❕ Разбираем: ПДн, СОПД, ОУПДн...
... а также Оператор, Обработчик и Субобработчик
Что это, кто все эти люди и чем они отличаются?
На первый взгляд — это сплошная аббревиатурная мешанина. Но для тех, кто работает с комплаенсом и прайваси, точное понимание этих понятий — не формальность, а способ избежать ошибок в документах, угроз в архитектуре и претензий от Роскомнадзора 〰️
РАЗБЕРЕМСЯ ПО ПОРЯДКУ:
▶️ ПДн (персональные данные)
Информация, прямо или косвенно относящаяся к физлицу: ФИО, телефон, адрес, СНИЛС, e-mail, фото, IP-адрес и т.п.
Все, что может быть связано с идентифицируемым человеком — это ПДн. Даже если это не очевидно (например, логины и поведенческие маркеры в SaaS-продукте)
▶️ ИСПДн (информационная система персональных данных)
Термин, активно используемый на практике. Под ИСПДн понимается программно-техническая среда, где осуществляется автоматизированная или смешанная обработка ПДн: сбор, хранение, использование, передача, уничтожение и т.д.
Примеры систем, которые могут быть признаны ИСПДн:
◾️ CRM с персональными данными клиентов
◾️ ERP или кадровая система с анкетами сотрудников
🍔 Важно:
Не каждая система с ПДн — это ИСПДн.
Для признания ИС таковой должны выполняться критерии статьи 3 закона 152-ФЗ: например, автоматизированная или смешанная обработкой , наличие базы данных, информационных технологий и технических средств
▶️ Какие ПДн обрабатываются, и зачем это уточнять
В документах часто фигурирует формулировка «уточнить перечень обрабатываемых ПДн», и это важно.
Нужно понимать:
🔘 обрабатываются ли обычные персональные данные
🔘 есть ли специальные категории (например, о здоровье, национальности)
🔘 задействованы ли биометрические ПДн
🔘 кто субъекты: сотрудники, клиенты, контрагенты
🔘 в каких объемах: до 100 тыс. или более
Это влияет на:
— уровень защищенности
— требования к согласиям
— необходимость уведомления РКН
— состав модели угроз и мер защиты
▶️ Кто есть кто: Оператор, Обработчик, Субобработчик
Оператор ПДн
— лицо (организация или ИП), которое самостоятельно определяет цели и способы обработки ПДн.
Обработчик ПДн
— тот, кто обрабатывает данные по поручению оператора, строго в рамках его указаний (например, подрядчик на аутсорсе).
Субобработчик
— если обработчик привлекает еще третью сторону, она становится субобработчиком.
В этом случае нужна прозрачная цепочка договоров, где соблюдены все требования закона и интересы субъектов ПДн.
⚖️ Границы ответственности между этими субъектами — один из ключевых моментов в построении корректной системы защиты и документооборота
❓ Почему важно все это знать (или вспомнить)?
Путая понятия, легко:
⏩ некорректно назначить роли в документах
⏩ перепутать границы ответственности между IT и юристами
⏩ неправильно классифицировать ИСПДн (и, например, не сделать модель угроз, где она необходима)
⏩ получить замечания от регулятора за некорректную политику, согласие или договор
А у вас все четко прописано, какие ПДн, в каких системах, на каких основаниях и кто за них отвечает? Если есть сомнения, то пора навести порядок, в котором мы подскажем, с чего начать 💕
#Глоссарий
😎
