К вопросу о персональных данных

[Urban]

Закон о персональных данных действует уже относительно давно, да и срок для направления уведомления в Роскомнадзор (до 01.01.08) уже прошел, но наш "местный Роскомнадзор" только зашевелился и начал рассылать письма счастья с напоминанием о необходимости уведомления.
Не секрет, что в туристическом бизнесе без работы с персональными данными не обойтись, и на практике возникло множество вопросов, на которые надеюсь, кто-нибудь сможет дать хоть какие-то ответы. По крайне мере хочется проверить мыслю ли я в "нужном русле".
Вопросы после прочтения ФЗ о персональных данных следующие:

1. п.1. ст. 3 Закона - что же не является персональными данными? Пока удалось установить, что это только уровень зарплаты. (вроде как, постановление правительства какое-то от 91 года еще, точно не помню).

2. ч.1. ст. 6 Закона вкупе со ст. 18. и ст. 9 - если заказчик сообщает ПД, скажем, туриста, то по Закону Оператор должен уведомить туриста, а дальше требуется ли письменное согласие от туриста на обработку его персональных данных или уведомления будет достаточно? Возможно ли дача согласия путем молчания на уведомление (это в случае если только согласие письменно не обязательно)? может ли кто-то дать такое согласие по доверенности по смыслу ч1. ст. 9 или такое согласие возможно только "лично"?

3. ст. 5 Закона - что подразумевается под ограничением? полный запрет?

4. что подразумевается по автоматизированной обработкой?

использование калькулятора тоже автоматизированная обработка? (понятно что законодатель спутал с автоматической обработкой, теперь бы понять что в итоге получилось)

5. ст. 18 Закона - уведомление нужно направлять по почте или можно выдать, скажем, заказчику (в данном случае, лицу, которое сообщает ПД о туристе, и которое по моей задумке само должен передать туристу уведомление)?

6. ч.1 ст. 19 Закона - обязательно ли положение по работе с ПД клиентов (не путать с положением по работе с ПД работников, которое обязательно в соответствии с ТК)?

7. ч.1. ст. 21 Закона - что подразумевается под блокированием ПД? Как это вообще должно происходить, если ПД, скажем на бумаге?

8. пп. 8 п.2. ст. 22 Закона - этот пункт подразумевает, что если обрабатывать ПД на "бумаге" людьми и с учетом ПОСТАНОВЛЕНИЕ Правительства РФ от 15.09.2008 № 687 "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ" то можно не уведомлять Роскомнадзор вообще? или этот пункт подразумевает что-то другое, какие то другие правила?

Пожалуйста, отвечайте только на те вопросы, в ответе на которые уверены, и по возможности по существу, потому что объем информации "для обработки" очень значителен, а сжатые ответы на эти вопросы могут быть полезны значительному кругу лиц.
Наш местный Роскомнадзор пока сам пытается разобраться в "хитросплетениях" закона и только не может ничего пояснить, поэтому буду рад любой помощи.


Модераторам - с разделом темы так и не определился, поэтому посчитал, что здесь ей самое место. В случае необходимости, пожалуйста, перенесите в нужный раздел.

[toparenko]

2.

Вы заключаете с клиентом договор т.ч. уведомление субъекта ПДн не требуется.
Учитывая, что обработка ПДн ведется во исполнение договора - уведомление в Роскомнадзор не обязательно.

4.

Все, что Вам не удалось увести под ПП687

5. заказчику (в данном случае, лицу, которое сообщает ПД о туристе

У заказчика должно быть согласие субъекта ПДн на передачу его ПДн третьим лицам (с указанием целей передачи). Т.ч. здесь может оказаться, что субъект уже дал Вам согласие и уведомлять его не потребуется.

6.

Если у Вас нет Положения о конфиденциальной информации (куда включен порядок работы с ПДн клиентов), то нужно.

В принципе Вы можете объединить Положение по ПДн работников и Положение по ПДн клиентов (соответственно указав в нем порядок работы как с ПДн работников, так и с ПДн клиентов).

7.

Для бумаги это не так просто сделать
Проще уничтожить.

8.

Если внимательно сравните, то увидите, что если у Вас вся обработка ПДн ведется по ПП687, то уведомлять Роскомнадзор нет необходимости.

[Urban]

