1

Тема: Уровень 3 - Посвящение

Тут обсуждаем вопросы, связанные с третьим уровнем квеста.

2

Re: Уровень 3 - Посвящение

152-ФЗ "О перс данных" п.2 статьи 22 гласит: Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных (то есть Роскомнадзор) обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые
отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект
персональных данных, если персональные данные не распространяются, а также не предоставляются
третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для
исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и
обрабатываемых соответствующими общественным объединением или религиозной организацией,
действующими в соответствии с законодательством Российской Федерации, для достижения законных
целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут
распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на
которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с
федеральными законами статус федеральных автоматизированных информационных систем, а также в
государственные информационные системы персональных данных, созданные в целях защиты безопасности
государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными
законами или иными нормативными правовыми актами Российской Федерации, устанавливающими
требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав
субъектов персональных данных.
Значит не всем надо отправлять уведомление, и так понятно, что в каждой поликлинике, школе, институте ведется обработка ПДн.

Отредактировано alexstec (2011-06-29 22:15:39)

3

Re: Уровень 3 - Посвящение

Так-то, конечно, не всем, но:
1 - защищать все равно требуется, для этого нужна и классификация и прочие параметры, которые указываются в уведомлении;
2 - очень редко, когда персональные данные ограничиваются действующими договорными отношениями, например, если мы устанавливаем окна, то после исполнения договора, мы должны либо удалять данные клиента, либо уведомлять РКН о факте обработки данных. С учениками в школах, по-моему, вообще никаких договоров не заключается, хотя время быстро меняется - могу ошибаться :-)

4

Re: Уровень 3 - Посвящение

"Если в явном виде нам не требуется отправлять персональные данные на домены отличные от зоны RU"
Вы можете отпраить свои данные и на домен в зоне RU, и потадёте на трансграничную передачу. Далеко не все домены в зоне RU находятся на физических серверах в России. Огромное множество доменов RU зарегистрированы на серверах в США, Малайзии и прочее...

5

Re: Уровень 3 - Посвящение

не говорилось о том, что отправки на зону RU никогда не бывают трансграничными. Речь шла о том, что отправка, например, на KZ или COM - это трансграничные транзакции в явном виде.

6

Re: Уровень 3 - Посвящение

admin пишет:

не говорилось о том, что отправки на зону RU никогда не бывают трансграничными. Речь шла о том, что отправка, например, на KZ или COM - это трансграничные транзакции в явном виде.

Да с чего это вдруг??? Домен KZ или COM можно совершенно свободно зарегистрировать на СЕРВЕРЕ, физически находящимся в России. Мало того, этот сервер может даже находиться на соседнем столе!

7

Re: Уровень 3 - Посвящение

В этом и заключаются умение грамотно подходить к организационным мерам и декларации фактов, формально сообщение на @domain.kz может не покидать пределы РФ, но для регулирующих органов - это самая настоящая трансграничная передача, пока Вы не докажете обратное.

8

Re: Уровень 3 - Посвящение

admin пишет:

В этом и заключаются умение грамотно подходить к организационным мерам и декларации фактов, формально сообщение на @domain.kz может не покидать пределы РФ, но для регулирующих органов - это самая настоящая трансграничная передача, пока Вы не докажете обратное.

Не нужно говорить глупость и свято в неё верить! В 152-ФЗ есть чёткое определение трансграничной передачи:

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

Ни про какие домены и речи нет! Накосячили в своих трудах праведных рекламных? Поблагодарите и исправьте...

9

Re: Уровень 3 - Посвящение

У нас охранное предприятие, которое оказывает охранные услуги. Надо-ли уведомлять Роскомнадзор об обработке ПДн, если в 152-ФЗ.Статья 22. Уведомление об обработке персональных данных:

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

т.е. все сотрудники предприятия подпадают под п.2.1 ст.22, а все клиенты - под действие п.2.2 ст.22, которые письменно дают свое согласие на обработку ПДн, но по методике определения класса сети и класса ПДН получается, что эти ПДН подпадают под 2-ю категорию (т.е. ФИО, адрес, ТЛФ, паспортные данные клиента, состав семьи, которые вместе с ним проживают и имеют право снятия с охраны и доверенные лица (ФИО) с № ТЛФ, которые тоже могут снимать с охраны и плюс собаки и кошки (датчики защиты от них)). Как быть в таком случае?

Отредактировано Andrey (2011-07-01 10:34:12)

10

Re: Уровень 3 - Посвящение

Andrey пишет:

У нас охранное предприятие, которое оказывает охранные услуги. Надо-ли уведомлять Роскомнадзор об обработке ПДн, если в 152-ФЗ.Статья 22. Уведомление об обработке персональных данных:

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

т.е. все сотрудники предприятия подпадают под п.2.1 ст.22, а все клиенты - под действие п.2.2 ст.22, которые письменно дают свое согласие на обработку ПДн, но по методике определения класса сети и класса ПДН получается, что эти ПДН подпадают под 2-ю категорию (т.е. ФИО, адрес, ТЛФ, паспортные данные клиента, состав семьи, которые вместе с ним проживают и имеют право снятия с охраны и доверенные лица (ФИО) с № ТЛФ, которые тоже могут снимать с охраны и плюс собаки и кошки (датчики защиты от них)). Как быть в таком случае?

