возлагается на оператора" согласно ст.9 п.3.
                          Я пока не вижу способов в моем случае выполнить данные требования. Невозможно доказать, что Васины данные появились в нашей ИСПДн именно от Васи. А именно того хочет закон.
                          Тут проблема именно с тем как обеспечить доказательство того, что ПДн были переданы самим субъектом. С бумажкой хоть как то можно, а тут запросто вводи "Васины ПДн".

                          Сообщение от malotavr Посмотреть сообщение
                          2, 3. Стесняюсь спросить: а чем общедоступный терминал в общественном месте отличается от персоналки дома у пользователя?
                          Тем, что он является частью ИСПДн предприятия и каким то образом его нужно защищать владельцу.
                          Даже если решить вопрос с согласием, остаются требования по защите. Уйти от них возможно только если ПДн будут заявлены владельцем как общедоступные, но там однозначно согласие только письменное. Плюс опять же общие требования по размещению терминала и т.д.

                          Сообщение от АС
                          В данном случае согласие просто не требуется. ПДн собираются с целью заключения договора.
                          Рассматривал такой вариант. Однако нет договора - нет оснований для обработки без согласия.

                          Комментарий


                          • #14
                            Поставьте биометрию и требуйте отпечатки пальцев - это и будет доказательством.

                            Комментарий


                            • #15
                              Сообщение от Lit Посмотреть сообщение
                              Я пока не вижу способов в моем случае выполнить данные требования. Невозможно доказать, что Васины данные появились в нашей ИСПДн именно от Васи. А именно того хочет закон.
                              Тут проблема именно с тем как обеспечить доказательство того, что ПДн были переданы самим субъектом. С бумажкой хоть как то можно, а тут запросто вводи "Васины ПДн".
                              А чем не устраивает вариант предложенный мной? Слишком замороченный?

                              Сообщение от Lit Посмотреть сообщение
                              Тем, что он является частью ИСПДн предприятия и каким то образом его нужно защищать владельцу.
                              Даже если решить вопрос с согласием, остаются требования по защите.
                              А сайт организации у вас присутствует? Каким образом вы осуществляете его защиту?

                              Комментарий


                              • #16
                                Сообщение от АС Посмотреть сообщение
                                Поставьте биометрию и требуйте отпечатки пальцев - это и будет доказательством.
                                Это еще сложнее, чем предложенный мною вариант с пропусками. Умучаешься у каждого собирать отпечатки пальцев, да еще и дополнительное согласие на биометрию.

                                Комментарий

                                Обработка...
                                X