Предлагаю дальше рассмотреть спорные вопросы на примере.
Приходит клиент (назовем его Заказчик) в Турагентсво (которое будет Турагентом в соответствии с законодательством о туризме) с желанием поехать, скажем, в Турцию. Поехать Заказчик хочет с "дамой сердца", которая не является его женой или родственницей (если родственница то есно что речь не про "даму сердца", хотя в жизни бывает и не такое).
Турагенту нужно заключить с ним договор о реализации туристского продукта, в соответствии с которым Заказчик будет еще и туристом, но вторым туристом (не Заказчиком, а следовательно и не стороной договора) будет еще "дама". Тоесть мы рассматриваем пример договора в пользу 3 лиц.
Если с Заказчиком все понятно - он сам способен предоставить свои ПД, то с "дамой" возникают вопросы. Насколько я пока понимаю, Турагентсво может получить ПД "дамы" и от самого Заказчика, в таком случае - п.3. ст. 18 ФЗ о персональных данных и уведомление даме, которое, вроде как, можно передать и через Заказчика (или нельзя, из Закона непонятно, пояснений тоже нет). Дальше вопрос - Турагентству требуется письменное разрешение "дамы" на обработку ее персональных данных после получения уведомления (ч.1. ст.6) или наш Заказчик в соответствии с законом считается Оператором (не путать с туроператором) и получения письменного разрешения у "дамы" (во бредятина то где) это проблема Заказчика, а наше дело только уведомить его "даму" и дальше обрабатывать персональные данные? В любом случае дальше еще один вопрос - ПД Турагентстов (которое в примере Турагент) передает их Туроператору (собственно тому, кто туристсткий продукт и формирует). Туроператор получив эти ПД, получается тоже должен уведомить всех! туристов о том что начинает использовать их ПД. "Лишней" бумажной работы менеджерам "выше крыши". Как можно было бы по-хитрому уведомлять тогда всех туристов? направлять это все Турагенту, чтобы тот передал Заказчику, а тот Туристу? или нести постоянные огромные почтовые расходы?
Сразу хочу оговориться, что я склоняюсь к версии, что при получении ПД от 3 лица Оператор должен только уведомить субъекта ПД и все, просто хочется найти подтверждение своих мыслей, ну или тогда опровержение.

[Urban]

люди, никто не работает с персональными данными чтоли?

[toparenko]

люди, никто не работает с персональными данными чтоли?

Возможно пользователи данного форума еще не столкнулись со всей маразматичностью 152-ФЗ.

Пока данной темой плотно занимаются только службы информационной безопасности и, отчасти, юристы.

К сожалению не могу ни дать ссылку на места обсуждения, ни отправить ее в личку.

Предлагаю дальше рассмотреть спорные вопросы на примере.
Приходит клиент (назовем его Заказчик) в Турагентсво (которое будет Турагентом в соответствии с законодательством о туризме) с желанием поехать, скажем, в Турцию. Поехать Заказчик хочет с "дамой сердца", которая не является его женой или родственницей (если родственница то есно что речь не про "даму сердца", хотя в жизни бывает и не такое).
Турагенту нужно заключить с ним договор о реализации туристского продукта, в соответствии с которым Заказчик будет еще и туристом, но вторым туристом (не Заказчиком, а следовательно и не стороной договора) будет еще "дама". Тоесть мы рассматриваем пример договора в пользу 3 лиц.
Если с Заказчиком все понятно - он сам способен предоставить свои ПД, то с "дамой" возникают вопросы. Насколько я пока понимаю, Турагентсво может получить ПД "дамы" и от самого Заказчика, в таком случае - п.3. ст. 18 ФЗ о персональных данных и уведомление даме, которое, вроде как, можно передать и через Заказчика (или нельзя, из Закона непонятно, пояснений тоже нет). Дальше вопрос - Турагентству требуется письменное разрешение "дамы" на обработку ее персональных данных после получения уведомления (ч.1. ст.6) или наш Заказчик в соответствии с законом считается Оператором (не путать с туроператором) и получения письменного разрешения у "дамы" (во бредятина то где) это проблема Заказчика, а наше дело только уведомить его "даму" и дальше обрабатывать персональные данные? В любом случае дальше еще один вопрос - ПД Турагентстов (которое в примере Турагент) передает их Туроператору (собственно тому, кто туристсткий продукт и формирует). Туроператор получив эти ПД, получается тоже должен уведомить всех! туристов о том что начинает использовать их ПД. "Лишней" бумажной работы менеджерам "выше крыши". Как можно было бы по-хитрому уведомлять тогда всех туристов? направлять это все Турагенту, чтобы тот передал Заказчику, а тот Туристу? или нести постоянные огромные почтовые расходы?
Сразу хочу оговориться, что я склоняюсь к версии, что при получении ПД от 3 лица Оператор должен только уведомить субъекта ПД и все, просто хочется найти подтверждение своих мыслей, ну или тогда опровержение.

В принципе Вы можете передать Заказчику 2 экз. уведомления об обработке ПДн "дамы" для дальнейшей передачи 1 экз. "даме", а второго экз. возврата Вам с отметкой "дамы" о получении 1-го экз.

Кроме уведомления "дамы" на Вас п.3 ст.9 152-ФЗ возложена обязанность доказать получение согласия субъекта ПДн на обработку его ПДн (увы.. "презумпция виновности").

Т.ч. наиболее безболезненным для Вас выходом будет передать заказчику бланк согласия для его "дамы", для дальнейшего его заполнения ею и предоставления Вам для легализации обработки ее ПДн и дальнейших действий с ними.

