[АВС]

У нас тут проверка планируется, прислали список необходимых документов. Ни у кого случайно не завалялось типовых образцов планов? Можно за пиво/колу/деньги и т. п.

[SNEG]

а проверяют по какой теме ?

 

[АВС]

обычная плановая проверка связьнадзора. с недавних пор кроме всего прочего проверяют еще и документы, касающиеся персональных данных. около 30 штук, блин, по списку

[roling]

У нас тут проверка планируется, прислали список необходимых документов. Ни у кого случайно не завалялось типовых образцов планов? Можно за пиво/колу/деньги и т. п.

А список озвучить можно? Было бы познавательно.

[АВС]

вот

Утвержденное положение о порядке обработки персональных данных в ООО "ХХХ".

Сведения о наличии архива в организации.

Сведения о лицах - сотрудниках ООО "ХХХ", осуществляющих обработку персональных данных, а так же об информировании этих лиц о факте обработки ими персональных данных.

Документы, содержащие согласие физических лиц на обработку их персональных данных согласно ч.1 ст.6, ч.З ст.9, ч.4 ст.9 Федерального закона от 27.07.2006 152-ФЗ "О персональных данных" (при наличии).

Сведения об уведомлениях субъектов персональных данных о прекращении обработки информации о них и уничтожении их персональных данных в соответствии с ч. 4 ст. 21 Федерального закона от 27.07.2006 152-ФЗ " О персональных данных" (акт об уничтожении персональных данных субъекта(ов)).

Копия уведомления об обработке персональных данных.

Должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных.

План мероприятий по защите персональных данных.

План внутренних проверок состояния защиты персональных данных.

Приказ о назначении ответственных лиц по работе с персональными данными.

Типовые формы документов, предполагающие или допускающие содержание персональных данных.

Журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях.

Приказы об утверждении мест хранения материальных носителей персональных данных.

Распечатки электронных шаблонов полей, содержащие персональные данные.

Справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных.

Заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов).

Приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов).

Журналы (книги) учета обращений граждан (субъектов персональных данных).

Иные документы, необходимые для осуществления контроля и надзора в сфере защиты прав субъектов персональных данных.

 

[Andrei]

Не слабо так...

[roling]

Да внушительно, хотя в общем ничего особенного, за исключением пары - тройки пунктов:

Утвержденное положение о порядке обработки персональных данных в ООО "ХХХ".

Я так понимаю положение утверждается директором организации, которая и обрабатывает данные.

Сведения о наличии архива в организации.

Тут тоже все просто - архив или есть или его нет. Если есть, то должен быть отдельно от текущего документооборота и каким то образом сохранятся (тут от объема зависит, в одном случае и металлический шкаф подойдет, в другом боец с автоматом нужен)

Сведения о лицах - сотрудниках ООО "ХХХ", осуществляющих обработку персональных данных, а так же об информировании этих лиц о факте обработки ими персональных данных.

Ну тут просто реестр и журнал, единственно что лица должны быть надежные. Вроде как без судимостей и прочая.

Документы, содержащие согласие физических лиц на обработку их персональных данных согласно ч.1 ст.6, ч.З ст.9, ч.4 ст.9 Федерального закона от 27.07.2006 152-ФЗ "О персональных данных" (при наличии).

Тоже просто, формы есть, остается их заполнять.

Сведения об уведомлениях субъектов персональных данных о прекращении обработки информации о них и уничтожении их персональных данных в соответствии с ч. 4 ст. 21 Федерального закона от 27.07.2006 152-ФЗ " О персональных данных" (акт об уничтожении персональных данных субъекта(ов)).

Тут есть подводные камни, но в целом все тоже просто.

Копия уведомления об обработке персональных данных.

Вот тут не совсем понятно о какой копии речь? Скорее всего о том уведомлении что при начале обработки должны были в РСН посылать.

Должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных.

Опять таки регламент он регламент и есть.

План мероприятий по защите персональных данных.

Сильно напоминает план СОРМ :) Интересно этот план где то визировать надо?

План внутренних проверок состояния защиты персональных данных.

Ну это тоже бюрократия. Нарисовал график и спи спокойно.

Приказ о назначении ответственных лиц по работе с персональными данными.

Ничего страшного , приказом больше. ну и т.д Опасение и сомнения вызывают только следующие пункты:

Справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных. - Это я так понимаю, что компьютер на котором база стоит должен на балансе числится, а не быть из дома принесенным? Или тут какие то особые требования подразумеваются типа наличия сертификатов на него и т.д.

Заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов).

Сильный пункт - кстати а кто то встречал порядок проведения такой экспертизы? Тут одно дело использовать сертифицированные производителем средства, и совсем другое - сертифицировать свою собственную систему.

Приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов). Вот тут тоже много непонятного, кто такую комиссию создает, кто участвует. Только ли внутри организации или же кого то со стороны приглашать надо. И самое главное на основании каких критериев комиссия делает вывод и кто его оспорить может. А то назову я свою систему 4 класса и все тут, а придет проверка и начнет доказывать , что система 1-го класса.

А так в общем и целом как всегда - закон есть, нормативов и самое главное вдумчивых пояснений на конкретных примерах раз два и обчелся. Одна надежда что всем миром глядишь и приспособимся :)

 

[Erlang]

Утвержденное положение о порядке обработки персональных данных в ООО "ХХХ".

Надзор и это стал спрашивать?

На основании чего?

Хотя я наверное знаю как обойти.

 

 

АВС

Какие лицензии?

