Исполнитель: Кариаев Р.О.

SIB-40

Задание 1.

Билайн (ПАО ВымпелКОМ)

● Какие категории ПДн обрабатываются?

Согласно Приложению 1:

1. Фамилия, имя, отчество,

2. место и дата рождения,
3. реквизиты документа, удостоверяющего личность,
4. адрес местожительства,
5. абонентский номер,
6. контактный телефонный номер,
7. адрес электронной почты,
8. данные о платежах и оказанных услугах,
9. данные геолокации,

В заключительной части документа упоминается, что оператор производит также

обработку биометрики на своих СКУД.

● Для всех ли категорий субъектов указаны цели обработки?

В политике цели определены для следующих субъектов:

1. Абоненты, пользователи.
2. Работники Компании, родственники работников Компании.
3. Работники контрагентов.
4. Физические лица, имеющие намерение заключить договор с ПАО
«ВымпелКом» и/или его партнерами.
5. Посетители, работники, работники контрагентов, имеющие постоянные
пропуска на объекты Компании.
6. Члены совета директоров.
7. Основатели компании.

Не обнаружил четкого указания на цели для группы Соискатели. Тем не менее под
размытую формулировку “Физические лица, имеющие намерение заключить договор с
ПАО «ВымпелКом»” могут подпадать и они, если речь о Трудовом Договоре.
 ● Для всех ли категорий субъектов указаны правовые основания обработки?
Непосредственно в документе правовые основания для категорий не
расписаны.
В пункте 6.1 указано только, что:

“Субъект персональных данных имеет право на получение информации,

касающейся обработки его персональных данных, в том числе содержащей:
правовые основания и цели обработки персональных данных;”

Иными словами, как я понял, конкретика предоставляется всем категориям

субъектов, но по запросу.

● Для всех ли категорий субъектов указан состав обрабатываемых данных?

В Приложении 1 сотав расписан для категорий:

1. Абоненты
2. Пользователи услуг Компании

МЕГАФОН (ПАО МегаФон)

● Какие категории ПДн обрабатываются?

В Приложении 1 данного положения, прописаны следующие категории ПНд:

1. Фамилия, имя отчество или псевдоним;

2. дата и место рождения;
3. номер счета абонента;
4. реквизиты документа, удостоверяющего личность реквизиты удостоверения
беженца;
5. место регистрации и фактического проживания;
6. др. данные, позволяющие идентифицировать абонента (пользователя)
7. статистические данные и файлы Cookies в рамках Политики по
конфиденциальности для сайта;
8. данные о поведении и предпочтениях пользователей сайтов, получаемых
посредством сервисов типа Google Analitics;
9. IP (без возможности работы с IPадресами в статистике);
10. User-Agent;
11. ClientID (идентификатор браузера по файлу Cookie);
12. данные о фактах заполнениях форм на веб-сайтах, включая ошибки при их
заполнении
13. Абонентский номер пользователя (логин);
14. персональный код пользователя (пароль);
15. Пол;
16. Гражданство;
17. место учебы или работы;
18. прошлая трудовая деятельность, стаж работы;
19. номер мобильного телефона;
20. номер домашнего телефона;
21. др. персональные данные, по желанию указываемые в типовой анкете;
22. адрес корпоративной почты;
23. семейное положение и состав семьи, в том числе данные о вступлении в брак,
данные о рождении ребенка;
24. образование, в том числе наименование и адрес учебного заведения, номер и
дата выдачи документа об образовании, присвоенная квалификация;
25. фото;
26. сведения о социальных льготах;
27. данные государственного пенсионного страхования;
28. страховой номер индивидуального лицевого счета;
29. данные обязательного медицинского страхования;
30. ИНН;
31. сведения о воинском учете;
32. общие сведения о профессиональной пригодности по состоянию здоровья,
необходимые для выполнения трудового договора и требований
законодательства;
33. сведения о заработной плате и иных выплатах и удержаниях, получаемых и
производимых в процессе трудовой деятельности, номера банковских карт;
34. реквизиты банковского счета;
35. данные водительского удостоверения (для работников – водителей);
36. ранее занимаемая должность уволенного работника;
37. срок действия договора;
38. сведения об абоненте, за исключением тайны связи;
39. скоринговый бал работодателя;
40. др. персональные данные, передаваемые контрагентом;
41. реквизиты доверенности или иного документа, подтверждающего полномочия
представителя

● Для всех ли категорий субъектов указаны цели обработки?

