Jump to content

Закон о Персональных данных (ЗоПД)

denis1444
 Share

Recommended Posts

denis1444

denis1444

Posted
Posted

Все операторы владеют персональной информацией абонентов (ФИО, паспорт, адрес, телефон). Кто какие меры принимает для того, чтобы соответствовать требованиям ЗоПД?

roling

roling

Posted
Posted

Все операторы владеют персональной информацией абонентов (ФИО, паспорт, адрес, телефон). Кто какие меры принимает для того, чтобы соответствовать требованиям ЗоПД?

РСН требовала наличие биллинг с сертификатом. сейфа где договора лежат и обученного сотрудника, ну и не распространять и не публиковать персональные данные ясное дело.

roling

roling

Posted
Posted
ну и не распространять и не публиковать персональные данные ясное дело
отправлять счета в конвертах :)

можно и без, после того как почте передали пусть она за сохранность ПД печется :), а так мы счета вообще не рассылаем , на личной странице каждый пользователь видит счет и если нужно сам распечатывает.
Связной (С)

Связной (С)

Posted
Posted
после того как почте передали пусть она за сохранность ПД печется
только вот тогда Почта будет являться "другим лицом, существенным условием договора с которым является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке"...

 

 

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных...

Andrei

Andrei

Posted
Posted
можно и без, после того как почте передали пусть она за сохранность ПД печется :)
Ответственность за сохранность ПД несет тот, кто ее обрабатывает, т.е. вы, как оператор. На почту не кивайте.

 

мы счета вообще не рассылаем , на личной странице каждый пользователь видит счет и если нужно сам распечатывает.
Нарушение правил оказания услуг: счет должен быть доставлен абоненту.
Nickuz

Nickuz

Posted
Posted

Нарушение правил оказания услуг: счет должен быть доставлен абоненту.

А он и так доставлен. В личный кабинет пользователя.

roling

roling

Posted
Posted
Нарушение правил оказания услуг: счет должен быть доставлен абоненту.
А он и так доставлен. В личный кабинет пользователя.

Именно так. Об этом и в договоре прописано - счет доставляется пользователю в личный кабинет.
Andrei

Andrei

Posted
Posted

Постановление Правительства РФ от 10 сентября 2007 г. N 575 Об утверждении Правил оказания телематических услуг связи.

22. В договоре, заключаемом в письменной форме, должны быть указаны:

...

к) адрес и способ доставки счета за оказанные телематические услуги связи;

Не думаю, что тут имелся ввиду e-mail или Web-адрес.

 

 

roling

roling

Posted
Posted
Постановление Правительства РФ от 10 сентября 2007 г. N 575 Об утверждении Правил оказания телематических услуг связи.
22. В договоре, заключаемом в письменной форме, должны быть указаны:

...

к) адрес и способ доставки счета за оказанные телематические услуги связи;

Не думаю, что тут имелся ввиду e-mail или Web-адрес.

Адрес - город, улица. способ доставки - в личный кобинет пользователя , заходящего в инет с компьютера, расположенного по указанному адресу. Где тут противоречия с законом?
roling

roling

Posted
Posted

Вот еще по теме http://cnews.ru/news/top/index.shtml?2009/06/19/351181

"Роскомнадзор ответил на обращение банкиров по поводу переноса сроков аудита ИС на соответствие 152-ФЗ. Ведомство посчитало, что изменять дату нецелесообразно, однако, признало, что для устранения существующих сложностей возможны изменения в законах, касающихся ПД."

  • 1 month later...
KlAnIv

KlAnIv

Posted
Posted (edited)

Если не перенесут срок вступления в силу закона, то операторам не сладко придется. Большинство должны аттестовать свои информ системы, получить лицензии на комплексную информзащиту и провести еще кучу организационно-технических мероприятий, которые требуют не хилых вложений.

