Сообщений в теме: 60

[bms]

На завтра 20-11-2009 в ГД предположительно назначено рассмотрение двух законопроектов об отсрочке ч.3 ст.25 ЗоЗПД до 01.01.2011 (или 01.01.2012)

http://asozd2.duma.g...&RN=262191-5


бум посмотреть 

Рассмотрение Советом Государственной Думы законопроекта, представленного ответственным комитетом
 
внести законопроект на рассмотрение Государственной Думы 17.11.2009 151, п.89
снять законопроект с рассмотрения Государственной Думы в связи с отзывом субъектом права законодательной инициативы 19.11.2009 153, п.59

[Dsmol]

Электронная регистрационная карта на законопроект № 262191-5
снять законопроект с рассмотрения Государственной Думы в связи с отзывом субъектом права законодательной инициативы 19.11.2009 153, п.59

Да, уже в курсе - будем ждать результатов от обсуждения 284213-5

[KZI]

Dsmol пожалуйста, появилась новая редакция брошюры (смотреть внизу)
19.11.2009 снят законопроект с рассмотрения Государственной Думы в связи с отзывом субъектом права законодательной инициативы.
Сейчас появились другие, которые также будут рассматриваться. Переноса на 2 года скорее всего не будет, разве что на год и только для ИСПДн, созданных до 2006г, т.е. до вступления ФЗ-152 в силу.
Никто не спорит, что есть определенные пробелы в законе. И каждая организация должна понимать, насколько это ей необходимо и принимать меры по защите или нет. Но и стоимость защиты зависит напрямую от размеров организации, а точнее на скольких компьютерах ведется обработка ПДн. Поэтому, если это одна-две машины в маленькой организации, то стоимость близка к цене, которую указал Тракторист. Наши расценки чуть меньше, куда входит сертифицированное средство защиты информации типа Secret-net с электронным замком, антивирус. И работа: поставка, установка, настройка, аттестации системы. Разумеется без разработки документов, которые должны быть.


a-ilinуже направлять ничего не надо, можно посмотреть эти документы на сайте ФСТЭК:
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Документ MS Word) (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/...vs/recomend.doc

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Документ MS Word) Пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.
http://www.fstec.ru/...vs/metodika.doc

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (Документ MS Word) (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/...ropriaytiay.doc

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(выписка) (архив RAR) (При рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.)
http://www.fstec.ru/_spravs/model.rar

Порядок проведения классификации смотреть тут: Приказ ФСТЭК, ФСБ, Роскомнадзора № 55/86/20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных» - также на их сайте.

Прикрепленные файлы

•  ZI_PDn.pdf   2.6МБ   415 скачиваний

[Server]

Коллеги, у нас идут переговоры с одной зарубежной фирмой. Она прописала в договоре, что вправе передавать любым своим аффиллированным лицам нашу "деловую контактную информацию", в т.ч. деловой адрес, телефоны и прочую информацию, относящуюся к бизнесу клиента (идет ссылка на закон "О персональных данных"), а мы предоставляем ей такое право. Не понимаю, причем здесь этот закон? Ведь он в данном случае не имеет отношения к деловой информации компании?

Сообщение отредактировал Server: 26 November 2009 - 13:17

[Platosha]

Может в "деловую контактную информацию" включаются сведения о сотрудниках?

[Rickoshet]

Да, уже в курсе - будем ждать результатов от обсуждения 284213-5 

Интересная получается ситуация - многие знают и понимают, что приводить ИБдн в соответствие с законодательством необходимо, но большинство ждет продления срока приведения в соответствие. Т.о. получается, что никто не "шевелился" по данному вопросу и в случае не принятия нового срока ни одна компания не будет соответствовать требованиям установленным законом. Это по-русски - АВОСЬ примут!

[malotavr]

Да, уже в курсе - будем ждать результатов от обсуждения 284213-5 

Интересная получается ситуация - многие знают и понимают, что приводить ИБдн в соответствие с законодательством необходимо, но большинство ждет продления срока приведения в соответствие. Т.о. получается, что никто не "шевелился" по данному вопросу и в случае не принятия нового срока ни одна компания не будет соответствовать требованиям установленным законом. Это по-русски - АВОСЬ примут!

Ситуация еще интереснее, чем вам представляется

Те, кто профессионально занимается этим вопросом, знают, что нужно не просто "привести в соответствие с законодательством", а принять меры по обеспечению информационной безопаности, установленные правительством (ч. 2 статьи 19 ФЗ). Так вот, до 01.01.2010 отсался месяц, а правительство все еще не установило эти требования. Оно дало поручение ФСБ и ФСТЭК разработать эти требования, проекты требований разработаны, но ни ФСБ, ни ФСТЭК их до сих пор не передали их на утверждение.