Еще одной проблемой, с которой можете Вы столкнуться как туроператор - это трансграничная передача ПДн в государства, не обеспечивающих адекватной защиты прав субъектов персональных данных. Для "дамы", учитывая, что она не является стороной договора с Вами, потребуется письменное согласие на трансграничную передачу в эти страны (например для бронирования отеля и т.п.).

Вопрос трансграничной передачи пока недостаточно урегулирован. Однако на запрос АРБ Роскомнадзор прислал следующее письмо (приходится давать большую цитату из-за невозможности дать ссылку):

МИНИСТЕРСТВО
СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ Президенту Ассоциации
РОССИЙСКОЙ ФЕДЕРАЦИИ российских банков
(Минкомсвязь России)

ЗАМЕСТИТЕЛЬ МИНИСТРА Г.А.Тосуняну


13.05.2009 № ДС-П11-2502
на № А-01/5-140 от 23.03.2009


Об осуществлении трансграничной передачи персональных данных
Уважаемый Гарегин Ашотович!
Министерство связи и массовых коммуникаций Российской Федерации в ответ на Ваше обращение по вопросу, возникающему у кредитных организаций в ходе осуществления трансграничной передачи персональных данных при реализации Федерального закона «О персональных данных» (далее - Федеральный закон) сообщает следующее.
Минкомсвязь России в соответствии с Положением о Министерстве не наделено полномочиями по разъяснению законодательства Российской Федерации. Оценка законодательной базы иностранных государств на предмет адекватности обеспечения защиты прав субъектов персональных данных в компетенцию Министерства также не входит.
Вместе с тем, исходя из общего смысла норм Федерального закона, часть 1 статьи 12 устанавливает обязанность оператора предварительно убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации.
Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят Австрия, Андорра. Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция. Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
В настоящее время прорабатывается вопрос подготовки проекта федерального закона «О внесении изменений в Федеральный закон «О персональных данных». Предполагаемые поправки будут касаться совершенствования механизмов контроля и надзора за обработкой персональных данных, в том числе вопросов, связанных с определением порядка и условий трансграничной передачи данных.
Д.С.Северов

Т.ч. по указанным государствам есть возможность уменьшить количество "макулатуры".

[Urban]

В принципе Вы можете передать Заказчику 2 экз. уведомления об обработке ПДн "дамы" для дальнейшей передачи 1 экз. "даме", а второго экз. возврата Вам с отметкой "дамы" о получении 1-го экз.

Кроме уведомления "дамы" на Вас п.3 ст.9 152-ФЗ возложена обязанность доказать получение согласия субъекта ПДн на обработку его ПДн (увы.. "презумпция виновности").

Т.ч. наиболее безболезненным для Вас выходом будет передать заказчику бланк согласия для его "дамы", для дальнейшего его заполнения ею и предоставления Вам для легализации обработки ее ПДн и дальнейших действий с ними.

Еще одной проблемой, с которой можете Вы столкнуться как туроператор - это трансграничная передача ПДн в государства, не обеспечивающих адекватной защиты прав субъектов персональных данных. Для "дамы", учитывая, что она не является стороной договора с Вами, потребуется письменное согласие на трансграничную передачу в эти страны (например для бронирования отеля и т.п.).

Продолжим рассмотрение примера. Для этого посмотрим на участников и связи между ними в свете ФЗ о персональных данных:

Принимающая Сторона (в нашем примере Турки) и Туроператор
- сообщение Туроператора ПД Туристов с указанием цели использования этих ПД
- уведомление всем туристам от Принимающей стороны о начале обработки ПД туристов (?!, на иностранцев действие нашего закона, конечно, не распространяется)

Туроператор и Турагент
- заявка Турагента Туроператору с ПД туристов и целью использования этих ПД
- уведомление Туроператоа всем! туристам о начале обработки их ПД (тут уведомление может быть доставлено разными способами, не суть)

Турагент и Заказчик (в нашем примере он еще и турист)
- договор с включенными согласиями предоставления ПД Заказчика и передачу их куда-нужно
- уведомление Турагента каждому туристу о начале обработки их ПД

Далее "спорная" часть:

Заказчик и Турист (в нашем примере "дама")
- письменное согласие "дамы", выданное Заказчику, на обработку ее ПД и передачу куда-нужно (?!)

По рассматриваемому закону Заказчик тоже получается Оператором, когда он сообщает ПД "дамы" Турагенту, следовательно он должен иметь письменное согласие на обработку ее ПД (бред на практике, конечно, больше чем в половине случаев).
Момент заключается в чем - Если наш Заказчик Оператор и пусть у него есть согласие "дамы", то Тургагенту такое согласие тоже нужно получать (не рассматриваем случай трансграничной передачи) или сообщение данных "дамы" Заказчиком подпадает под норму закона, по которой Турагенту достаточно только уведомить "даму" о начале обработке ее ПД? У меня пока больше всего именно этот момент вызывает вопросов, потому что отношения Заказчик и Турагент это почти зеркальные отношения Туроператор и Турагент, Турагент тоже сообщает ПД Туристов Туроператору, который тоже что ли должен получить письменное согласие Туриста? Если сообщение ПД кому-то 3 лицом (не самим субъектом ПД) подразумевает не только направление субъекту ПД уведомления, но и получения его согласия, то получается полный бред и невыполнимые на практике требования. Смущает презумпция вины, как Оператору, получившему ПД от 3 лица, нужно будет доказать, что это 3 лицо получило ПД законно или вообще нужно это доказывать Оператору? Надеюсь, кто-нибудь уже понял как действовать в описываемом моменте?