ПС: Договора с абонентами, уже нужно приводить в соответствие с законом оПД

Edited by KlAnIv
Связной (С)

Связной (С)

Posted
Posted

Мировой судья Западного округа г. Краснодара вынес постановление о назначении административного наказания ОАО «Мобильные ТелеСистемы» за нарушения установленного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Было установлено, что ООО «МТС» осуществляет деятельность с нарушением п. 4 ст. 6 Федерального закона «О персональных данных». В договорах коммерческого представительства и агентских договорах, которые заключает ОАО «МТС», отсутствует существенное условие обязанности обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Также отсутствует информирование лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых ими персональных данных, особенностях и правилах такой обработки, что является нарушением п. 6 постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Кроме того, форма письменного согласия физического лица (абонента) на обработку своих персональных данных, содержащаяся в договоре на предоставление услуг связи ОАО «МТС» и прилагаемых документах, не соответствует требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»... http://www.rsoc.ru/main/about/regional_new...ml?id_news=2803

KlAnIv

KlAnIv

Posted
Posted (edited)

После Нового года, упростится выявление до не могу: Вот закон! Где лицензия, где аттестация информ системы? (А почти у всех операторов ПД не ниже К2). А кто контролирует по Закону это? ;)

Edited by KlAnIv
  • 2 weeks later...
Salvador()

Salvador()

Posted
Posted

у меня такая была мысль: удалить из биллинга все данные об абоненте. Для работы с абонентом физлицом достаточно в биллинге иметь номер договора, логин и адрес точки подключения. Все остальное включая паспортные данные , ФИО и т.д. достаточно хранить в договоре в бумажном виде в архиве в сейфе.

Антон Богатов

Антон Богатов

Posted
Posted
Не думаю, что тут имелся ввиду e-mail или Web-адрес.
Важно не то, что имелось в виду. Важно, что написано.

Право абонента ничем не нарушено - при условии, если отрицательный баланс лицевого счета не блокирует доступ к личной странице абонента.

spavlov

spavlov

Posted
Posted
у меня такая была мысль: удалить из биллинга все данные об абоненте. Для работы с абонентом физлицом достаточно в биллинге иметь номер договора, логин и адрес точки подключения. Все остальное включая паспортные данные , ФИО и т.д. достаточно хранить в договоре в бумажном виде в архиве в сейфе.

Если все было бы так просто то никто бы кипеша и не подымал)))

 

Читаем закон - http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html

 

1. статья 7 п.1 - Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 

2. статья 19 п.1 - Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных (ПД), а также от иных неправомерных действий.

 

Отсюда возникает вопрос - каким образом оператор докажет, что он принял необходимые меры по защите ПД?

 

Если у вас все храниться в сейфе, к вам придет проверка и скажет, ребята покажите как вы защищаете ПД. Вы им указываете на сейф.. они смотрят на него и говорят покажите нам документы, которые подтверждают, что ваша система соответствует всем рекомендациям? и вы плавно пролетаете на штраф.

 

 

Для того, что бы это не случилось у вас должна быть аттестированная система, в которой обрабатываются ПД. (смотри законы о Конфединциальной информации).

 

Система должна быть аттестирована по самому низкому уровню защиты - 1Д, а для этого у вас на предприятии должна быть сделана соответствующая служба безопастности, которая выполняет определенные функции.

Для того, что бы аттестировать систему по уровню защиты нужно подготовить кучу документов согласно СТР-К (данный документ есть только у специализированных компаний, у которых есть специальные лицензии). В интернете лежит старая версия СТР-К можно ее изучить.

 

Можно обраьтиться в контору которая на этом специализируется и они все за вас сделают, кро ме этого нужно помнить, что система должна обслуживаться (это тоже лицензируется)), поэтому либо сами получаете лицензию либо подписываете договор с конторой у которой есть лицензия).

 

 

spavlov

spavlov

Posted
Posted
Очередной отъем денег короче... А примерные суммы в расчете на 1 абонента известны?

Это не зависит от количества абонентов. У оператора должна быть построена система и данная система должна пройти атестацию и получить .

 

Стоимость всего этого посчитать трудно((( Атестация системы ЗИ стоит порядка 250 т.р. разработка документации системы ЗИ - как договоришся.. внедрение тоже отдельная песня..

 

Если брать небольшой проект то думаю 0,75 -1 лям... можно уложиться.

Nic

Nic

Posted
Posted (edited)
Статья 1. Сфера действия настоящего Федерального закона

 

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Простите, если я похерю данные абонов из биллинга, оставив только бумажные договора, какую "обработку персональных данных без использования таких средств, соответствующую характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации" я буду совершать? И ведь даже для отсылки счета мне надо знать лишь адрес и № договора. ФИО нехай сами хомяки в квитанцию вписывают!

 

Так что идея с сейфом вполне себе продуктивна.

Edited by Nic

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.