Jump to content
Калькуляторы

Вопрос про персональные данные

Ткните пожалуйста ссылкой или просто объясните, вопрос такой:

Исходные данные:

1. Есть персональные данные - имя, фамилия, моб. телефон

2. Есть база данных куда оно заносится для предоставление услуг по договору с субъектом ПД

 

Собственно вопросы:

1. Это персональные данные и надо обзывать себя оператором обрабатывающим ПД, слать уведомление в РСН или необязательно?

2. База данных - судя по всему называется автоматизированной системой обработки ПД, если да, то надо ли проводить сертификацию и какая процедура, какие требования?

 

Заранее спасибо за ответы.

Share this post


Link to post
Share on other sites

1. Уведомлять не надо если ПДн получены из заключенного договора, они не распространяются, не предоставляются без согласия, используются исключительно для исполнения договора.

2. База это база, обработка идет через ИС.

Вроде нужно классифицировать систему и оформить актом.

Share this post


Link to post
Share on other sites

Вроде нужно классифицировать систему и оформить актом.

не могу найти в законе ничего об этом, может не там ищу? Вроде есть ссылка на правила, но там ничего нет, кроме того, что за это отвечает ФСБ.

Share this post


Link to post
Share on other sites

Приказ ФСТЭК России, ФСБ России и Мининформсвязи России 2008 55/86/20 Порядок проведения классификации информационных систем персональных данных

ПП РФ 2007 781 Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Share this post


Link to post
Share on other sites
Приказ ФСТЭК России, ФСБ России и Мининформсвязи России 2008 55/86/20 Порядок проведения классификации информационных систем персональных данных

ПП РФ 2007 781 Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Спасибо! То, что нужно. =)

 

Теперь возникает такой вопрос:

"2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)" - я что, сам могу провести классификацию и оформить акт про это?

Share this post


Link to post
Share on other sites
"2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)" - я что, сам могу провести классификацию и оформить акт про это?
Создаете комиссию, читаете приказ 2008 55/86/20, смотрите таблицу классов и выносите решение отнести ИС предприятия к такому то классу. У нас в регионе Роскомнадзор рекомендует копию решения комиссии им отсылать вместе с уведомлением о обработке персональных данных.

 

Share this post


Link to post
Share on other sites

Поделитесь пожалуйста кто-нибудь рыбой такого решения, в самом простом варианте, может не жалко кому.

Share this post


Link to post
Share on other sites
Поделитесь пожалуйста кто-нибудь рыбой такого решения, в самом простом варианте, может не жалко кому.
Вот примерно так :

 

Оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:

- категория обрабатываемых персональных данных;

- объем обрабатываемых персональных данных;

- тип информационной системы;

- структура информационной системы и местоположение ее технических средств;

- режимы обработки персональных данных;

- режимы разграничения прав доступа пользователей;

- наличие подключений к сетям общего пользования и(или) сетям международного информационного обмена.

 

Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные.

 

Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

 

Классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн.

 

Вот удобная электронная форма оформления акта http://www.reignvox.ru/classifier_act.php

 

Вот образец

 

Утверждаю

 

А К Т

 

Классификации информационной системы персональных данных ООО "ХХХХХ"

 

 

 

В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 и Приказом от _____________ № ____ Комиссия в составе председателя - ___________________. и членов: ________________________________________________________________________________

_________ произвела классификацию информационной системы персональных данных ООО "ХХХХХ" и установила нижеследующее:

 

 

 

1. В информационной системе персональных данных (ИСПДн) обрабатываются персональные данные категории 3 - ПДн, позволяющие идентифицировать субъекта ПДн.

 

2. В ИСПДн одновременно обрабатываются данные субъектов в количестве менее 1 000 субъектов ПДн.

 

3. По структуре ИСПДн относится к локальной информационной системе, состоящей из комплексов АРМ, объединенных в единую ИС без использования технологии удаленного доступа.

 

4. По наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющие подключения.

 

5. По режиму обработки персональных данных в информационной системе ИСПДн относится к однопользовательским.

 

6. По разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа.

 

7. В зависимости от местонахождения технических средств ИСПДн относится к системам, все технические средства которых находятся в пределах Российской Федерации.

 

8. В соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20, ИСПДн относится к типовым класса К3, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.

 

 

 

Председатель комиссии: __________________________________________________

 

Члены комиссии: ________________________________________________________

Edited by roling

Share this post


Link to post
Share on other sites

Я вот не понимаю зачем Вам лишние проблемы? Теперь каждый интернет-магазин будете регистрировать как оператора по обработке??? Бред! Я звонил в роскомнадзор, сказали что хостинг-операторам, организациям проводящими соц. опросы и т.д. не обязательно.

Галочки о том что юзер согласен на обработку ПД, и о том что они не будут переданы третьим лицам достаточно.

(вот что конечно делать если передаете, я не спрашивал =) )

 

Я просто полагаю что не так-то просто все это оформить. Классифицировать, а потом накопится больше данных - а значит новый класс, опять все заново оформлять/переоформлять - ну нафиг.

Edited by artellab

Share this post


Link to post
Share on other sites

Кстати Роскомнадзоры теперь не просто требуют уведомление о обработке персональных данных, но и письмо о отсутствии необходимости обработки :)

В противном случае суды по представлению Роскомнадзора штрафуют по по ст.19.7. КоАП РФ примерно на 3000 рублей с такой вот формулировкой

"За непредставление в адрес Управления Роскомнадзора сведений, предоставление которых предусмотрено законом и необходимо для осуществления государственным органом его законной деятельности, а именно: за непредставление сведений о направлении юридическим лицом уведомления об обработке персональных данных либо аргументированного ответа об обработке персональных данных без уведомления уполномоченного органа"
Edited by roling

Share this post


Link to post
Share on other sites
Спустя год после переноса срока приведения информационных систем в соответствие с законом «О персональных данных» до 1 января 2011 г., менее чем за месяц до наступления этой даты, Госдума почти единогласно приняла в первом чтении очередную отсрочку. В новом законопроекте говорится, что операторы должны выполнить эти работы до наступления 2012 г.

http://www.cnews.ru/news/top/index.shtml?2010/12/08/419341

Share this post


Link to post
Share on other sites

Закон "о персональных данных" отсрочен не до 2012, а до 1-го илюля 2011 федеральным законом №359 И то, насколько я понимаю, это касается только старых информационных систем, а новые уже сначала 2011 года должны разрабатываться с соответствием фз-152

Edited by Дятел

Share this post


Link to post
Share on other sites

По сути: перс. данные - фетиш.

Но у Надзору надщо псотавить галочку, что и этот Оператор отчитался.

 

Однако, надо понимать, что соответствие ИС ФЗ оПДн будут проверяться в плановые проверки каждого конкретного Оператора.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this