Так что не в тот огород камень

[Grey Khan]

На мой взгляд ситуация не столь уж безнадежная. Все эти положения, методики и проч. от ФСБ и ФСТЭК можно спокойно проигнорировать, поскольку они юридически ничтожны. Ребята из правительства поручили организовать защиту персональных данных ФСБ и родственной этому почтенному учреждению структуре, ну да они еще бы МВД поручили.
Все эти организации призваны охранять государство, и в связи с этим ограничивать права граждан. Ну, вот они написали, как умели, полностью проигнорировав в своих документах права субъекта персональных данных. Вот, к примеру, я как субъект персональных данных не хочу, чтобы мой домашний адрес защищался оператором по кем-то придуманной третьей категории. Не хочу также, чтобы компьютер, на котором обрабатываются мои персональные данные, проверялся ребятами из соответствующих органов, и чтобы на нем работало ПО, этими органами же и разработанное. И имею на это конституционное право. Но меня почему-то об этом спросить забыли. Этой дурацкой ситуацией, похоже, озаботился и законодатель, внеся ФЗ № 282499-5, который в скором времени должен быть рассмотрен. И в котором прямо прописано: “ При обработке персональных данных на основе согласия перечень мер по обеспечению безопасности персональных данных при их обработке определяется соглашением оператора и субъекта персональных данных”. Так, что на все эти бумажки от ФСБ и ФСТЭК в части защиты персональных данных можно, как говорится “наплевать и забыть”. А оператору озаботится разработкой и подписанием приличного соглашения с субъектом.

[Rickoshet]

Друзья, товарищи и все, все, все!

Уж 14.12 на дворе!

Как дела с 284213-5!? Какие новости? Говорят, что продления срока не будет (((

[veneta]

Друзья, товарищи и все, все, все!

Уж 14.12 на дворе!

Как дела с 284213-5!? Какие новости? Говорят, что продления срока не будет (((

Исходя из этой информации надо ждать 16.12.2009

http://www.duma.gov.....jsp?c=284213-5

[Тракторист]

Что ждем одобрение Советом Федерации!?
Если сенаторы одобрят, то призидент подпишет!

[GeorgeOK]

Дело, господа, не только в соблюдении информационной безопасности. Если придёт ФСТЭК - будет проверять ВСЕ требования закона. А у кого в договорах имеются пункты о защите персональных данных, о конфедициальности? Или получено согласие контрагентов - физ лиц на разрешение на обработку персональных данных? Потому как вопрос не стоит только в защите персональных данных работников. Так что информационная безопасность систем - только одна сторона медали.

[Rickoshet]

Ну что там!? Как дела!?

[Аlis]

Ну что там!? Как дела!?

Рассмотрение закона на заседании Совета Федерации:
закон одобрен
направлен Президенту РФ 25.12.2009
соответствующее уведомление направлено в ГД 25.12.2009
http://www.duma.gov.....jsp?c=284213-5

[Lelick]

Закон написан конечно же

я вот че понял. Если ты хочешь обрабатывать ПД то ты их квалицицируешь (К1, К2, К3, или К4) если твоя база ПД относится к К1-3 то уведомляешь орган

Статья 22. Уведомление об обработке персональных данных  
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных...
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;....

я так понил, что ООО ведущее бух и заключающее договоры не создаёт Базу ПД, следовательно не должно её защищать, сертифицировать компы и прочее... я прав?

Сообщение отредактировал Lelick: 27 January 2010 - 19:47

[intacto]

Я работаю в фирме, которая занимается внедрением инф. систем. В том числе там присутствуют ПД. Приходится работать с разными клиентами одновременно. И как это все должно быть по этому закону?

[akcon]

Немного подниму тему.
Сам только озадачился, поэтому просто напишу что надо для защиты ПД, а остальные поправьте меня. Итак:
1. Положение о защите ПД;
2. Инструкция для работников обеспечивающих обработку ПД;
3. Приказ РД об утверждении полжения;
4. Приказ о назначении лица (подраздленеия), ответсвенным за обеспечение безопасности;
5. Список лиц, которые имеют доступ к ПД;
6. Заяввление лица на обработку ПД;
7. Договор с работником об обработке ПД или доп. соглашение к уже заключенному ТД;
Это все!??? Поправьте.
У меня вопрос к тем, кто уже все это сделал. Как лучше сделать доп. соглашение или договор отдельно?

[Fess]

akcon, не хочу перебивать Вашу тему, но как-то вопрос давно висит, вдруг кто поделится мыслями. Да и из Вашего вопроса выудил ответ на собственный вопрос, вот и хочу продолжить размышления.

Предоставление персональных данных - это договор? И охраняются эти данные по двустороннему договору?
Если договор, то он регулируется видимо ГК?

