Перейти к содержимому
Калькуляторы

Вопрос про персональные данные

Ткните пожалуйста ссылкой или просто объясните, вопрос такой:

Исходные данные:

1. Есть персональные данные - имя, фамилия, моб. телефон

2. Есть база данных куда оно заносится для предоставление услуг по договору с субъектом ПД

 

Собственно вопросы:

1. Это персональные данные и надо обзывать себя оператором обрабатывающим ПД, слать уведомление в РСН или необязательно?

2. База данных - судя по всему называется автоматизированной системой обработки ПД, если да, то надо ли проводить сертификацию и какая процедура, какие требования?

 

Заранее спасибо за ответы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Уведомлять не надо если ПДн получены из заключенного договора, они не распространяются, не предоставляются без согласия, используются исключительно для исполнения договора.

2. База это база, обработка идет через ИС.

Вроде нужно классифицировать систему и оформить актом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде нужно классифицировать систему и оформить актом.

не могу найти в законе ничего об этом, может не там ищу? Вроде есть ссылка на правила, но там ничего нет, кроме того, что за это отвечает ФСБ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приказ ФСТЭК России, ФСБ России и Мининформсвязи России 2008 55/86/20 Порядок проведения классификации информационных систем персональных данных

ПП РФ 2007 781 Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приказ ФСТЭК России, ФСБ России и Мининформсвязи России 2008 55/86/20 Порядок проведения классификации информационных систем персональных данных

ПП РФ 2007 781 Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Спасибо! То, что нужно. =)

 

Теперь возникает такой вопрос:

"2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)" - я что, сам могу провести классификацию и оформить акт про это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)" - я что, сам могу провести классификацию и оформить акт про это?
Создаете комиссию, читаете приказ 2008 55/86/20, смотрите таблицу классов и выносите решение отнести ИС предприятия к такому то классу. У нас в регионе Роскомнадзор рекомендует копию решения комиссии им отсылать вместе с уведомлением о обработке персональных данных.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделитесь пожалуйста кто-нибудь рыбой такого решения, в самом простом варианте, может не жалко кому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделитесь пожалуйста кто-нибудь рыбой такого решения, в самом простом варианте, может не жалко кому.
Вот примерно так :

 

Оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:

- категория обрабатываемых персональных данных;

- объем обрабатываемых персональных данных;

- тип информационной системы;

- структура информационной системы и местоположение ее технических средств;

- режимы обработки персональных данных;

- режимы разграничения прав доступа пользователей;

- наличие подключений к сетям общего пользования и(или) сетям международного информационного обмена.

 

Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные.

 

Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

 

Классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн.

 

Вот удобная электронная форма оформления акта http://www.reignvox.ru/classifier_act.php

 

Вот образец

 

Утверждаю

 

А К Т

 

Классификации информационной системы персональных данных ООО "ХХХХХ"

 

 

 

В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 и Приказом от _____________ № ____ Комиссия в составе председателя - ___________________. и членов: ________________________________________________________________________________

_________ произвела классификацию информационной системы персональных данных ООО "ХХХХХ" и установила нижеследующее:

 

 

 

1. В информационной системе персональных данных (ИСПДн) обрабатываются персональные данные категории 3 - ПДн, позволяющие идентифицировать субъекта ПДн.

 

2. В ИСПДн одновременно обрабатываются данные субъектов в количестве менее 1 000 субъектов ПДн.

 

3. По структуре ИСПДн относится к локальной информационной системе, состоящей из комплексов АРМ, объединенных в единую ИС без использования технологии удаленного доступа.

 

4. По наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющие подключения.

 

5. По режиму обработки персональных данных в информационной системе ИСПДн относится к однопользовательским.

 

6. По разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа.

 

7. В зависимости от местонахождения технических средств ИСПДн относится к системам, все технические средства которых находятся в пределах Российской Федерации.

 

8. В соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20, ИСПДн относится к типовым класса К3, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.

 

 

 

Председатель комиссии: __________________________________________________

 

Члены комиссии: ________________________________________________________

Изменено пользователем roling

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я вот не понимаю зачем Вам лишние проблемы? Теперь каждый интернет-магазин будете регистрировать как оператора по обработке??? Бред! Я звонил в роскомнадзор, сказали что хостинг-операторам, организациям проводящими соц. опросы и т.д. не обязательно.

Галочки о том что юзер согласен на обработку ПД, и о том что они не будут переданы третьим лицам достаточно.

(вот что конечно делать если передаете, я не спрашивал =) )

 

Я просто полагаю что не так-то просто все это оформить. Классифицировать, а потом накопится больше данных - а значит новый класс, опять все заново оформлять/переоформлять - ну нафиг.

Изменено пользователем artellab

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати Роскомнадзоры теперь не просто требуют уведомление о обработке персональных данных, но и письмо о отсутствии необходимости обработки :)

В противном случае суды по представлению Роскомнадзора штрафуют по по ст.19.7. КоАП РФ примерно на 3000 рублей с такой вот формулировкой

"За непредставление в адрес Управления Роскомнадзора сведений, предоставление которых предусмотрено законом и необходимо для осуществления государственным органом его законной деятельности, а именно: за непредставление сведений о направлении юридическим лицом уведомления об обработке персональных данных либо аргументированного ответа об обработке персональных данных без уведомления уполномоченного органа"
Изменено пользователем roling

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спустя год после переноса срока приведения информационных систем в соответствие с законом «О персональных данных» до 1 января 2011 г., менее чем за месяц до наступления этой даты, Госдума почти единогласно приняла в первом чтении очередную отсрочку. В новом законопроекте говорится, что операторы должны выполнить эти работы до наступления 2012 г.

http://www.cnews.ru/news/top/index.shtml?2010/12/08/419341

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Закон "о персональных данных" отсрочен не до 2012, а до 1-го илюля 2011 федеральным законом №359 И то, насколько я понимаю, это касается только старых информационных систем, а новые уже сначала 2011 года должны разрабатываться с соответствием фз-152

Изменено пользователем Дятел

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По сути: перс. данные - фетиш.

Но у Надзору надщо псотавить галочку, что и этот Оператор отчитался.

 

Однако, надо понимать, что соответствие ИС ФЗ оПДн будут проверяться в плановые проверки каждого конкретного Оператора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.