[Firsa]

Уважаемые форумчане, интересуюсь вопросом о Федеральном законе Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

В принципе, под действия этого закона подпадают практически все Юр лица и ИП,где работает более 1го человека (к таковым относятся, как я понимаю только те Индивидуальные предприниматели, где в штате кроме него самого больше никого нет по документам), но вот интересный вопрос получается с провайдерами, ведь МЫ с вами заключаем договор (сбор персональных данных) с физическими лицами, и потом (что вполне логично)или заводим их в Биллинговую систему или храним договор с ними у себя в сейфах (а это уже хранение персональных данных).

По данному закону, ЛЮБОЙ пользователь имеет право прийти к нам с таким вопросом: А КАК ВЫ ХРАНИТЕ МОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ??? Ну...далее...можно и до суда дойти....

Внимание Вопрос: Если с документами все более-менее понятно - должно все быть под замком в сейфах или типа того, то не понятноследующее:

Есть ли какие-нибудь требования, !!!ПРЕДЪЯВЛЯЕМЫЕ К ПРОВАЙДЕРАМ!!!! на этот счет? Может быть что-то с СОРМом связано? Может какие-нибудь супер файерволы должны стоять? Даже не знаю куда и копать начинать 0_о Ведь все это в электронном виде.

Изменено 15 июля, 2011 пользователем Firsa

[ush]

Для начала можно почитать: http://ispdn.ru/

Начать можон с FAQ: http://ispdn.ru/basis/

[naves]

http://www.opennet.ru/opennews/art.shtml?num=31157 и далее по ссылке

довольно доступно написано хоть и реклама одного известного в России фаерволла

[Владимир Подзоров]

Есть ли какие-нибудь требования, !!!ПРЕДЪЯВЛЯЕМЫЕ К ПРОВАЙДЕРАМ!!!! на этот счет?

 

Особых требований к операторам связи закон не устанавливает. Требования общие.

 

Может быть что-то с СОРМом связано?

 

Выполнение СОРМ никак не связано с требованиями по защите перс.данных, установленными 152-ФЗ.

 

Даже не знаю куда и копать начинать 0_о Ведь все это в электронном виде.

 

Начните с того, что прочитайте 152-ФЗ,

затем Межведомственный приказ о классификации систем перс.данных,

и 58-ой приказ ФСТЭК.

 

В результате у вас сложится достаточно целостная картина того, чего от вас хочет регулятор и что нужно делать.

 

Затем вам нужно:

- документально описать имеющиеся в организации информационные системы обработки персональных данных, их назначение, состав данных, правовые основания для их обработки, обозначить круг лиц, работающих с персональными данными и имеющих к ним доступ;

- для всех ресурсов и подсистем, содержащих персональные данные, определить их статус (на основании чего они созданы: для исполнения договора об оказании услуг связи, в соответствии с законодательством, по собственной инициативе и т.п.);

- уточнить и зафиксировать состав персональных данных и источники их получения (от клиента, из публичных источников, от третьих лиц и т.п.);

- установить сроки хранения и сроки обработки данных в каждой инф. системе;

- определить способы обработки (автоматизированная, ручная...);

- определить лиц, имеющих доступ к данным;

- сформулировать юридические последствия обработки персональных данных (см. 152-ФЗ, готовимся к запросу от субъекта ПД);

- определить порядок реагирования на возможные обращения субъектов персональных данных, возможные варианты ответов и действий;

- определиться с классом своей системы (для оператора домосети скорее всего К3);

- подготовить ряд нормативных документов (google поможет), описывающих модели угроз и средства защиты персональных данных от этих угроз;

- направлении уведомление об обработке перс.данных в Роскомнадзор (а оно вам надо, т.к. пп.2 п.2 ст.22 152-ФЗ к Вам скорее всего не относится в связи с СОРМ и передачей перс.данных в ФСБ, с возможной передачей перс.данных абонентов зоновому оператору/оператору МГМН телефонии, и тп..);

- внимательно прочитать, разобраться в ст.6 152-ФЗ, и определиться с необходимостью получения согласия субъектов на обработку их перс.данных, в случае необходимости - разработать форму и получить согласие каждого субъекта на обработку его персональных данных, причем такое согласие помимо всего прочего обязательно должно содержать собственноручную подпись субъекта (либо его цифровую подпись);

- обеспечить защиту персональных данных техническими и организационными методами (в соответствии с классом ПД, актуальными угрозами, которые вы можете сами определить, руководствуясь методиками ФСТЭКа).

 

Ещё порекомендовал бы Вам найти и заключить договор с адекватным лицензиатом ФСТЭК, который за небольшие деньги взялся бы оценить все те документы, что вы подготовите, всю вашу систему документов и мер по защите.

Т.к. существует некоторая неразбериха относительно того, вправе ли предприятие, не имеющее лицензии ФСТЭК, само внутри себя выполнить комплекс мер по защите перс.данных. (Я бы прикрылся договором с лицензиатом.)

 

 

Может какие-нибудь супер файерволы должны стоять?

 

Всё зависит от того, какой вы присвоите класс перс.данным и как организуете/опишете свою систему.

Допустим, если вы обезличите данные об абонентах в биллинге, заменив их имена-фамилии и паспортные данные на внутренние идентификаторы, а привязку идентификаторов к именам и пасп.данным будете хранить на отдельном защищенном рабочем месте, не подключенном ни к каким сетям, то фаерволов не понадобится.

 

PS

Внимание Вопрос: Если с документами все более-менее понятно - должно все быть под замком в сейфах или типа того,

 

Документы на бумаге тоже надо защищать в соответствии со 152-ФЗ

[yxzz]

В ближайшее время этот "закон" получит второе дыхание. Вчера, когда по всем федеральным каналам показывали, как Медведев сокрушался по поводу замедления роста Российской экономики, по РБК показывали какого-то ментального онаниста из совета федерации, который долго и нудно рассуждал о необходимости повышения штрафов за несоблюдения этого "закона" до 700 000 р.

Сегодня попытался прочесть тот бред, который написан в чудо документе, но самостоятельно осилить не смог, сходил в контору, которая проводит комплекс мероприятий по приведению деятельности фирмы в соответствия с "законом", услышал много слов о карах за несоблюдение, что простому смертному соблюсти просто так не получиться и нужно заплатить в какую-то фирму от 170 000 р. до 800 000 р. что бы они привели все в порядок. Так что осенью должна начаться веселуха и любимый связьнадзор начнет дое..ть еще и этой ахинеей.

[skriposhka]

Огромная просьба к тем, кто ввел у себя необходимую документацию по обработке Пдн, продайте или подарите комплект документов по обработе ПДн у оператора связи!)

[QWE]

кто знает компании помогающие решить вопросы по получению сертификата под второй уровень 152-ФЗ? просьба скинуть

Изменено 12 ноября, 2014 пользователем QWE