Jump to content
Калькуляторы

Закон о Персональных данных (ЗоПД) к 1 января 2010 года требует обеспечить достаточный уровень защиты ПД

Все операторы владеют персональной информацией абонентов (ФИО, паспорт, адрес, телефон). Кто какие меры принимает для того, чтобы соответствовать требованиям ЗоПД?

Share this post


Link to post
Share on other sites

Все операторы владеют персональной информацией абонентов (ФИО, паспорт, адрес, телефон). Кто какие меры принимает для того, чтобы соответствовать требованиям ЗоПД?

РСН требовала наличие биллинг с сертификатом. сейфа где договора лежат и обученного сотрудника, ну и не распространять и не публиковать персональные данные ясное дело.

Share this post


Link to post
Share on other sites
ну и не распространять и не публиковать персональные данные ясное дело

отправлять счета в конвертах :)

Share this post


Link to post
Share on other sites
ну и не распространять и не публиковать персональные данные ясное дело
отправлять счета в конвертах :)

можно и без, после того как почте передали пусть она за сохранность ПД печется :), а так мы счета вообще не рассылаем , на личной странице каждый пользователь видит счет и если нужно сам распечатывает.

Share this post


Link to post
Share on other sites
после того как почте передали пусть она за сохранность ПД печется
только вот тогда Почта будет являться "другим лицом, существенным условием договора с которым является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке"...

 

 

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных...

Share this post


Link to post
Share on other sites
можно и без, после того как почте передали пусть она за сохранность ПД печется :)
Ответственность за сохранность ПД несет тот, кто ее обрабатывает, т.е. вы, как оператор. На почту не кивайте.

 

мы счета вообще не рассылаем , на личной странице каждый пользователь видит счет и если нужно сам распечатывает.
Нарушение правил оказания услуг: счет должен быть доставлен абоненту.

Share this post


Link to post
Share on other sites

Нарушение правил оказания услуг: счет должен быть доставлен абоненту.

А он и так доставлен. В личный кабинет пользователя.

Share this post


Link to post
Share on other sites
Нарушение правил оказания услуг: счет должен быть доставлен абоненту.
А он и так доставлен. В личный кабинет пользователя.

Именно так. Об этом и в договоре прописано - счет доставляется пользователю в личный кабинет.

Share this post


Link to post
Share on other sites

Постановление Правительства РФ от 10 сентября 2007 г. N 575 Об утверждении Правил оказания телематических услуг связи.

22. В договоре, заключаемом в письменной форме, должны быть указаны:

...

к) адрес и способ доставки счета за оказанные телематические услуги связи;

Не думаю, что тут имелся ввиду e-mail или Web-адрес.

 

 

Share this post


Link to post
Share on other sites
Постановление Правительства РФ от 10 сентября 2007 г. N 575 Об утверждении Правил оказания телематических услуг связи.
22. В договоре, заключаемом в письменной форме, должны быть указаны:

...

к) адрес и способ доставки счета за оказанные телематические услуги связи;

Не думаю, что тут имелся ввиду e-mail или Web-адрес.

Адрес - город, улица. способ доставки - в личный кобинет пользователя , заходящего в инет с компьютера, расположенного по указанному адресу. Где тут противоречия с законом?

Share this post


Link to post
Share on other sites

Вот еще по теме http://cnews.ru/news/top/index.shtml?2009/06/19/351181

"Роскомнадзор ответил на обращение банкиров по поводу переноса сроков аудита ИС на соответствие 152-ФЗ. Ведомство посчитало, что изменять дату нецелесообразно, однако, признало, что для устранения существующих сложностей возможны изменения в законах, касающихся ПД."

Share this post


Link to post
Share on other sites

Если не перенесут срок вступления в силу закона, то операторам не сладко придется. Большинство должны аттестовать свои информ системы, получить лицензии на комплексную информзащиту и провести еще кучу организационно-технических мероприятий, которые требуют не хилых вложений.

