Персональные данные

[1076]

Operator написал:

1076 написал:
Ну  если нет  у  меня  1с , и сертифицированных продуктов  тоже  нет .
Заявить  в  качестве  СЗИ  в ИСПДН я  могу  только  продукт  с  сертификатом  .

С  этим  не  станете  спорить ?

1С или иное не причём. Причём класс.

Для  типовых  все  так ,

2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

В  моем  случае система  специальная ,  :|

[Operator]

1076 написал:
Любой биллинг -  это  специальная  система...

Что такое биллинг? В НПА нет такого понятия.

[1076]

Читаем  П8

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Если буквально понимать  все  эти  мутные  приказы  ,  то  типовая  система  - это РС  без  сети и  дискетка  в  сейфе  -  которую  периодически вынимают  и  вставляют  в  комп.

Все  остальные  системы обеспечивают дополнительные  характеристики.

Система  автоматизированных  расчетов(в  нашем случае ИСПДН) - то есть  биллинг  еще  и  автоматически создает юридически  значимые  последствия  для  субъекта  ПДН -  ему  начисляется(списывается)  абонплата

[Operator]

Надо дождаться принятия сего ЗП, а потом:

5. Если у лица, ответственного за организацию обработки персональных данных, возникнут сомнения относительно того, каким образом необходимо толковать (применять) ту или иную норму законодательства Российской Федерации в области персональных данных, оно вправе обратиться в уполномоченный орган по защите прав субъектов персональных данных за соответствующим разъяснением.»;

[1076]

Operator написал:
Надо дождаться принятия сего ЗП, а потом:

5. Если у лица, ответственного за организацию обработки персональных данных, возникнут сомнения относительно того, каким образом необходимо толковать (применять) ту или иную норму законодательства Российской Федерации в области персональных данных, оно вправе обратиться в уполномоченный орган по защите прав субъектов персональных данных за соответствующим разъяснением.»;

я  вот  по  аналогии   лично обратился в тер управление  по  поводу  нумерации каналов -  ответа  никакого  не получил

[scopus]

Так это замечательная ситуация: есть исх., есть вх., есть уведомление о вручении запроса и нет ответа. Раз нет ответа,то нет и притензий со стороны проверящих.

[Operator]

scopus написал:
Так это замечательная ситуация: есть исх., есть вх., есть уведомление о вручении запроса и нет ответа. Раз нет ответа,то нет и притензий со стороны проверящих.

За неответ на запрос, в установленные законом сроки, материальная ответственность чиновника.

[Operator]

1076 написал:

Operator написал:
Надо дождаться принятия сего ЗП, а потом:

5. Если у лица, ответственного за организацию обработки персональных данных, возникнут сомнения относительно того, каким образом необходимо толковать (применять) ту или иную норму законодательства Российской Федерации в области персональных данных, оно вправе обратиться в уполномоченный орган по защите прав субъектов персональных данных за соответствующим разъяснением.»;

я  вот  по  аналогии   лично обратился в тер управление  по  поводу  нумерации каналов -  ответа  никакого  не получил

И какого ответа ты ждал?

[Alexam]

Закон достаточно сильно переработан, но непонятностей меньше не стало:
Введена ст.18-1 , которая определяет, что

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К числу таких мер могут, в частности, относиться:

То есть Оператор сам всё определяет, но далее куча статей со словами "обязан", и, боюсь, трактовать можно, как угодно. В общем с разбегу пока не разобрался, что кто когда обязан, а когда не очень.
  Обязательного уведомления не введено - все исключения остались, хотя некоторые фразы с трудом можно понять.
  Правительству дано больше полномочий - значит произвола добавлено, но это тоже не однозначно.
   Не понятно, кто и как будет определять достаточно ли мер для защиты, а, самое неприятно, что РКН может подать в суд о признании стандарта безопасности несоответствующим ст. 19, которая согласно ст. 18-1 уже не обязательна.
   В общем, произвол обеспечен однозначно: для кого-то РКН будет признавать меры достаточными, а для кого-то нет.

[Operator]

Alexam написал:
...Обязательного уведомления не введено - все исключения остались,...

Поспешил, попробуй объединить 152-ФЗ и ЗП в один документ...

[Alexam]

Не введено, значит, не введено Изучением в совокупности и занимаюсь.

