Barcha Опубликовано 15 сентября, 2010 · Жалоба Ткните пожалуйста ссылкой или просто объясните, вопрос такой: Исходные данные: 1. Есть персональные данные - имя, фамилия, моб. телефон 2. Есть база данных куда оно заносится для предоставление услуг по договору с субъектом ПД Собственно вопросы: 1. Это персональные данные и надо обзывать себя оператором обрабатывающим ПД, слать уведомление в РСН или необязательно? 2. База данных - судя по всему называется автоматизированной системой обработки ПД, если да, то надо ли проводить сертификацию и какая процедура, какие требования? Заранее спасибо за ответы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Связной (С) Опубликовано 15 сентября, 2010 · Жалоба 1. Уведомлять не надо если ПДн получены из заключенного договора, они не распространяются, не предоставляются без согласия, используются исключительно для исполнения договора. 2. База это база, обработка идет через ИС. Вроде нужно классифицировать систему и оформить актом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barcha Опубликовано 16 сентября, 2010 · Жалоба Вроде нужно классифицировать систему и оформить актом. не могу найти в законе ничего об этом, может не там ищу? Вроде есть ссылка на правила, но там ничего нет, кроме того, что за это отвечает ФСБ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Связной (С) Опубликовано 16 сентября, 2010 · Жалоба Приказ ФСТЭК России, ФСБ России и Мининформсвязи России 2008 55/86/20 Порядок проведения классификации информационных систем персональных данных ПП РФ 2007 781 Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barcha Опубликовано 16 сентября, 2010 · Жалоба Приказ ФСТЭК России, ФСБ России и Мининформсвязи России 2008 55/86/20 Порядок проведения классификации информационных систем персональных данныхПП РФ 2007 781 Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Спасибо! То, что нужно. =) Теперь возникает такой вопрос: "2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)" - я что, сам могу провести классификацию и оформить акт про это? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roling Опубликовано 17 сентября, 2010 · Жалоба "2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)" - я что, сам могу провести классификацию и оформить акт про это? Создаете комиссию, читаете приказ 2008 55/86/20, смотрите таблицу классов и выносите решение отнести ИС предприятия к такому то классу. У нас в регионе Роскомнадзор рекомендует копию решения комиссии им отсылать вместе с уведомлением о обработке персональных данных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barcha Опубликовано 20 сентября, 2010 · Жалоба Поделитесь пожалуйста кто-нибудь рыбой такого решения, в самом простом варианте, может не жалко кому. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roling Опубликовано 20 сентября, 2010 (изменено) · Жалоба Поделитесь пожалуйста кто-нибудь рыбой такого решения, в самом простом варианте, может не жалко кому.Вот примерно так : Оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются: - категория обрабатываемых персональных данных; - объем обрабатываемых персональных данных; - тип информационной системы; - структура информационной системы и местоположение ее технических средств; - режимы обработки персональных данных; - режимы разграничения прав доступа пользователей; - наличие подключений к сетям общего пользования и(или) сетям международного информационного обмена. Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные. Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение. Классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн. Вот удобная электронная форма оформления акта http://www.reignvox.ru/classifier_act.php Вот образец Утверждаю А К Т Классификации информационной системы персональных данных ООО "ХХХХХ" В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 и Приказом от _____________ № ____ Комиссия в составе председателя - ___________________. и членов: ________________________________________________________________________________ _________ произвела классификацию информационной системы персональных данных ООО "ХХХХХ" и установила нижеследующее: 1. В информационной системе персональных данных (ИСПДн) обрабатываются персональные данные категории 3 - ПДн, позволяющие идентифицировать субъекта ПДн. 2. В ИСПДн одновременно обрабатываются данные субъектов в количестве менее 1 000 субъектов ПДн. 3. По структуре ИСПДн относится к локальной информационной системе, состоящей из комплексов АРМ, объединенных в единую ИС без использования технологии удаленного доступа. 4. По наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющие подключения. 5. По режиму обработки персональных данных в информационной системе ИСПДн относится к однопользовательским. 6. По разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа. 7. В зависимости от местонахождения технических средств ИСПДн относится к системам, все технические средства которых находятся в пределах Российской Федерации. 8. В соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20, ИСПДн относится к типовым класса К3, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных. Председатель комиссии: __________________________________________________ Члены комиссии: ________________________________________________________ Изменено 20 сентября, 2010 пользователем roling Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barcha Опубликовано 21 сентября, 2010 · Жалоба Спасибо огромное! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artellab Опубликовано 21 сентября, 2010 (изменено) · Жалоба Я вот не понимаю зачем Вам лишние проблемы? Теперь каждый интернет-магазин будете регистрировать как оператора по обработке??? Бред! Я звонил в роскомнадзор, сказали что хостинг-операторам, организациям проводящими соц. опросы и т.д. не обязательно. Галочки о том что юзер согласен на обработку ПД, и о том что они не будут переданы третьим лицам достаточно. (вот что конечно делать если передаете, я не спрашивал =) ) Я просто полагаю что не так-то просто все это оформить. Классифицировать, а потом накопится больше данных - а значит новый класс, опять все заново оформлять/переоформлять - ну нафиг. Изменено 21 сентября, 2010 пользователем artellab Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roling Опубликовано 25 октября, 2010 (изменено) · Жалоба Кстати Роскомнадзоры теперь не просто требуют уведомление о обработке персональных данных, но и письмо о отсутствии необходимости обработки :) В противном случае суды по представлению Роскомнадзора штрафуют по по ст.19.7. КоАП РФ примерно на 3000 рублей с такой вот формулировкой "За непредставление в адрес Управления Роскомнадзора сведений, предоставление которых предусмотрено законом и необходимо для осуществления государственным органом его законной деятельности, а именно: за непредставление сведений о направлении юридическим лицом уведомления об обработке персональных данных либо аргументированного ответа об обработке персональных данных без уведомления уполномоченного органа" Изменено 25 октября, 2010 пользователем roling Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roling Опубликовано 9 декабря, 2010 · Жалоба Спустя год после переноса срока приведения информационных систем в соответствие с законом «О персональных данных» до 1 января 2011 г., менее чем за месяц до наступления этой даты, Госдума почти единогласно приняла в первом чтении очередную отсрочку. В новом законопроекте говорится, что операторы должны выполнить эти работы до наступления 2012 г. http://www.cnews.ru/news/top/index.shtml?2010/12/08/419341 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ienifer Опубликовано 17 февраля, 2011 (изменено) · Жалоба Закон "о персональных данных" отсрочен не до 2012, а до 1-го илюля 2011 федеральным законом №359 И то, насколько я понимаю, это касается только старых информационных систем, а новые уже сначала 2011 года должны разрабатываться с соответствием фз-152 Изменено 17 февраля, 2011 пользователем Дятел Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 17 февраля, 2011 · Жалоба По сути: перс. данные - фетиш. Но у Надзору надщо псотавить галочку, что и этот Оператор отчитался. Однако, надо понимать, что соответствие ИС ФЗ оПДн будут проверяться в плановые проверки каждого конкретного Оператора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...