О персональных данных

[Julia111]

Здравствуйте!
Сегодня служба персонала прислала письмо примерно такого содержания:
"Есть такой закон о персональных данных (от 2006), согласно этому закону оператор персональных данных (любая организация, которая собирает, обрабатывает, т.е. любым образом использует персональные данные физ. лица) должен:

1. уведомить Федеральную службу по надзору в сфере связи и массовых коммуникаций о своем намерении осуществлять обработку персональных данных.

2. получить письменное разрешение на использование персональных данных самого носителя персональных данных.

Таким образом, получается, что мы должны известить Россвязькомнадзор и получать письменные разрешения наших работников и работников наших клиентов о возможности обрабатывать их персональные данные?"

Честно говоря, я в растерянности, т.к. первый раз о таком слышу...
Кто-то уже получал такие разрешения?

[tinkaer]

Надо читать закон о персональных данных, там есть оговорка - кроме работодателей или что-то в этом роде. Тема здесь уже обсуждалась, поищите поиском

[Julia111]

пасип

[Julia111]

Что-то не очень получается...
А если дело касается не работодателя, а фирмы, которая ведет кадровый учет?

[tinkaer]

http://forum.klerk.ru/showthread.php...E0%ED%ED%FB%E5 вот здесь например обсуждали, со ссылками на статьи закона. А вообще - внимательно прочитайте сам закон.

[Julia111]

А как вы думаете - попадает ли наша деятельность под "обработку персональных данных, осуществляющихся в целях исполнения договора, одной из сторон которого является субъект персональных данных"? ведь сотрудник - часть организации, которая является субъектом, заключившим договор...

[kzi]

А как вы думаете - попадает ли наша деятельность под "обработку персональных данных, осуществляющихся в целях исполнения договора, одной из сторон которого является субъект персональных данных"? ведь сотрудник - часть организации, которая является субъектом, заключившим договор...

Julia111 – Вы явно путаете! Оператор – это организация, обрабатывающая ПДн, субъект – это лицо, чьи данные обрабатывает Оператор. Субъект не может быть Оператором. Все ответственность за обработку ПДн лежит на Операторе (организации), который и будет отвечать за несоблюдение закона № 152-ФЗ при проверках надзирающих органов или при исках со стороны Субъектов.

Согласно Федеральному закону "О персональных данных" (№ 152-ФЗ от 27.07.2006г.) информационные системы персональных данных (ИСПДн), созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона.

Такие системы есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

Речь идет не только о согласии субъектов на обработку своих ПДн, но прежде всего о комплексе мероприятий, которые необходимо провести для обеспечения безопасности ПДн и соответствии требованиям ФЗ 152 и постановления правительства № 781.
В большей части это касается информационных систем, в которых обрабатываются ПДн. Обработка ПДн без средств автоматизации изменилась мало.

[ilin-a]

Julia111 – Вы явно путаете! Оператор – это организация, обрабатывающая ПДн, субъект – это лицо, чьи данные обрабатывает Оператор. Субъект не может быть Оператором. Все ответственность за обработку ПДн лежит на Операторе (организации), который и будет отвечать за несоблюдение закона № 152-ФЗ при проверках надзирающих органов или при исках со стороны Субъектов.

Согласно Федеральному закону "О персональных данных" (№ 152-ФЗ от 27.07.2006г.) информационные системы персональных данных (ИСПДн), созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона.

Такие системы есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

Речь идет не только о согласии субъектов на обработку своих ПДн, но прежде всего о комплексе мероприятий, которые необходимо провести для обеспечения безопасности ПДн и соответствии требованиям ФЗ 152 и постановления правительства № 781.
В большей части это касается информационных систем, в которых обрабатываются ПДн. Обработка ПДн без средств автоматизации изменилась мало.

О каком комплексе мероприятий идет речь?
С чего начать?

[kzi]

Начать нужно с классификации системы. Читайте Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ
от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

Потом читаем Постановление Правительства N 781, там описаны общие мероприятия:

11. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.

Более конкретные требования (мероприятия), ОБЯЗАТЕЛЬНЫЕ к исполнению, прописаны в 4х документах ФСТЭК (они ДСП) и 2х документах ФСБ.

Для выполненияе работ по обеспечению безопасности ПДн необходимо получить необходимые лицензии ФСТЭК или обратиться к лицензиату ФСТЭК, чтобы тот провел комплекс мероприятий (создание системы защиты, установка-настройка, разработка необходимых организационно-распорядительных документов, аттестация).

[Egregor]

Для выполненияе работ по обеспечению безопасности ПДн необходимо получить необходимые лицензии ФСТЭК или обратиться к лицензиату ФСТЭК, чтобы тот провел комплекс мероприятий (создание системы защиты, установка-настройка, разработка необходимых организационно-распорядительных документов, аттестация).