ПС: Договора с абонентами, уже нужно приводить в соответствие с законом оПД

Edited by KlAnIv

Share this post


Link to post
Share on other sites

Мировой судья Западного округа г. Краснодара вынес постановление о назначении административного наказания ОАО «Мобильные ТелеСистемы» за нарушения установленного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Было установлено, что ООО «МТС» осуществляет деятельность с нарушением п. 4 ст. 6 Федерального закона «О персональных данных». В договорах коммерческого представительства и агентских договорах, которые заключает ОАО «МТС», отсутствует существенное условие обязанности обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Также отсутствует информирование лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых ими персональных данных, особенностях и правилах такой обработки, что является нарушением п. 6 постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Кроме того, форма письменного согласия физического лица (абонента) на обработку своих персональных данных, содержащаяся в договоре на предоставление услуг связи ОАО «МТС» и прилагаемых документах, не соответствует требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»... http://www.rsoc.ru/main/about/regional_new...ml?id_news=2803

Share this post


Link to post
Share on other sites

Это только "первые ласточки", пока привязались к форме договора, нарушение, которое проще всего устранить.

Share this post


Link to post
Share on other sites

После Нового года, упростится выявление до не могу: Вот закон! Где лицензия, где аттестация информ системы? (А почти у всех операторов ПД не ниже К2). А кто контролирует по Закону это? ;)

Edited by KlAnIv

Share this post


Link to post
Share on other sites

у меня такая была мысль: удалить из биллинга все данные об абоненте. Для работы с абонентом физлицом достаточно в биллинге иметь номер договора, логин и адрес точки подключения. Все остальное включая паспортные данные , ФИО и т.д. достаточно хранить в договоре в бумажном виде в архиве в сейфе.

Share this post


Link to post
Share on other sites
Не думаю, что тут имелся ввиду e-mail или Web-адрес.
Важно не то, что имелось в виду. Важно, что написано.

Право абонента ничем не нарушено - при условии, если отрицательный баланс лицевого счета не блокирует доступ к личной странице абонента.

Share this post


Link to post
Share on other sites
у меня такая была мысль: удалить из биллинга все данные об абоненте. Для работы с абонентом физлицом достаточно в биллинге иметь номер договора, логин и адрес точки подключения. Все остальное включая паспортные данные , ФИО и т.д. достаточно хранить в договоре в бумажном виде в архиве в сейфе.

Если все было бы так просто то никто бы кипеша и не подымал)))

 

Читаем закон - http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html

 

1. статья 7 п.1 - Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 

2. статья 19 п.1 - Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных (ПД), а также от иных неправомерных действий.

 

Отсюда возникает вопрос - каким образом оператор докажет, что он принял необходимые меры по защите ПД?

 

Если у вас все храниться в сейфе, к вам придет проверка и скажет, ребята покажите как вы защищаете ПД. Вы им указываете на сейф.. они смотрят на него и говорят покажите нам документы, которые подтверждают, что ваша система соответствует всем рекомендациям? и вы плавно пролетаете на штраф.

 

 

Для того, что бы это не случилось у вас должна быть аттестированная система, в которой обрабатываются ПД. (смотри законы о Конфединциальной информации).

 

Система должна быть аттестирована по самому низкому уровню защиты - 1Д, а для этого у вас на предприятии должна быть сделана соответствующая служба безопастности, которая выполняет определенные функции.

Для того, что бы аттестировать систему по уровню защиты нужно подготовить кучу документов согласно СТР-К (данный документ есть только у специализированных компаний, у которых есть специальные лицензии). В интернете лежит старая версия СТР-К можно ее изучить.

 

Можно обраьтиться в контору которая на этом специализируется и они все за вас сделают, кро ме этого нужно помнить, что система должна обслуживаться (это тоже лицензируется)), поэтому либо сами получаете лицензию либо подписываете договор с конторой у которой есть лицензия).

 

 

Share this post


Link to post
Share on other sites

Очередной отъем денег короче... А примерные суммы в расчете на 1 абонента известны?

Share this post


Link to post
Share on other sites
Очередной отъем денег короче... А примерные суммы в расчете на 1 абонента известны?

Это не зависит от количества абонентов. У оператора должна быть построена система и данная система должна пройти атестацию и получить .

 

Стоимость всего этого посчитать трудно((( Атестация системы ЗИ стоит порядка 250 т.р. разработка документации системы ЗИ - как договоришся.. внедрение тоже отдельная песня..

 

Если брать небольшой проект то думаю 0,75 -1 лям... можно уложиться.

Share this post


Link to post
Share on other sites
Статья 1. Сфера действия настоящего Федерального закона

 

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Простите, если я похерю данные абонов из биллинга, оставив только бумажные договора, какую "обработку персональных данных без использования таких средств, соответствующую характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации" я буду совершать? И ведь даже для отсылки счета мне надо знать лишь адрес и № договора. ФИО нехай сами хомяки в квитанцию вписывают!

 

Так что идея с сейфом вполне себе продуктивна.

Edited by Nic

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this