[akcon]

Fess не совсем так, вернее можно договор, а можно и доп. соглашение, т.к. и тот и другой документ будет регулироватьтся и ТК и Законом 152-ФЗ, + поставновление правительсьтва сюда до кучи 781, поэтому я для себя пока не пойму как лучше, допник к трудовому или отдельный договор. На форуме однозначного ответа не увидел, поэтому мне кажется так, что раз будет регулироваться ТК, то удобнее доп. соглашение к ТД. Но готов осуждать обратное. А ГК здесь при чем будет?

Сообщение отредактировал akcon: 08 April 2010 - 19:19

[Fess]

Fess не совсем так, вернее можно договор, а можно и доп. соглашение, т.к. и тот  и другой документ будет регулироватьтся и ТК и Законом 152-ФЗ, + поставновление правительсьтва сюда до кучи 781, поэтому я для себя пока не пойму как лучше, допник к трудовому или отдельный договор. На форуме однозначного ответа не увидел, поэтому мне кажется так, что  раз будет регулироваться ТК, то удобнее доп. соглашение к ТД. Но готов осуждать обратное. А ГК здесь при чем будет?

Я просто в другом разрезе смотрю, персональные данные могут быть не только у работника, но и у покупателя.

Допник к договору - это тоже договор, если он соответствует определению (взаимные обязательства и прочее).

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных


1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Воля и интерес - явно гражданские правоотношения. (Ну в вашем случае трудовое право применимо в силу указания закона). Вот соответсвенно и вывод, чьто "предоставление ПД - есть акт заключения договора". Условия в законе названы... Но есть у меня несколько коллег, которые думают, что это не договор. Отсюда и вопрос.

[akcon]

Вот соответсвенно и вывод, чьто "предоставление ПД - есть акт заключения договора". Условия в законе названы... Но есть у меня несколько коллег, которые думают, что это не договор. Отсюда и вопрос.

Ну обычно в договоре прописываю, что вся информация по договору конфедециальна. Но в договоре между юр. лицами, указывают все реквизиы, а они не подпадают под определение ПД, да еще они и открытие, поэтому я здесь не вижу

"предоставление ПД - есть акт заключения договора"

а отношения конечно гражданско-правовые.

[Fess]

Вот соответсвенно и вывод, чьто "предоставление ПД - есть акт заключения договора". Условия в законе названы... Но есть у меня несколько коллег, которые думают, что это не договор. Отсюда и вопрос.

Ну обычно в договоре прописываю, что вся информация по договору конфедециальна. Но в договоре между юр. лицами, указывают все реквизиы, а они не подпадают под определение ПД, да еще они и открытие, поэтому я здесь не вижу

"предоставление ПД - есть акт заключения договора"

а отношения конечно гражданско-правовые.

Ползователь сайта отправляет ПД постоянно, и эти данные охраняются законом и по идее должны регулироваться договором, а пользование сайтом - это пользование услугой, соответственно тоже договор.

[cdpksintez]

Подскажите, пожалуйста. У нас центр детских клубов. При приеме в клуб ребенка родитель пишет заявление, где указывает: "Использовать персональные данные о ребенке для внутреннего учета разрешаю". Но, например, для участия в соревнованиях в другом районе та сторона просит предоставить копии паспортов детей, чтобы убедиться, что играют заявленные участники. Скажите, пожалуйста, имеем ли мы право передать данные ребенка другим лицам?

[Lelick]

никуда не продвинулось а эти .. люди уже запросы посылают делать то что

Добавлено немного позже:
зы ссылки на аналогичные темы чтоб потом не искать

http://forum.yurclub...howtopic=276938
http://forum.yurclub...8

Прикрепленные изображения

• 

[Аlis]

Здравствуйте.
Согласно п.п. 1 п. 2 ст. 6 ФЗ о перс. данных СПД не требуется в случае, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
В ФЗ-1 «об ЭЦП», в моём понимании, прописаны все требования:
Цель – п. 1 ст. 5 «Создание ключей электронных цифровых подписей осуществляется для использования в: информационной системе общего пользования ее участником или по его обращению удостоверяющим центром; корпоративной информационной системе в порядке, установленном в этой системе.».
Условия получения – п. 2 ст. 9 «Изготовление сертификатов ключей подписей осуществляется на основании заявления участника информационной системы, которое содержит сведения, указанные в статье 6 ФЗ-1 и необходимые для идентификации владельца сертификата ключа подписи и передачи ему сообщений. Заявление подписывается собственноручно владельцем сертификата ключа подписи. Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов.».
Круг субъектов – ст. 3 (понятия) «пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;».
Полномочия оператора – ст. 9 (статус УЦ), 13 (приостановление действия СКП), 14 (аннулирование СКП).
Правильно ли я понимаю, что при выпуске СКП удостоверяющими центрами и, соответственно, при обработке перс. данных согласия субъекта не требуется?
Спасибо.