Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3
RSS
[ Закрыто ] Подключение информационной системы к сетям общего пользования, Есть или нет?
По поводу флешек договора не нужно: если они операторы ПДн, пусть сами и отвечают за их безопасность по дороге к вам. А вот когда эти ПДн попадают к вам, вы обязаны сделать вот что:
(ст.18, п.3) "Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных."

В п.4 этой же статьи указаны исключения, и если вы под них не попадаете, придется уведомлять субъекта.
AlexG, позвольте с вами не согласится. Эта статья относится к оператору ПДн, а в данном случае организация является лицом, которому оператор поручил обработку ПДн и не является оператором этих ПДн, а все заморочки с согласиями, уведомлениями или ненужностью согласий проблема того, кто эти ПДн предоставляет. ч.4 ст. 6 Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
Есть мнение, что Контур-Экстерн является внешней системой - системой передачи данных, и защитой информации в ней занимается её владелец.
В банковских стандартах (методических рекомендациях) есть такое понятие: информационные системы, в отношении которых оператор не определяет защитные меры. Это как раз те системы, меры защиты которых определил их владелец, с него и спрос.
Позвольте продолжить разговор, но в несколько ином ракурсе, что ли. Можно ли считать Контур-Экстерн ИСПДн? Дело в том, что из вышестоящей организации пришла команда провести соответствующий комплекс мероприятий, поскольку через К-Э отправляются ПДн в налоговую. У нас в организации в 1С Предприятие, аттестована как ИСПДн установленным порядком. С одного рабочего места (гл/бух) отправляются отчеты через К-Экс. Т.е.ПДн обрабатываются, хранятся в ИСПДн 1С на ПК гл/бух и с этого же ПК отправляются. Информация заносится через экранные формы на сервер Контур-Экстерн, там происходит проверка и прием. Если следовать определению ИСПДН: ""информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств", ПДн хранятся на сервер Контур-Экстерн. Значит - не ИСПДн? По аналогии - раньше из той же ИСПДн 1С выгружали отчеты на дискету (флешку) и несли в налоговую. Сейчас эту роль выполняет Контур-Экстерн как система электронного документооборота.
Если я не прав, подскажите.
Вы не являетесь оператором ПДн, обрабатываемых в К-Э, а предоставляете ПДн оператору (налоговой) в соответствии с законом. К-Э является ИСПДн, в отношении которой оператор (вы) не определяет защитные меры. То, что вы должны сделать в плане защиты должна установить налоговая (прописать в соглашении о присоединении к системе сдачи отчетности).
Сергей. Из вышенаписаного следует, что все программы предоставления отчетности, будь то AStral, K-Э и т.д, являются ИСПДн но меры зашиты для них описывает организация которой эти отчеты преднозначены...и нам остается только выполнить эти требования? А в перечень ИСПДн работающих в организации такие программы включать нужно? В них ведь едино разово вводятся ПДн...передаются и в этой программе не хранятся.

Это уже по моему не ИСПДн. Так?
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Пдн в этих программах хранятся (архив всего, что вы отправляли, ведется), является ли это базой данных? Скорее да, это некое систематизированное (хотя бы по дате) собрание данных, хотя тут можно поспорить, а терминологические споры регулятор выиграет. Я такие системы включил в перечень отдельным разделом: ИСПДн, в отношении которых оператор не определяет защитных мер (обозвать можно как угодно: ИСПДн, в отношении которых организация не является оператором ПДн (собственником этих ИСПДн).
Изменено: Сергей С. - 31.08.2012 11:29:26
Страницы: Пред. 1 2 3
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)