[toparenko]

Принимающая Сторона (в нашем примере Турки) и Туроператор
- сообщение Туроператора ПД Туристов с указанием цели использования этих ПД
- уведомление всем туристам от Принимающей стороны о начале обработки ПД туристов (?!, на иностранцев действие нашего закона, конечно, не распространяется)

Принимающая сторона 1 - Туроператор
Принимающая сторона 2 - Страховая компания
Принимающая сторона 3 - Турагент
Принимающая сторона 4 - Турки

Соответственно первые три принимающие стороны должны выполнять 152-ФЗ

Турагент и Заказчик (в нашем примере он еще и турист)
- договор с включенными согласиями предоставления ПД Заказчика и передачу их куда-нужно
- уведомление Турагента каждому туристу о начале обработки их ПД

Передающая сторона 1 - Заказчик (он же еще Турист1)
Передающая сторона 2 - "дама", т.е. лицо на которое оформляет турпоездку Заказчик (Турист2)

Здесь следует уточнить: стороны договорных отношений (Туроператор + Страхователь с любым туристом, или Туроператор + Страхователь с Заказчиком, или иное)

Пока рассматриваю "Турагент с Заказчиком"

Далее "спорная" часть:

Заказчик и Турист (в нашем примере "дама")
- письменное согласие "дамы", выданное Заказчику, на обработку ее ПД и передачу куда-нужно (?!)

Обязательно т.к. Заказчик передает ПДн "дамы" Принимающей стороне 3. А далее Принимающая сторона 3 еще передает ПДн "дамы" Принимающим сторонам 1, 2 и 4. При этом если для Заказчика данная передача ПДн осуществляется во исполнение договора (соответственно эта прередача должна быть прописана в договоре), то для случая "дамы" это передача третьим лицам.

По рассматриваемому закону Заказчик тоже получается Оператором, когда он сообщает ПД "дамы" Турагенту, следовательно он должен иметь письменное согласие на обработку ее ПД (бред на практике, конечно, больше чем в половине случаев).

Если Заказчик физлицо и едущий с "дамой" турист, то можно подвести под обработку ПДн для личных нужд (соответственно данная обработка ведется вне 152-ФЗ).

Если Заказчик просто посредник или юрлицо, то на него распространяются все требования по получению и передаче/распространению ПДн.

Момент заключается в чем - Если наш Заказчик Оператор и пусть у него есть согласие "дамы", то Тургагенту такое согласие тоже нужно получать (не рассматриваем случай трансграничной передачи) или сообщение данных "дамы" Заказчиком подпадает под норму закона, по которой Турагенту достаточно только уведомить "даму" о начале обработке ее ПД? У меня пока больше всего именно этот момент вызывает вопросов, потому что отношения Заказчик и Турагент это почти зеркальные отношения Туроператор и Турагент, Турагент тоже сообщает ПД Туристов Туроператору, который тоже что ли должен получить письменное согласие Туриста? Если сообщение ПД кому-то 3 лицом (не самим субъектом ПД) подразумевает не только направление субъекту ПД уведомления, но и получения его согласия, то получается полный бред и невыполнимые на практике требования. Смущает презумпция вины, как Оператору, получившему ПД от 3 лица, нужно будет доказать, что это 3 лицо получило ПД законно или вообще нужно это доказывать Оператору? Надеюсь, кто-нибудь уже понял как действовать в описываемом моменте?

Согласие необходимо получать на все цели обработки ПДн.

Я потому и акцентировал внимание на "презумпции виновности" оператора, что ему требуется доказать наличие согласия во всех случаях, не подпадающих под п.2 ст.6 152-ФЗ (или соответственно, что ПДн общедоступны).

Для отношений Турагент-Туроператор, Турагент-Страхователь и т.д. согласие требуется для всех случаев (сооответственно не подпадающих под п.2 ст.6 152-ФЗ). И Вы обязаны предоставить им возможность доказать наличие согласия субъекта на передачу Вами ПДн туристов (как это будет выглядеть - это уже как Вы с ними договоритесь. Т.е. копия согласия или предоставление Вами оригинала инстанции при возникновении вопроса о наличии согласия).

