×
×
+ Ответить в теме
Показано с 1 по 21 из 21
  1. #1
    Клерк
    Регистрация
    25.11.2004
    Сообщений
    270

    О персональных данных

    Здравствуйте!
    Сегодня служба персонала прислала письмо примерно такого содержания:
    "Есть такой закон о персональных данных (от 2006), согласно этому закону оператор персональных данных (любая организация, которая собирает, обрабатывает, т.е. любым образом использует персональные данные физ. лица) должен:

    1. уведомить Федеральную службу по надзору в сфере связи и массовых коммуникаций о своем намерении осуществлять обработку персональных данных.

    2. получить письменное разрешение на использование персональных данных самого носителя персональных данных.

    Таким образом, получается, что мы должны известить Россвязькомнадзор и получать письменные разрешения наших работников и работников наших клиентов о возможности обрабатывать их персональные данные?"

    Честно говоря, я в растерянности, т.к. первый раз о таком слышу...
    Кто-то уже получал такие разрешения?
    Поделиться с друзьями

  2. #2
    Клерк Аватар для tinkaer
    Регистрация
    27.09.2007
    Адрес
    Московская область
    Сообщений
    4,709
    Надо читать закон о персональных данных, там есть оговорка - кроме работодателей или что-то в этом роде. Тема здесь уже обсуждалась, поищите поиском
    Подпись отключена за неуплату

  3. #3
    Клерк
    Регистрация
    25.11.2004
    Сообщений
    270
    пасип

  4. #4
    Клерк
    Регистрация
    25.11.2004
    Сообщений
    270
    Что-то не очень получается...
    А если дело касается не работодателя, а фирмы, которая ведет кадровый учет?

  5. #5
    Клерк Аватар для tinkaer
    Регистрация
    27.09.2007
    Адрес
    Московская область
    Сообщений
    4,709
    http://forum.klerk.ru/showthread.php...E0%ED%ED%FB%E5 вот здесь например обсуждали, со ссылками на статьи закона. А вообще - внимательно прочитайте сам закон.
    Подпись отключена за неуплату

  6. #6
    Клерк
    Регистрация
    25.11.2004
    Сообщений
    270
    А как вы думаете - попадает ли наша деятельность под "обработку персональных данных, осуществляющихся в целях исполнения договора, одной из сторон которого является субъект персональных данных"? ведь сотрудник - часть организации, которая является субъектом, заключившим договор...

  7. #7
    Клерк
    Регистрация
    08.11.2009
    Адрес
    Москва
    Сообщений
    15
    Цитата Сообщение от Julia111 Посмотреть сообщение
    А как вы думаете - попадает ли наша деятельность под "обработку персональных данных, осуществляющихся в целях исполнения договора, одной из сторон которого является субъект персональных данных"? ведь сотрудник - часть организации, которая является субъектом, заключившим договор...
    Julia111 – Вы явно путаете! Оператор – это организация, обрабатывающая ПДн, субъект – это лицо, чьи данные обрабатывает Оператор. Субъект не может быть Оператором. Все ответственность за обработку ПДн лежит на Операторе (организации), который и будет отвечать за несоблюдение закона № 152-ФЗ при проверках надзирающих органов или при исках со стороны Субъектов.

    Согласно Федеральному закону "О персональных данных" (№ 152-ФЗ от 27.07.2006г.) информационные системы персональных данных (ИСПДн), созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона.

    Такие системы есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

    Речь идет не только о согласии субъектов на обработку своих ПДн, но прежде всего о комплексе мероприятий, которые необходимо провести для обеспечения безопасности ПДн и соответствии требованиям ФЗ 152 и постановления правительства № 781.
    В большей части это касается информационных систем, в которых обрабатываются ПДн. Обработка ПДн без средств автоматизации изменилась мало.

  8. #8
    Клерк
    Регистрация
    25.08.2009
    Адрес
    Омск
    Сообщений
    48
    Цитата Сообщение от kzi Посмотреть сообщение
    Julia111 – Вы явно путаете! Оператор – это организация, обрабатывающая ПДн, субъект – это лицо, чьи данные обрабатывает Оператор. Субъект не может быть Оператором. Все ответственность за обработку ПДн лежит на Операторе (организации), который и будет отвечать за несоблюдение закона № 152-ФЗ при проверках надзирающих органов или при исках со стороны Субъектов.

