[denis1444]

Все операторы владеют персональной информацией абонентов (ФИО, паспорт, адрес, телефон). Кто какие меры принимает для того, чтобы соответствовать требованиям ЗоПД?

[roling]

Все операторы владеют персональной информацией абонентов (ФИО, паспорт, адрес, телефон). Кто какие меры принимает для того, чтобы соответствовать требованиям ЗоПД?

РСН требовала наличие биллинг с сертификатом. сейфа где договора лежат и обученного сотрудника, ну и не распространять и не публиковать персональные данные ясное дело.

[denis1444]

http://www.kommersant.ru/doc.aspx?DocsID=1176806

Вот здесь статья про это.

У кого какие мысли?

[Связной (С)]

ну и не распространять и не публиковать персональные данные ясное дело

отправлять счета в конвертах :)

[roling]

ну и не распространять и не публиковать персональные данные ясное дело

отправлять счета в конвертах :)

можно и без, после того как почте передали пусть она за сохранность ПД печется :), а так мы счета вообще не рассылаем , на личной странице каждый пользователь видит счет и если нужно сам распечатывает.

[Связной (С)]

после того как почте передали пусть она за сохранность ПД печется

только вот тогда Почта будет являться "другим лицом, существенным условием договора с которым является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке"...

 

 

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных...

[Andrei]

можно и без, после того как почте передали пусть она за сохранность ПД печется :)

Ответственность за сохранность ПД несет тот, кто ее обрабатывает, т.е. вы, как оператор. На почту не кивайте.

 

мы счета вообще не рассылаем , на личной странице каждый пользователь видит счет и если нужно сам распечатывает.

Нарушение правил оказания услуг: счет должен быть доставлен абоненту.

[Nickuz]

Нарушение правил оказания услуг: счет должен быть доставлен абоненту.

А он и так доставлен. В личный кабинет пользователя.

[roling]

Нарушение правил оказания услуг: счет должен быть доставлен абоненту.

А он и так доставлен. В личный кабинет пользователя.

Именно так. Об этом и в договоре прописано - счет доставляется пользователю в личный кабинет.

[Andrei]

Постановление Правительства РФ от 10 сентября 2007 г. N 575 Об утверждении Правил оказания телематических услуг связи.

22. В договоре, заключаемом в письменной форме, должны быть указаны:

...

к) адрес и способ доставки счета за оказанные телематические услуги связи;

Не думаю, что тут имелся ввиду e-mail или Web-адрес.

 

 

[roling]

Постановление Правительства РФ от 10 сентября 2007 г. N 575 Об утверждении Правил оказания телематических услуг связи.

22. В договоре, заключаемом в письменной форме, должны быть указаны:

...

к) адрес и способ доставки счета за оказанные телематические услуги связи;

Не думаю, что тут имелся ввиду e-mail или Web-адрес.

Адрес - город, улица. способ доставки - в личный кобинет пользователя , заходящего в инет с компьютера, расположенного по указанному адресу. Где тут противоречия с законом?

[roling]

Вот еще по теме http://cnews.ru/news/top/index.shtml?2009/06/19/351181

"Роскомнадзор ответил на обращение банкиров по поводу переноса сроков аудита ИС на соответствие 152-ФЗ. Ведомство посчитало, что изменять дату нецелесообразно, однако, признало, что для устранения существующих сложностей возможны изменения в законах, касающихся ПД."

[KlAnIv]

Если не перенесут срок вступления в силу закона, то операторам не сладко придется. Большинство должны аттестовать свои информ системы, получить лицензии на комплексную информзащиту и провести еще кучу организационно-технических мероприятий, которые требуют не хилых вложений.

ПС: Договора с абонентами, уже нужно приводить в соответствие с законом оПД

Edited August 18, 2009 by KlAnIv

[Связной (С)]

Мировой судья Западного округа г. Краснодара вынес постановление о назначении административного наказания ОАО «Мобильные ТелеСистемы» за нарушения установленного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Было установлено, что ООО «МТС» осуществляет деятельность с нарушением п. 4 ст. 6 Федерального закона «О персональных данных». В договорах коммерческого представительства и агентских договорах, которые заключает ОАО «МТС», отсутствует существенное условие обязанности обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Также отсутствует информирование лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых ими персональных данных, особенностях и правилах такой обработки, что является нарушением п. 6 постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Кроме того, форма письменного согласия физического лица (абонента) на обработку своих персональных данных, содержащаяся в договоре на предоставление услуг связи ОАО «МТС» и прилагаемых документах, не соответствует требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»... http://www.rsoc.ru/main/about/regional_new...ml?id_news=2803

[KlAnIv]

Это только "первые ласточки", пока привязались к форме договора, нарушение, которое проще всего устранить.