[Urban]

Пошел читать матчасть дальше. Часть схем работы отфильтровалась, осталось проверить соответствие закону оставшиеся.
Отдельную проблему пока представляет обязанность получать согласие ДО начала обработки, то есть при передаче бланка согласия "даме" через Заказчика, потом придется "рисовать" дату до или совпадающей дате заключения договора. "Дырка" заключается в том, что если Туристы уже "улетели" и не отдали согласие или случилась какая другая накладка, то Оператор то под "ударом". На потоке такие случаи могут быть значительны по количеству в цифровом выражении. Правда и тут есть пару идей как можно защититься, но это как говориться "совсем другая история".
Большое спасибо за разъяснения, было приятно побеседовать с вами.

[toparenko]

Отдельную проблему пока представляет обязанность получать согласие ДО начала обработки, то есть при передаче бланка согласия "даме" через Заказчика, потом придется "рисовать" дату до или совпадающей дате заключения договора. "Дырка" заключается в том, что если Туристы уже "улетели" и не отдали согласие или случилась какая другая накладка, то Оператор то под "ударом". На потоке такие случаи могут быть значительны по количеству в цифровом выражении. Правда и тут есть пару идей как можно защититься, но это как говориться "совсем другая история".
Большое спасибо за разъяснения, было приятно побеседовать с вами.

Посмотрите на сколько можно применить к Вашей работе договор публичной оферты, в котором Вы получаете согласие на обработку ПДн. Возможно это значительно облегчит доказательство получения согласия.

Плюс еще попадалось т.н. "информированное согласие", но здесь еще надо подумать над его правомочностью в существующем правовом поле.

[Urban]

Тут проблема, на мой взгляд будет в том, что контролеры вряд ли разбираются в таким материях как "информированное согласие", поэтому закон будут исполнять "как написано", а помня про презумпцию вины, можно только увеличить себе количество проблем. Поэтому на практике такое скорее всего не пройдет, и если написано "согласие в письменном виде", то максимум это в тексте договора, а так в идеале для контролеров это отдельный документ, который так и будет называться.
Заключение публичного договора, насколько я понимаю, возможно только в форме присоединения, туристическое законодательство содержит определенные требования к существенным условиям договоров с туристом и обязательных "моментов" в договорах между Туроператором и Турагентом. И если в последнем случае публичный договор еще возможен (я даже лиц, которые работают по такой схеме, только оценить все последствия такого выбора, к сожалению, мне трудно, однако эти ребята явно злоупотребляют интересами контрагентов при такой схеме и время от времени в одностороннем порядке меняют условия договора "под себя"), то публичный договор с туристом я не представляю, потому что там все существенные условия согласуются в каждом конкретном случае, и такие договоренности нужно как то фиксировать.

[toparenko]

Тут проблема, на мой взгляд будет в том, что контролеры вряд ли разбираются в таким материях как "информированное согласие", поэтому закон будут исполнять "как написано", а помня про презумпцию вины, можно только увеличить себе количество проблем. Поэтому на практике такое скорее всего не пройдет, и если написано "согласие в письменном виде", то максимум это в тексте договора, а так в идеале для контролеров это отдельный документ, который так и будет называться.

Информированное согласие я видел на сайте "Профессионального резерва" ЕдРа
Естественно, что к ним маловероятно, что будут "докапываться" регуляторы.

Но, учитывая отсутствие наработанной практики, приходится рассматривать все варианты.
Так некоторые организации пытаются использовать ксерокопии/сканы согласий. Но без ЭЦП эти документы не имеют юридической силы... Да и уже имеются случаи подделки сканкопий документов от субъектов (см. случаи перевода пенсионных накоплений в негосударственные пенсионные фонды в Ульяновской, Челябинской областях и Удмуртии).

[kzi]

Согласно Федеральному закону "О персональных данных" (№ 152-ФЗ от 27.07.2006г.) информационные системы персональных данных (ИСПДн), созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона.

Такие системы есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

Согласия субъектов на обработку своих ПДн должно быть в письменной форме и содержать информацию о субъекте см. Статья 9 п.4 ФЗ-152.

блокирование Пдн -означает полную остановку и запрет обрабатывать Пдн субъекта.

Далее советую почитать следующие законы, чтобы иметь представление об Информационных систем, т.к. ИСПДн - одна из них.
149-ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г.
781 "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" от 17 ноября 2007 г.

Я не думаю, что сегодня есть организации обрабатывающие ПДн без средств автоматизации (компьютеров) - т.к. почти у всех есть системы: 1С бухгалтерия, банк-клиент, и т.п.

[toparenko]

Я не думаю, что сегодня есть организации обрабатывающие ПДн без средств автоматизации (компьютеров) - т.к. почти у всех есть системы: 1С бухгалтерия, банк-клиент, и т.п.

Вечный спор с интегратором на счет попадает ли 1С в SMB под ПП687

[kzi]

Вечный спор с интегратором на счет попадает ли 1С в SMB под ПП687

Причем здесь ПП687? Речь идет о ПП781 - Любая обработка персональных данных осуществляемых с использованием средств автоматизации (АС, ПК, и т.д.), а это и есть 1С и т.п.
Как только ПДн из ИСПДн попадают на бумагу, то это ПП687, а тут для отдела кадра изменилось мало.