Положение выделяет следующие категории субьекто ПНд:

1. абонентов , заключивших договоры на оказание услуг связи с Компанией;

2. пользователей услугами связи2 , предоставляемыми Компанией;
3. посетителей сайтов Компании;
4. пользователей приложениями/сервисами под брендом МегаФон;
5. соискателей (кандидатов) на вакантные должности в Компании;
6. лиц, находящиеся в кадровом резерве;
 7. работников, имеющих договорные отношения с Компанией;
8. родственников работников, имеющих договорные отношения с Компанией;
9. уволенных работников;
10. контрагентов - физических лиц;
11. работников контрагентов по гражданско-правовым договорам, заключенным с
Компанией;
12. посетителей объектов контролируемой зоны Компании;
13. клиентов, заключивших договор о предоставлении услуг Удостоверяющего
центра ПАО «МегаФон»;
14. клиентов контрагентов по планируемым /заключенным договорам с
контрагентами; уполномоченных на основании доверенности представители
вышеперечисленных субъектов;
15. Уполномоченные на основании доверенности представители
вышеперечисленных субъектов

Для каждой из категорий в Приложени 1 указаны цели обработки ПНд. (Кроме

последней, где сказано, что Цели “варьируются” в зависимости от категории субъекта).

● Для всех ли категорий субъектов указаны правовые основания обработки?

Полные основания для обработки приведены в разделе: “2.5 Основания обработки

персональных данных.”
Конкретные категории субъектов не выделены, из чего следует что данный пункт
касается каждой из них.

● Для всех ли категорий субъектов указан состав обрабатываемых данных?

В Приложении 1 данного Положения указан состав для каждой из упомянутых выше

категорий.

Вывод: Положение компании ПАО МегаФон прописано куда более подробно, чем у
компании ПАО ВымпелКОМ, благодаря конкретизирующему Приложению к документу.

Задание 2
Описание кейса
Произошла утечка документа, содержащего коммерческую тайну (КТ). Внутреннее
расследование пришло к выводу, что документ слил сотрудник И. И. Иванов. Сам
Иванов утверждает, что документ он действительно передавал, но о том, что это КТ,
не знал.

Какие дополнительные вводные данные имеются:

● режим КТ на предприятии введён;

● Иванов включён в перечень допущенных к КТ;
● в колонтитулах документа большими буквами указано «КТ»;
● у Иванова нет раздела о работе с КТ в трудовом договоре, дополнительное
соглашение к договору с ним не заключалось;
● Иванов подписал листы ознакомления с приказами, устанавливающими режим
КТ в организации.

Вопросы к заданию

Какие ошибки во введении и обеспечении режима коммерческой тайны вы

смогли найти в описании кейса?

Не заключено дополнительное соглашение с сотрудником, допущенным к КТ.

Без этого, в данном случае, доступ к КТ не может быть квалифицирован как имеющий
законные основания.
Не утвержден конкретный перечень информации, составляющей КТ.
Не проведены мероприятия по ограничению доступа к информации, порядок не
соблюдался - иначе сотрудник без соответствующего пункта в договоре получил бы
доступ.
На документе неверно нанесен гриф. Согласно п.1 ст.10. 98 ФЗ гриф должен быть
обозначен не как буквенная аббревиатура, а полная надпись "Коммерческая тайна" с
указанием обладателя такой информации (для юридических лиц - полное
наименование и место нахождения, для индивидуальных предпринимателей -
фамилия, имя, отчество гражданина, являющегося индивидуальным
предпринимателем, и место жительства).

Смогут ли привлечь сотрудника к ответственности?

Во-первых доступ Иванова к КТ в отсутствие приложения к договору не имел законных

оснований - но это вина вышестоящих лиц.

Так как гриф “Коммерческая Тайна” со всеми необходимыми данными, не был верно
указан на документе, Иванов при ознакомлении с ним, действительно не видел перед
собой четкой, с точки зрения закона, маркировки.

В таком случае, он может настаивать, что не был поставлен в известность, что данный
документ относится к Коммерческой Тайне, а значит по закону не может быть
привлечен к ответственности с требованием покрытия расходов своего работодателя,
связанных со “сливом” документа.