    Согласно Федеральному закону "О персональных данных" (№ 152-ФЗ от 27.07.2006г.) информационные системы персональных данных (ИСПДн), созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона.

    Такие системы есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

    Речь идет не только о согласии субъектов на обработку своих ПДн, но прежде всего о комплексе мероприятий, которые необходимо провести для обеспечения безопасности ПДн и соответствии требованиям ФЗ 152 и постановления правительства № 781.
    В большей части это касается информационных систем, в которых обрабатываются ПДн. Обработка ПДн без средств автоматизации изменилась мало.
    О каком комплексе мероприятий идет речь?
    С чего начать?

  9. #9
    Клерк
    Регистрация
    08.11.2009
    Адрес
    Москва
    Сообщений
    15
    Начать нужно с классификации системы. Читайте Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ
    от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

    Потом читаем Постановление Правительства N 781, там описаны общие мероприятия:

    11. При обработке персональных данных в информационной системе должно быть обеспечено:
    а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
    б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
    в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
    г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    д) постоянный контроль за обеспечением уровня защищенности персональных данных.
    12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
    а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
    б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
    в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
    г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
    д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
    е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
    ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
    з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
    и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
    к) описание системы защиты персональных данных.

    Более конкретные требования (мероприятия), ОБЯЗАТЕЛЬНЫЕ к исполнению, прописаны в 4х документах ФСТЭК (они ДСП) и 2х документах ФСБ.

    Для выполненияе работ по обеспечению безопасности ПДн необходимо получить необходимые лицензии ФСТЭК или обратиться к лицензиату ФСТЭК, чтобы тот провел комплекс мероприятий (создание системы защиты, установка-настройка, разработка необходимых организационно-распорядительных документов, аттестация).

  10. #10
    Клерк
    Регистрация
    20.04.2007
    Адрес
    Питер
    Сообщений
    1,432
    Цитата Сообщение от kzi Посмотреть сообщение
    Для выполненияе работ по обеспечению безопасности ПДн необходимо получить необходимые лицензии ФСТЭК или обратиться к лицензиату ФСТЭК, чтобы тот провел комплекс мероприятий (создание системы защиты, установка-настройка, разработка необходимых организационно-распорядительных документов, аттестация).
    И даже после всего этого найдут за что прихватить.
    Поэтому с одной стороны пугаемся, а с другой не забываем про ст. 13.11 КоАПа и сопоставляем свои затраты.

    Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

    Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
    влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

    Есть еще, конечно, УК 137, 140, 272 и 13.14, 5.39 КоАПа

  11. #11
    Клерк
    Регистрация
    08.11.2009
    Адрес
    Москва
    Сообщений
    15
    Цитата Сообщение от Egregor Посмотреть сообщение
    И даже после всего этого найдут за что прихватить.
    Поэтому с одной стороны пугаемся, а с другой не забываем про ст. 13.11 КоАПа и сопоставляем свои затраты.

    Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

    Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
    влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

    Есть еще, конечно, УК 137, 140, 272 и 13.14, 5.39 КоАПа
    хранить и использовать персональные данные нужно, соблюдая требования Трудового кодекса и других федеральных законов (ст. 87 ТК).

    еще есть одна мера наказания - вплоть до останвки основной деятельности организации (в которой ведеться обработка ПДн). А это уже ....

    Поэтому новый закон дополняет ТК (главу 14).

    Про ответственность:
    ТК - ст. 81, 90, 195, 237, 391.
    КоАп - ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 20.25, 32.2.
    УК - ст. 137, 140, 155, 171, 183, 272, 273, 274.
    Последний раз редактировалось kzi; 11.11.2009 в 15:26.

  12. #12
    Клерк
    Регистрация
    20.04.2007
    Адрес
    Питер
    Сообщений
    1,432
    Цитата Сообщение от kzi Посмотреть сообщение
    еще есть одна мера наказания - вплоть до останвки основной деятельности организации (в которой ведеться обработка ПДн)
    kzi, я ведь не призываю игнорировать закон. Вопрос в том, а чего, собственно, будет стоить малому предприятию пройти такую чудную аттестацию?
    Можно назвать еще с десяток оснований, помимо ПД, когда эта мера может применяться, но используется она, прежде всего, когда дело касается жизни и здоровья сотрудников.