[toparenko]

Причем здесь ПП687? Речь идет о ПП781 - Любая обработка персональных данных осуществляемых с использованием средств автоматизации (АС, ПК, и т.д.), а это и есть 1С и т.п.
Как только ПДн из ИСПДн попадают на бумагу, то это ПП687, а тут для отдела кадра изменилось мало.

Прочтите первые 2 пункта ПП687:

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

И см. решение арбитражного суда Коми

При этом в соответствии с пунктом 1 и 2 раздела I Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687, обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Статьей 17 Закона 27-ФЗ от 01.04.1996 г. обязанность руководителей и должностных лиц органов Пенсионного фонда Российской Федерации по обеспечению безопасности персональных данных при их обработке предусмотрена, а их обработка в пенсионном органе происходит при непосредственном участии человека.

[kzi]

toparenko Я не совсем правильно выразился:
Речь идет о том, что необходимо защищать Информационную систему персональных данных (ИСПДн), в не зависимости от того (с использованием средств автоматизации или нет),
т.к. ИСПДн - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Читаем первые 2 пункта ПП781:

1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

И статью 19 ФЗ-152

в итоге ИСПДн необходимо защищать в соответствии с ТК + ФЗ-152 + ПП781 + с(без) ПП 687. А защитить ИСПДн минуя ПП781 не выйдет, т.к. есть необходимость в добавление в БД, или передачи данных по каналам связи (включая общедоступные - интернет) в налоговую, ПФР, и пр. организации.

[toparenko]

в итоге ИСПДн необходимо защищать в соответствии с ТК + ФЗ-152 + ПП781 + с(без) ПП 687. А защитить ИСПДн минуя ПП781 не выйдет, т.к. есть необходимость в добавление в БД, или передачи данных по каналам связи (включая общедоступные - интернет) в налоговую, ПФР, и пр. организации.

Я и не говорю, что не требуется защищать.
И без ПП687 я еще не видел организаций.

Другой вопрос, что под ПП781 документы имеют неопределенный правовой статус (см. Парламентские слушания) - т.ч. риски изменения в окончательной редакции приходится принимать оператору. Те же ФСТЭК-овские документы уже имеют третью редакцию - и это не последняя...

ПП687 (где его возможно использовать) позволяет устанавлитвать требования (кроме предусмотренных самим Постановлением) определять оператору - что позволяет найти баланс интересов и цены.

[Urban]

ПП781:
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

ПП687:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Чего-то я не совсем понял как соотносятся между собой эти положения из разных ПП?
ПП781 говорит о том, что нужно защищать ИСПДн только в том случае, если обработка ПД производится без участия человека?
Другими словами если ПД обрабатываются в ИСПДн (например, той же 1С) с участием человека, то это под ПП781 не подпадает, а если в других автоматизированных система без участия человека, то уже подпадает, я правильно понимаю? или kzi продолжит рекламировать услуги своей фирмы и дальше, пытаюсь сеять панику и пугаю "ужасающими" последствиями?

[kzi]

Toparenko
Про недоработку некоторых моментов – согласен – много неточностей, которые необходимо исправить.
Про редакции документов ФСТЭК: их не совсем 3 (1ю выпустили без редакционной правки, 2ую отредактировали, 3ю утвердили в Минюсте), в целом никаких изменений в плане требований там нет.
В документах ФСТЭК есть типовые системы, которым установлены требования, но из-за неточности законодательства на сегодняшний момент нет типовых ИСПДн, все они относятся к специальным. А посему появляется возможность более гибко подходить к выполнению закона (требований) и защищать ИСПДн в соответствии с разработанной моделью угроз для конкретной системы, что намного снизит затраты.

Касаемо Парламентских слушаний, где можно об этом посмотреть? Буду признателен за ссылку….


Urban

ПП781 говорит о том, что нужно защищать ИСПДн только в том случае, если обработка ПД производится без участия человека?

Ответ:
ПП 781 устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн), представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Давайте разберемся по порядку.

Наше разногласие в том, что в определении ИСПДн в ПП 781 фигурируют средства автоматизации, которые в ПП 687 появляются в несколько другой формулировке.

Согласно ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ:
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Согласно ФЗ "О персональных данных" от 27 июля 2006 г. № 152-ФЗ:
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Далее, согласно действующим ГОСТам:
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34.003).
Средства автоматизации – средства вычислительной техники, информационно-вычислительные комплексы, сети и системы. (по ГОСТ Р 51624-2000).
Средство вычислительной техники (СВТ) – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (по ГОСТ Р 50739-95).