[Operator]

Рассмотрение ЗП в плане СФ на 298 заседании 22.06.2011 незначится, но на 297 было рассмотрено 2 вопроса из плана на 298-е. Может протащат, сроки то поджимают.

[Инга]

Спасибо всем большое за помощь, вроде разобралась немного. Еще пообщалась на эту тему с представителем РКН.
Для себя вынесла следующее. Оператором ПД мы являемся, уведомление в РКН отправлять надо, т.к. в своей работе мы можем использовать ПД третьих лиц, с которыми нас не связывают договорные отношения (пример: родившие женщины для начисления пособий предоставляют свидетельство о рождении ребенка (т.е. ПД на ребенка), а с ребенком у нас нет договорных отношений - это я не сама придумала). Что касается защиты, мы пока решили замки установить на обычные офисные шкафы, где хранится информация с ПД, ограниченный доступ в серверную, а в автоматизированных базах используем пароли и разграничение доступа. Если придет проверка, пусть сами доказывают, что это недостаточная защита (хотя, может и достаточная). Плюс к этому надо будет еще написать кучу инструкций и приказов о назначении ответственных, о мерах и угрозах и т.д. Но этим думаю заняться уже после принятия изменений в ФЗ.

[Alexam]

Приказы и инструкции надо писать не зависимо от изменений в ФЗ. Для членов ассоциации мы образцы разрабатывали и рассылали;)
 Уведомление можно и не писать на самом деле.

[Alexam]

Народ сильно возражает против данного законопроекта

[Operator]

Alexam написал:
Народ сильно возражает против данного законопроекта

Гарант тоже возражал, а его опять обманули!

[atec]

Operator написал:

Alexam написал:
Народ сильно возражает против данного законопроекта

Гарант тоже возражал, а его опять обманули!

Бедный Гарант, все его постоянно обманывают .....прям жалко становится человека ;)

[Thi]

atec написал:

Operator написал:

Alexam написал:
Народ сильно возражает против данного законопроекта

Гарант тоже возражал, а его опять обманули!

Бедный Гарант, все его постоянно обманывают .....прям жалко становится человека ;)

А Васька слушает, да ест.
Господа, не трахайте ему мозг, у него куча важных дел, и ваши проблемы ему решать некогда.

[Diogen]

Как это некогда????
Назвался вертикалью - полезай в.... Ну, куда нибудь полезай!

[snv]

а я уже Не чему не удивляюсь .

[buratina36]

Alexam написал:
Приказы и инструкции надо писать не зависимо от изменений в ФЗ. Для членов ассоциации мы образцы разрабатывали и рассылали;)
 Уведомление можно и не писать на самом деле.

Похоже надо вступать в члены ассоциации.
 "(http://25.rsoc.ru/news/news50059.htm За непредставление или несвоевременное представление в Управление Роскомнадзора по Приморскому краю сведений по запросу, а равно представление сведений в неполном объеме, должностными лицами Управления в феврале - марте 2013 возбуждены производство по делам об административных правонарушениях по ст. 19.7 КоАП РФ в отношении юридических лиц, осуществляющих обработку персональных данных и материалы административных дел направлены на рассмотрение мировым судьям.

 В марте – апреле 2013 мировыми судьями рассмотрены материалы и вынесены постановления о признании юридических лиц виновными в нарушении ст. 19.7 КоАП РФ  и  назначены  им  наказания  в  виде  штрафа  3 000 каждой на общую сумму 48 000 рублей."
 В закрытом разделе есть пример заполнения уведомления о обработке ПД в РКН для кабельных операторов ?

[Operator]

buratina36 написал:
...В закрытом разделе есть пример заполнения уведомления о обработке ПД в РКН для кабельных операторов ?

А самому лень?

[atec]

Вообще-то по поводу персональных данных лучше обратитесь напрямую в надзор, если до этого ничего вообще не заполняли. Там вам скажут, что необходимо сделать...... много каких бумажек надо им. Намного проще будет.

[scopus]

Вот, вот, мне прислали заполнил и забыл...

[Fil]

Коллеги, а есть ли какие то ограничения за передачу базы данныз абонентов третьим лицам?

Например, с СБ заключили договор об использовании их серсвисов для приёма платежей.

Они затребовали базу абонентов...

Как быть?