 

[Антон Богатов]

*Риторически с пафосом: Ну почему... почему в России любую благую идею извратят и превратят в источник бессмысленного геморроя?

 

Дурдом.

[АВС]

АВС

Какие лицензии?

Телематические услуги связи

[Erlang]

*Риторически с пафосом: Ну почему... почему в России любую благую идею извратят и превратят в источник бессмысленного геморроя?

 

Дурдом.

Антон, видимо на один отдел скинули.

Вот они и отчитываются комплексно.

 

 

 

[xoid]

Ну как, чем закончилась проверка?

[kb441ate]

Антон, прошу разжевать: что необходимо в данном случае, чтобы это не являлось источником бессмысленного геморроя?

[Erlang]

АВС может поделитесь?

 

[BeS]

Как раз в тему-тема :)

Интересно как это сочетается с СОРМ? Для ФСБ можно предоставлять данные на абонентов без оглядки на ЗПД?

Из жизни.

Приятель построил сетку в поселке ( 200 абонентов) все сделал как велели: лицензия ТУС, проект, построили все грамотно. Решили сдаваться в надзор. Пошли в ФСБ просить не вводить ОРМ. Им разрешили (пока) не устанавливать, но затребовали предоставлять данные по трафику абонов, оплатам ( оказанных услугах), и персональных данных. По сути ОРМ и есть. Но передавать на СД дисках ежеквартально (как то так). И что, ЭТО нормально? Сидят думают как быть. Не предоставить - против ветра ссать, предоставить - нарушить ЗПД.

[Nickuz]

В ЗПД же написано, что он не распространяется на случаи, когда речь идет о защите интересов государства и прочей лабуде. Тут ФСБ как раз в теме.

[Царефф]

Для ФСБ можно предоставлять данные на абонентов без оглядки на ЗПД

И без т.н. ЗПД распространение информации, ставшей известной в ходе исполнения договора, запрещалось нормой в ФЗ О связи.

Но и допускалось, а точнее вменялось другим законом. об ОРД. коль уж придерживаться сокращений.

 

По сабжу, операторы связи до кучи являются операторами обработки пернсональных данных (могет не точен в терминологии), но не суть. В общем тот же гос орган теперь помимо контроля за выполнением лицензионных условий, использования частот и др., контролирует и выполнение требований ЗПД. Ну а к кому ему проще идтить то, кроме как к своим уже подконтрольным и за одну проверку деятельности в области связи проводить проверку по выполнению требований ЗПД.

[Erlang]

Интересно как это сочетается с СОРМ? Для ФСБ можно предоставлять данные на абонентов без оглядки на ЗПД?

Из жизни.

Приятель построил сетку в поселке ( 200 абонентов) все сделал как велели: лицензия ТУС, проект, построили все грамотно. Решили сдаваться в надзор. Пошли в ФСБ просить не вводить ОРМ. Им разрешили (пока) не устанавливать, но затребовали предоставлять данные по трафику абонов, оплатам ( оказанных услугах), и персональных данных. По сути ОРМ и есть. Но передавать на СД дисках ежеквартально (как то так).

Из Жизни:

Приятель раскрывает Систему ОРМ - что не есть хорошо.

Ему пошли на уступку - А он...

Пора Приятелю СОРМ устанавливать - сразу непонятки уйдут.

 

Антон, может пора статью написать: "Персональные данные и СОРМ", как-то так.

Попкорн уже закуплен, в хорошем смысле :О)

 

 

[Нерубящий инспектор]

Раньше при запросе какой либо служебной информации интересовались - а есть ли у нас полномочия. Теперь же посылают нах, ссылаясь на закон о персональных данных и объясняют

"Если мы Вам это предоставим, то Вы нас же за это и поимеете

[Erlang]

Теперь же посылают нах

Часто Ваши требовали не свое и работали "на сторону".

Может и отголоски тоже, а не только ПД...

 

 

[Нерубящий инспектор]

Сергей, при проверки жалоб сложно сказать зараннее, нуны эта инфа или нет. Взять например жалоба на низкую скорость.

Пингами ессно здесь не обойдешься

Или жалоба на по левому начисленные деньги.

Изменено 8 декабря, 2009 пользователем Нерубящий инспектор

[Erlang]

Нерубящий инспектор я немножко о другом писал.

 

А по сути Вашего вопроса:

- Язык мой - Враг мой.

И Конституция о этом говорит.

Засим:

- Приходите с проверкой по Закону и данными.

Жалоба: - документы

Жалоба: - документы

....

 

[Царефф]

Антон, может пора

Какому Антону та? :-)

Если мне то, не вижу смысла писать статью:

1. на хлеб не очень помагает зарабатывать

2. нет особой проблемы на мой взгляд.

Правильно обрабатывать информацию и предоставлять ее же в установленном законом Об ОРД порядке.

Теперь же посылают нах, ссылаясь на закон

Да и раньше на закон надо было ссылаться, только на ФЗ О связи, который отчасти уже содержал нормы по защите персональных данных.

Ну а на счет посылать, это да...- проводилась тут одна проверочка в отношении купленного. Очень вежливо просили не спрашивать откуда у них информация об абонентах 8-)

[Нерубящий инспектор]

Есть еще и закон о порядке рассмотрения жалоб. То же до того феделальный, что дальше некуда.

[Галушко Дмитрий]

Есть еще и закон о порядке рассмотрения жалоб. То же до того феделальный, что дальше некуда.

Только жалобы рассмариваются по понятиям, а не по закону (из личной практики)...