Таким образом, информационная система с использованием средств автоматизации – это обычный компьютер (СВТ) + информация, обрабатываемая на нем + оператор этого компьютера. Более крупные системы также попадают под это определение.
С другой стороны, информационной системой можно назвать базы данных, зафиксированной на любом материальном носителе (бумаге, магнитном диске, флеш-карте и т.д.), и обработка этой информации производится человеком без средств автоматизации (СВТ, информационно-вычислительных комплексов, сетей и систем).
Поэтому ПП 781 определяет требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) с использованием средств автоматизации.
А ПП 687 регламентирует обработку информационных системах персональных данных (ИСПДн) без использования средств автоматизации, т.е. напечатанных/написанных документов, а также электронных документов, хранимых на магнитных дисках/флеш-картах/других носителях. Как только Вы подключаете эти носители к компьютеру – он (компьютер) становится информационной системой персональных данных с использованием средств автоматизации, и информация, хранимая на данном носителе – обрабатывается в этой информационной системе персональных данных с использованием средств автоматизации.
Поэтому в ПП 687 написано: «Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее».

Другими словами если ПД обрабатываются в ИСПДн (например, той же 1С) с участием человека, то это под ПП781 не подпадает, а если в других автоматизированных система без участия человека, то уже подпадает, я правильно понимаю?

Ответ:
Другими словами:
ПП 781 необходимо выполнять, если:
- у Вас есть ИСПДн (некая база данных – записи (информация) с персональными данными в любом электронном виде),
- эта ИСПДн обрабатывается на компьютере, автоматизированной системе, в сети и т.д. (т.е. с использованием средств автоматизации).

Если защищаться только согласно ПП 687, тогда Вам придется забрать у бухгалтеров, кадровиков и других специалистов, работающих с персональными данными, компьютеры и заставить их писать документы, вести расчеты зарплаты, вести каталоги ТОЛЬКО ВРУЧНУЮ. Тогда ни о каком Word, а тем более 1С, вообще речи не будет!

Если Вы защитите только «бумагу», а автоматизированные системы, при помощи которых Ваши сотрудники будут обрабатывать ПДн, оставите как есть, то о какой защите ПДн может идти речь? Если кадровики, бухгалтера и другие специалисты, работающие с персональными данными, будут сидеть свободно в Интернете, ставить левое ПО, сливать базы ПДн (умышленно или случайно) и рассылать ПДн по открытым (незащищенным) каналам связи в другие организации? Поэтому защищать автоматизированные системы, с помощью которых проводится обработка ПДн, НУЖНО. И защищать ПДн, хранимые на материальных носителях и обрабатываемые без средств автоматизации, тоже НУЖНО.

Чего-то я не совсем понял как соотносятся между собой эти положения из разных ПП?

Ответ:
Как уже было написано выше: в части защиты ПДн в ИСПДн с использованием средств автоматизации – это ПП 781, а как только ПДн извлекаются из ИСПДн с использованием средств автоматизации и попадают на материальные носители (диски, дискеты, бумага) появляется ПП 687, в котором устанавливаются требования по учету, хранению и т.п.

или kzi продолжит рекламировать услуги своей фирмы и дальше, пытаюсь сеять панику и пугаю "ужасающими" последствиями?

Ответ:
Я не рекламирую услуги – это запрещено правилами форума, я хочу донести информацию и помочь разобраться в данном вопросе.
Я смотрю на данную проблему как специалист по защите информации и лицензиат ФСТЭК.
Я понимаю, что выполнение этого закона повлечет немалые затраты. Однако закон был принят, и причины его принятия немаловажны. Принятие этого закона – это прежде всего уважение Вас, как человека, имеющего частную жизнь, и попытка защитить Вас от опубликования личной информации и различного рода афер.

[Egregor]

или kzi продолжит рекламировать услуги своей фирмы и дальше, пытаюсь сеять панику и пугаю "ужасающими" последствиями?

Угу, в другой ветке он скромно умолчал про 687-е

[toparenko]

Про редакции документов ФСТЭК: их не совсем 3 (1ю выпустили без редакционной правки, 2ую отредактировали, 3ю утвердили в Минюсте), в целом никаких изменений в плане требований там нет.

1-я редакция в документах разосланных в 2008-м году
2-я редакция в документых рассылавшихся в 2009-м
3-я редакция в выписке, а затем в полностью опубликованных на сайте ФСТЭК документах (для информации вчера 12.11.09 было принято решение о снятии грифа ДСП с 2-х документов и они полностью выложены на сайте ФСТЭК).

Но ни СТР-К, ни один документ из четырехкнижия так и не прошли Минюст до настоящего времени - не вводите людей в заблуждение

Касаемо Парламентских слушаний, где можно об этом посмотреть? Буду признателен за ссылку….

См. на сайте комитета по безопасности Думы - ссылки на раздатку внутри doc-овского анонса по первой ссылке

[Urban]

kzi, почему-то вы упорно игнорируете вот этот абзац:

ПП687:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Другими словами - если данные обрабатываются в 1С (а это всегда с участием человека), то ваше ПП781 на это не распространяется. Значит проблемы то собственно и не возникает.
А защищать по ПП781 нужно системы, которые обрабатывают данные без человека, ну скажем системы, которые например считывают данные людей с анкеты, скажем кредитных, и потом на автомате принимают решение о размере кредита, при этом обрабатывая все ПД такого субъекта.