Скажу, что да, ибо.
В пункте 7 рекомендаций по заполнению образца формы уведомления об обработке ПДн есть интересная штука: В поле "категории субъектов, персональные данные которых обрабатываются" указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором) .........."

Так вот о чем я. В законе сказано, что при трудовых отношениях уведомление не требуется. Но в рекомендациях по заполнению уведомления в примере указаны работники. Как это понимать - не знаю, но думаю, что закон главнее smile Что касается клиентов, то все верно. Вообще я считаю, что лучше подать уведомление, лишним не будет.

11

Re: Уровень 3 - Посвящение

Хорошо, если мы уведомляем Роскомнадзор о том, что мы хотим или обрабатываем ПДн, то отсюда сразу всплывает вопрос, а точнее два:
1. Надо-ли тогда получать лицензию в Роскомнадзоре на право обработки, и самое главное на право технической защиты ПДн?
2. Под какую категорию приобретать ПО защиты и какое, да и вообще надо-ли, если у нас доступ к ПДН (1С (Торговля и Зарплата и кадры), которую кстати никогда не сертифицируют, т.к. она на базе MS SQL), а доступ в интернет осуществляется через TrafficInspector по логину и паролю по служебному списку?
ну 3-й вопрос, заодно: Как быть с условием получения лицензии на право обработки ПДн, где сказано, что для получения данной лицензии необходимо  иметь в штате как минимум 2-х сертифицированных специалистов по защите ПДн (не каждая контора сможет себе позволить взять специалиста, а тем более отправить на учебу имеющегося сисадмина).

12

Re: Уровень 3 - Посвящение

Да ещё насчет фразы "лишним не будет...". Получается - если мы уведомляем, что мы обрабатываем ПДн (хотя вроде-бы как и не обязаны по ст.22 п.2), то соответственно нас включают в список операторов ПДн, соответственно заставят получать лицензию на право обработки ПДн и соответственно включают в план проверок по ПДн (а оно нам надо? а если вдруг, что не так окажется при проверке, тем более, что однозначных требований по защите практически нет?).

13

Re: Уровень 3 - Посвящение

Andrey пишет:

2. 1С (Торговля и Зарплата и кадры), которую кстати никогда не сертифицируют, т.к. она на базе MS SQL

Что значит никогда?
1С сертифицировано, пожалуйста приобретайте  8.2z. Данная платформа прошла сертефикацию. При чём здесь MS SQl?

14

Re: Уровень 3 - Посвящение

Уважаемый Andrey.
Давайте определимся с лицензиями:
1) Лицензии на право обработки ПДн не существует.
2) Существует лицензия на техническую защиту конфиденциальной информации (ТЗКИ).

Что касается необходимости ее получения, то формально она нужна. Дело в том, что ТЗКИ - лицензируемый вид деятельности. И да, для ее получения необходимо иметь в штате двух специалистов либо с профильным образованием,либо прошедших обучение по пнрограмме повышения квалификации.
Вы можете не получать лицензию, но в таком случае работы по защите ПДн должны выполняться лицензиатами ФСТЭК, то есть компаниями, у которых такие лицензии есть.

Но фактически, получение лицензии - определенная проблема и, насколько мне известно, 99% их не получают. Кроме того, существует мнение, что в итоге обязательное лицензирование отменят для случаев, когда работы по ТЗКИ осуществляются для себя. Но на сегодня, понятие "для себя" отсутствует и поэтому лицензироваться вроде как нужно. ФСТЭК только на моей памяти дважды письменно это подтверждал.

Я думаю, что если вы решили самостоятельно выполнять работы, то выполняйте. Уверен, что в ближайшее время ситуация с лицензированием должна проясниться.

15

Re: Уровень 3 - Посвящение

Что касается необходимости ее получения, то формально она нужна. Дело в том, что ТЗКИ - лицензируемый вид деятельности. И да, для ее получения необходимо иметь в штате двух специалистов либо с профильным образованием,либо прошедших обучение по пнрограмме повышения квалификации.
>> остается доказать знак равенства между конфиденциальной информацией и ПДн ;-)

16

Re: Уровень 3 - Посвящение

admin пишет:

Что касается необходимости ее получения, то формально она нужна. Дело в том, что ТЗКИ - лицензируемый вид деятельности. И да, для ее получения необходимо иметь в штате двух специалистов либо с профильным образованием,либо прошедших обучение по пнрограмме повышения квалификации.
>> остается доказать знак равенства между конфиденциальной информацией и ПДн ;-)

Нет ничего проще - указ президента №188 "Перечень сведений конфиденциального характера".
Пункт 1. "Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях."

17

Re: Уровень 3 - Посвящение

Вы же, наверное, помните дату вступления в силу этого указа? 2005 год, если не ошибаюсь. В 2007 году появился закон о персональных данных. А доводилось ли Вам слышать о том, что Указ Президента Российской Федерации или его отдельные положения могут прекратить действие в связи с вступлением в силу другого правового акта, устанавливающего иное правовое регулирование общественных отношений. Например, в связи с более поздним вступлением в силу федерального закона по вопросам, решённым более ранними указами Президента, последние утрачивают силу. Так конструкция о равенстве КИ и ПДн несколько теряет в своей устойчивости, или Вам так не кажется?