[Связной (С)]

нарушение, которое проще всего устранить

да и выявить...

[KlAnIv]

После Нового года, упростится выявление до не могу: Вот закон! Где лицензия, где аттестация информ системы? (А почти у всех операторов ПД не ниже К2). А кто контролирует по Закону это? ;)

Edited August 19, 2009 by KlAnIv

[Salvador()]

у меня такая была мысль: удалить из биллинга все данные об абоненте. Для работы с абонентом физлицом достаточно в биллинге иметь номер договора, логин и адрес точки подключения. Все остальное включая паспортные данные , ФИО и т.д. достаточно хранить в договоре в бумажном виде в архиве в сейфе.

[Антон Богатов]

Не думаю, что тут имелся ввиду e-mail или Web-адрес.

Важно не то, что имелось в виду. Важно, что написано.

Право абонента ничем не нарушено - при условии, если отрицательный баланс лицевого счета не блокирует доступ к личной странице абонента.

[spavlov]

у меня такая была мысль: удалить из биллинга все данные об абоненте. Для работы с абонентом физлицом достаточно в биллинге иметь номер договора, логин и адрес точки подключения. Все остальное включая паспортные данные , ФИО и т.д. достаточно хранить в договоре в бумажном виде в архиве в сейфе.

Если все было бы так просто то никто бы кипеша и не подымал)))

 

Читаем закон - http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html

 

1. статья 7 п.1 - Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 

2. статья 19 п.1 - Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных (ПД), а также от иных неправомерных действий.

 

Отсюда возникает вопрос - каким образом оператор докажет, что он принял необходимые меры по защите ПД?

 

Если у вас все храниться в сейфе, к вам придет проверка и скажет, ребята покажите как вы защищаете ПД. Вы им указываете на сейф.. они смотрят на него и говорят покажите нам документы, которые подтверждают, что ваша система соответствует всем рекомендациям? и вы плавно пролетаете на штраф.

 

 

Для того, что бы это не случилось у вас должна быть аттестированная система, в которой обрабатываются ПД. (смотри законы о Конфединциальной информации).

 

Система должна быть аттестирована по самому низкому уровню защиты - 1Д, а для этого у вас на предприятии должна быть сделана соответствующая служба безопастности, которая выполняет определенные функции.

Для того, что бы аттестировать систему по уровню защиты нужно подготовить кучу документов согласно СТР-К (данный документ есть только у специализированных компаний, у которых есть специальные лицензии). В интернете лежит старая версия СТР-К можно ее изучить.

 

Можно обраьтиться в контору которая на этом специализируется и они все за вас сделают, кро ме этого нужно помнить, что система должна обслуживаться (это тоже лицензируется)), поэтому либо сами получаете лицензию либо подписываете договор с конторой у которой есть лицензия).

 

 

[Nic]

Очередной отъем денег короче... А примерные суммы в расчете на 1 абонента известны?

[spavlov]

Очередной отъем денег короче... А примерные суммы в расчете на 1 абонента известны?

Это не зависит от количества абонентов. У оператора должна быть построена система и данная система должна пройти атестацию и получить .

 

Стоимость всего этого посчитать трудно((( Атестация системы ЗИ стоит порядка 250 т.р. разработка документации системы ЗИ - как договоришся.. внедрение тоже отдельная песня..

 

Если брать небольшой проект то думаю 0,75 -1 лям... можно уложиться.

[Nic]

Статья 1. Сфера действия настоящего Федерального закона

 

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Простите, если я похерю данные абонов из биллинга, оставив только бумажные договора, какую "обработку персональных данных без использования таких средств, соответствующую характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации" я буду совершать? И ведь даже для отсылки счета мне надо знать лишь адрес и № договора. ФИО нехай сами хомяки в квитанцию вписывают!

 

Так что идея с сейфом вполне себе продуктивна.

Edited September 4, 2009 by Nic

[Антон Богатов]

Не храните в биллинге паспортные данные и место жительства абонента. ФИО можно.

[SmokerMan]

Так работать же будет невозможно...