[kzi]

UrbanВы используете 1С не для расчетов зарплаты? А только для хранения информации о сотрудниках БЕЗ возможности ее изменения, проведения расчетов? А когда приходит новый сотрудник – Вы не добавляете его в эту базу и не считаете его зарплату? Кстати, любой подсчет - это процесс автоматизированный и осуществляется без Вашего участия (т.е. БЕЗ УЧАСТИЯ ЧЕЛОВЕКА!) Все программы (элементарный калькулятор в Windows, а тем более такие как Exel, Word, и тем более такие как 1С) работают на прикладном уровне и выполняют алгоритмы и функции, написанные программистом, и все это - без Вашего участия! Вы даете только команды на исполнение их (запуск, запись, удаление, формулу, печать документов…) все остальное ведется без участия человека! Сейчас компьютеры выполняют до 10 в 15 степени операций в секунду! Вы успеваете все операции отследить и принять в них участие?
Ну и кроме того:

такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных

Использование - не есть изменение или дополнение, а уточнение - это только "сверка" данных, например, с бумажным носителем. Т.е. в данном контексте Вы не имеете права делать с этими данными ничего, кроме чтения и уничтожения. Не говоря уже о составлении нового отчета, документа и пр. А значит, проводя такие действия как изменение или дополнение вы уже не попадаете под этот пункт…

toparenko
В настоящий момент документ, содержащий в себе 2 открытых документа ФСТЭК с пояснениями по спорным вопросам, и с примерным названием «Положение об организации защиты ПДн» проходит регистрацию в Минюсте. Специально звонил, узнавал…

[toparenko]

Вы даете только команды на исполнение их (запуск, запись, удаление, формулу, печать документов…) все остальное ведется без участия человека!

В том то и дело, что без прямой команды человека эти операции произведены не будут - т.ч. уже можно говорить о непосредственном участии человека.

Вы путаете действия с непосредственным участием человека и дейстия производимые исключительно человеком

В настоящий момент документ, содержащий в себе 2 открытых документа ФСТЭК с пояснениями по спорным вопросам, и с примерным названием «Положение об организации защиты ПДн» проходит регистрацию в Минюсте. Специально звонил, узнавал…

Четвертая попытка
Документы так и не получили визу Минфина, о выделении средств на их реализацию - т.ч. вполне вероятна и пятая и т.д. попытки

Кроме того в Думу 12.11.09 подан законопроект № 282499-5, где п.2 ст.19 вместо

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

предлагается изложить как

2. В случая установленных федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.»;

Т.ч. вполне вероятна ситуация, аналогичная СТР-К: Минюст не проходят, обязательны для гос./муниципалов (но учитывая отсутствие финансирования этих вопросов ими не выполняются); для остальных - рекомендательны.

[YUM]

Почитав ветку.
Господа, а можно я задам один простой вопрос?
А мы не идиоты?
Нет? Тогда кто идиот: Подкинувший этот, с позволения сказать, "закон"?
Мы же с Вами прекрасно понимаем, что выполнить его нельзя в принципе!
НУ если только отписок наплодить - мол все завели, все бумаги. А жесткие диски с компов каждый вечер сдаем в специально отведенную комнату...
Дело в том, что к нам постоянно обращаются наши клиенты с воплями: а что ВЫ сделали по защите персональных данных НАШИХ работников?
И чем больше я читаю этот бред, названный Законом Федеральным, тем больше зверею? Алло! КТО ТАМ С КОРРУПЦИЕЙ хотел бороться? Вот Вам пример коррупционного закона. Поборитесь! Ведь единственная его цель - денег нахапать всяким фирмам и чиновникам, выдающим "сертификаты" и прочую макулатуру.
Вам так не думается?

[toparenko]

Тогда кто идиот: Подкинувший этот, с позволения сказать, "закон"?

Здесь у нас все то же, по Черномырдину: "Хотели как лучше. А получилось - как всегда... (с)"

Президент подписал Европейскую Конвенцию, а в "эшелонах Власти" ее текст претерпел такую трансформацию, которую мы сейчас видим и которую даже в этих "эшелонах" уже поняли, что нужно срочно менять.

Мы же с Вами прекрасно понимаем, что выполнить его нельзя в принципе!
НУ если только отписок наплодить - мол все завели, все бумаги. А жесткие диски с компов каждый вечер сдаем в специально отведенную комнату...

Не дочитали Вы, похоже, подзаконные акты...

Дело в том, что к нам постоянно обращаются наши клиенты с воплями: а что ВЫ сделали по защите персональных данных НАШИХ работников?

Здесь 2 варианта действий:
1. Спросить, а что они сами сделали для защиты ПДн своих работников и где согласия их работников на обработку Вами их ПДн
2. Составить дополнение к существующим договорам, с этими клиентами, по обязательствам по защите полученных от них ПДн

Раскрывать, систему защиты клиентам Вы не обязаны - здесь (для коммерческой организации) могут быть только результаты аттестации (по существующим нормам) или результаты независимого аудита (по предлагемым изменениям)