И даже после всего этого найдут за что прихватить.
Поэтому с одной стороны пугаемся, а с другой не забываем про ст. 13.11 КоАПа и сопоставляем свои затраты.

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Есть еще, конечно, УК 137, 140, 272 и 13.14, 5.39 КоАПа

[kzi]

И даже после всего этого найдут за что прихватить.
Поэтому с одной стороны пугаемся, а с другой не забываем про ст. 13.11 КоАПа и сопоставляем свои затраты.

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Есть еще, конечно, УК 137, 140, 272 и 13.14, 5.39 КоАПа

хранить и использовать персональные данные нужно, соблюдая требования Трудового кодекса и других федеральных законов (ст. 87 ТК).

еще есть одна мера наказания - вплоть до останвки основной деятельности организации (в которой ведеться обработка ПДн). А это уже ....

Поэтому новый закон дополняет ТК (главу 14).

Про ответственность:
ТК - ст. 81, 90, 195, 237, 391.
КоАп - ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 20.25, 32.2.
УК - ст. 137, 140, 155, 171, 183, 272, 273, 274.

[Egregor]

еще есть одна мера наказания - вплоть до останвки основной деятельности организации (в которой ведеться обработка ПДн)

kzi, я ведь не призываю игнорировать закон. Вопрос в том, а чего, собственно, будет стоить малому предприятию пройти такую чудную аттестацию?
Можно назвать еще с десяток оснований, помимо ПД, когда эта мера может применяться, но используется она, прежде всего, когда дело касается жизни и здоровья сотрудников.

[kzi]

Наказание:

Согласно Трудовому кодексу: Максимальное  Увольнение и денежное вознаграждение по согласованию (сотруднику, получившему ущерб от воздействия на его персональные данные со стороны работодателя);
Согласно Кодексу административных правонарушений: Максимально – штраф 500 000 руб., конфискация и приостановление деятельности организации на срок до 90 суток, дисквалификация должностного лица до 3-х лет;
Согласно Уголовному кодексу: Максимально – штраф 300.000 руб., обязательные работы на срок до 1-го года, арест до 6-ти месяцев, лишение права занимать должность на срок до 5-ти лет.

Утечка ПДн непосредственно относиться к жизни граждан. Т.к. утечка ПДн о состоянии здоровья, или заработкам, или о частной жизни, или другой информации, отнесенной к ПДн, может серьезно повлиять (изменить) жизнь данного субъекта, если такая информация будет предана огласке.

[Egregor]

Утечка ПДн непосредственно относиться к жизни граждан. Т.к. утечка ПДн о состоянии здоровья, или заработкам, или о частной жизни, или другой информации, отнесенной к ПДн, может серьезно повлиять (изменить) жизнь данного субъекта, если такая информация будет предана огласке.

Дружище, kzi, не надо из кожи вон лезть, пытаясь всех здесь запугать.
Системы защиты данных продаете?

Я говорю о самом факте наличии неаттестованной системы в организации, в честности малом предприятии, коих львиная доля, никто за это деятельность не приостановит, а если произойдет утечка ПД, которая повлечет ущерб и вина будет доказана, наличие системы будет слабым утешением.

[Egregor]

Системы защиты данных продаете?

Пожалуй не я один так думаю.
http://forum.klerk.ru/showthread.php?t=303628

[Аноним]

Коллеги, вторгнусь в вашу беседу
мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно???

[Egregor]

Коллеги, вторгнусь в вашу беседу
мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно???

Пост 9 почитайте

[Urban]

Коллеги, вторгнусь в вашу беседу
мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно???

Если вы в положении пишите что работает без средств автоматизации, то у вас все в ажуре. Самые проблемы у тех у кого есть эти самые средства автоматизации. Причем что это за средства непонятно. Компьютер? Калькулятор? Дырокол и папка? Кароче как обычно - никто не знает, кроме проверяющих и тех, кто "написал" закон. но пока все молчат.

[kzi]

Если вы в положении пишите что работает без средств автоматизации, то у вас все в ажуре. Самые проблемы у тех у кого есть эти самые средства автоматизации. Причем что это за средства непонятно. Компьютер? Калькулятор? Дырокол и папка? Кароче как обычно - никто не знает, кроме проверяющих и тех, кто "написал" закон. но пока все молчат.

Не стоит заблуждаться! Защищать нужно ИСПДн при использовании средств автоматизации и без использования этих средств!

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Из ПП781:

1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Об этом ответил тут:
http://forum.klerk.ru/showthread.php...3#post52476333

[dnscheb]

Где найти инструкцию по выполнению мероприятий по обеспечению безопасности ПДн?

[calvinkleiin]

Здравствуйте, я пишу диплом по ПДн. Есть некоторые вопросы, не могли бы помочь?