  13. #13
    Клерк
    Регистрация
    08.11.2009
    Адрес
    Москва
    Сообщений
    15
    Наказание:

    Согласно Трудовому кодексу: Максимальное  Увольнение и денежное вознаграждение по согласованию (сотруднику, получившему ущерб от воздействия на его персональные данные со стороны работодателя);
    Согласно Кодексу административных правонарушений: Максимально – штраф 500 000 руб., конфискация и приостановление деятельности организации на срок до 90 суток, дисквалификация должностного лица до 3-х лет;
    Согласно Уголовному кодексу: Максимально – штраф 300.000 руб., обязательные работы на срок до 1-го года, арест до 6-ти месяцев, лишение права занимать должность на срок до 5-ти лет.

    Утечка ПДн непосредственно относиться к жизни граждан. Т.к. утечка ПДн о состоянии здоровья, или заработкам, или о частной жизни, или другой информации, отнесенной к ПДн, может серьезно повлиять (изменить) жизнь данного субъекта, если такая информация будет предана огласке.
    Последний раз редактировалось kzi; 11.11.2009 в 16:01.

  14. #14
    Клерк
    Регистрация
    20.04.2007
    Адрес
    Питер
    Сообщений
    1,432
    Цитата Сообщение от kzi Посмотреть сообщение
    Утечка ПДн непосредственно относиться к жизни граждан. Т.к. утечка ПДн о состоянии здоровья, или заработкам, или о частной жизни, или другой информации, отнесенной к ПДн, может серьезно повлиять (изменить) жизнь данного субъекта, если такая информация будет предана огласке.

    Дружище, kzi, не надо из кожи вон лезть, пытаясь всех здесь запугать.
    Системы защиты данных продаете?

    Я говорю о самом факте наличии неаттестованной системы в организации, в честности малом предприятии, коих львиная доля, никто за это деятельность не приостановит, а если произойдет утечка ПД, которая повлечет ущерб и вина будет доказана, наличие системы будет слабым утешением.

  15. #15
    Клерк
    Регистрация
    20.04.2007
    Адрес
    Питер
    Сообщений
    1,432
    Цитата Сообщение от Egregor Посмотреть сообщение
    Системы защиты данных продаете?
    Пожалуй не я один так думаю.
    http://forum.klerk.ru/showthread.php?t=303628

  16. #16
    Аноним
    Гость
    Коллеги, вторгнусь в вашу беседу
    мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно???

  17. #17
    Клерк
    Регистрация
    20.04.2007
    Адрес
    Питер
    Сообщений
    1,432
    Цитата Сообщение от Аноним Посмотреть сообщение
    Коллеги, вторгнусь в вашу беседу
    мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно???
    Пост 9 почитайте

  18. #18
    Клерк Аватар для Urban
    Регистрация
    05.03.2009
    Сообщений
    103
    Цитата Сообщение от Аноним Посмотреть сообщение
    Коллеги, вторгнусь в вашу беседу
    мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно???
    Если вы в положении пишите что работает без средств автоматизации, то у вас все в ажуре. Самые проблемы у тех у кого есть эти самые средства автоматизации. Причем что это за средства непонятно. Компьютер? Калькулятор? Дырокол и папка? Кароче как обычно - никто не знает, кроме проверяющих и тех, кто "написал" закон. но пока все молчат.

  19. #19
    Клерк
    Регистрация
    08.11.2009
    Адрес
    Москва
    Сообщений
    15
    Цитата Сообщение от Urban Посмотреть сообщение
    Если вы в положении пишите что работает без средств автоматизации, то у вас все в ажуре. Самые проблемы у тех у кого есть эти самые средства автоматизации. Причем что это за средства непонятно. Компьютер? Калькулятор? Дырокол и папка? Кароче как обычно - никто не знает, кроме проверяющих и тех, кто "написал" закон. но пока все молчат.

    Не стоит заблуждаться! Защищать нужно ИСПДн при использовании средств автоматизации и без использования этих средств!

    информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
    Из ПП781:
    1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

    Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

    Об этом ответил тут:
    http://forum.klerk.ru/showthread.php...3#post52476333

  20. #20
    Клерк
    Регистрация
    25.07.2018
    Сообщений
    1
    Где найти инструкцию по выполнению мероприятий по обеспечению безопасности ПДн?

  21. #21
    Клерк
    Регистрация
    30.05.2019
    Сообщений
    1
    Здравствуйте, я пишу диплом по ПДн. Есть некоторые вопросы, не могли бы помочь?

+ Ответить в теме

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы можете создавать новые темы
  • Вы можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •