Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
Доступ к ИСПДн посредством удаленного рабочего стола
День добрый Господа! Подскажите пожалуйста разрешить непростую ситуацию:
В нашем обществе есть 1С:Кадры (ИСПДн) и есть подразделение которое занимается обслуживанием и администрированием программно - аппаратной инфраструктуры 1С, но так как квалифицированный персонал затащить с такой зарплатой на работу не возможно, то вопросы возникающие в 1С (в области персональных данных), на договорной основе, посредством удаленного рабочего стола (через Микого)разрешает (редактирует, обновляет, блокирует, удаляет и д.р.)другое юридическое лицо.

У меня возник спор с юристами в следующем:Я им (юристам и админам 1С) написал следующее:

"При осуществлении "Удаленной поддержки", для ускоренного решения возникающих вопросов, удаленного исправления критических ошибок (посредством подключения через приложение для вебинаров, онлайн конференций и удаленного управления – Micogo), специалист ООО "Сторонняя организация" (в рамках выполнения условий договора № ХХХ от 01.10.2010, а также Приложения № 1 к данному договору) получает доступ к конфиденциальной информации, а именно к персональным данным работников Общества, хранящихся в базах 1С: Предприятие, т.е. в соответствии с ч. 3, ст. 3 ФЗ-152 " О персональных данных" осуществляет обработку персональных данных работников Общества.
На основании вышеизложенного наблюдается явное нарушение ч. 7 ст. 5, ч. 3 ст. 6, ст. 7 ФЗ-152:
- хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей;
- оператор вправе поручить обработку персональных данных другому лицу только с согласия субъекта персональных данных;
- операторы, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
В рамках соблюдения ч. 7 ст. 5, ч. 3 ст. 6, ч. 5 ст. 6, ст. 7, ст. 9, ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 2.1. Соглашения о конфиденциальности № ААА от 27.02.2010, заключенного между Обществом и ООО "Сторонняя организация", предлагаю Вам перед осуществлением "Удаленной поддержки", (перед обработкой (осуществлением доступа) персональных данных работников Общества специалистом ООО "Сторонняя организация") у работников Общества, к чьим персональным данным будет осуществляться доступ , получать согласие на доступ к персональным данным работников специалистов ООО "Сторонняя организация". Либо предоставлять доступ специалистам ООО "Сторонняя организация" к копиям базы 1С с обезличенными персональными данными."

На что они (адм. 1С и юристы) мне ответили следующее:
"Руководствуясь п. 2 ч. 1 ст. 6 ФЗ-152 обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей и что они могут предоставлять доступ др. юр. лицу без согласия работников, хватит и заключенного договора о конфиденциальности"

Если кто сталкивался с подобной ситуацией подскажите пожалуйста!!! Хотя сам я уверен, что нужен договор и согласие...
Цитата
Евгений пишет:
День добрый Господа! Подскажите пожалуйста разрешить непростую ситуацию:
В нашем обществе есть 1С:Кадры (ИСПДн) и есть подразделение которое занимается обслуживанием и администрированием программно - аппаратной инфраструктуры 1С, но так как квалифицированный персонал затащить с такой зарплатой на работу не возможно, то вопросы возникающие в 1С (в области персональных данных), на договорной основе, посредством удаленного рабочего стола (через Микого)разрешает (редактирует, обновляет, блокирует, удаляет и д.р.)другое юридическое лицо.

У меня возник спор с юристами в следующем:Я им (юристам и админам 1С) написал следующее:

"При осуществлении "Удаленной поддержки", для ускоренного решения возникающих вопросов, удаленного исправления критических ошибок (посредством подключения через приложение для вебинаров, онлайн конференций и удаленного управления – Micogo), специалист ООО "Сторонняя организация" (в рамках выполнения условий договора № ХХХ от 01.10.2010, а также Приложения № 1 к данному договору) получает доступ к конфиденциальной информации, а именно к персональным данным работников Общества, хранящихся в базах 1С: Предприятие, т.е. в соответствии с ч. 3, ст. 3 ФЗ-152 " О персональных данных" осуществляет обработку персональных данных работников Общества.
На основании вышеизложенного наблюдается явное нарушение ч. 7 ст. 5, ч. 3 ст. 6, ст. 7 ФЗ-152:
- хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей;
- оператор вправе поручить обработку персональных данных другому лицу только с согласия субъекта персональных данных;
- операторы, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
В рамках соблюдения ч. 7 ст. 5, ч. 3 ст. 6, ч. 5 ст. 6, ст. 7, ст. 9, ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 2.1. Соглашения о конфиденциальности № ААА от 27.02.2010, заключенного между Обществом и ООО "Сторонняя организация", предлагаю Вам перед осуществлением "Удаленной поддержки", (перед обработкой (осуществлением доступа) персональных данных работников Общества специалистом ООО "Сторонняя организация") у работников Общества, к чьим персональным данным будет осуществляться доступ , получать согласие на доступ к персональным данным работников специалистов ООО "Сторонняя организация". Либо предоставлять доступ специалистам ООО "Сторонняя организация" к копиям базы 1С с обезличенными персональными данными."

На что они (адм. 1С и юристы) мне ответили следующее:
"Руководствуясь п. 2 ч. 1 ст. 6 ФЗ-152 обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом , для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей и что они могут предоставлять доступ др. юр. лицу без согласия работников, хватит и заключенного договора о конфиденциальности"

Если кто сталкивался с подобной ситуацией подскажите пожалуйста!!! Хотя сам я уверен, что нужен договор и согласие...

Интересно, какой именно закон они имеют ввиду? По моему мнению нужно руководствоваться статьёй 7 ФЗ 152.
полностью согласен
Тут не только 152 ФЗ, но и ст. 88 ТК РФ: При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
Законной цели, в соответствии с которой ПДн передаются (сообщаются) третьей стороне, в данном случае не существует.
Пусть уточнят, что за закон там они нашли. Сомневаюсь, что таковой есть. Врятли тут юридическая коллизия. Обязаны брать согласие, вы правы.
и я им то же самое говорю, они меня упрекают в том, что я защищаю интересы министерств а не Общества. Сегодня подобное письмо отправил в Роскомнадзор, посмотрю что они подскажут. За советы всем спасибо!!!
Что-то я запутался. Если без удаленного доступа - сотрудники сторонней организации приходят к нам в офис и обслуживают базу 1С, в этом случае тоже согласие получать нужно? или хватит соглашения о конфиденциальности?
а закон все тот-же ФЗ-152, а именно п. 2 ч. 1 ст. 6 обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей - имеется обязанность платить зарплату, обеспечить доступ к рабочему месту и т.д.
Цитата
Иван пишет:
Что-то я запутался. Если без удаленного доступа - сотрудники сторонней организации приходят к нам в офис и обслуживают базу 1С, в этом случае тоже согласие получать нужно? или хватит соглашения о конфиденциальности?
по моему аналогично с моей ситуацией
Цитата
Иван пишет:
Что-то я запутался. Если без удаленного доступа - сотрудники сторонней организации приходят к нам в офис и обслуживают базу 1С, в этом случае тоже согласие получать нужно? или хватит соглашения о конфиденциальности?

Разницы нет, дистанционно или напрямую. Должно быть согласие субъекта ПДн на передачу его ПДн третьему лицу.
Цитата
Иван пишет:
Если без удаленного доступа - сотрудники сторонней организации приходят к нам в офис и обслуживают базу 1С
В данном случае вы имеете возможность проконтролировть, что админ не лезет в ПДн, не копирует их и т.п.
Цитата
Сергей С. пишет:



Цитата


Иван пишет:
Если без удаленного доступа - сотрудники сторонней организации приходят к нам в офис и обслуживают базу 1СВ данном случае вы имеете возможность проконтролировть, что админ не лезет в ПДн, не копирует их и т.п.

"лезть" в ПДн он будет в любом случае - такова специфика его работы, но вот кто будет это контролировать и каким образом?
Цитата
Денис пишет:
"лезть" в ПДн он будет в любом случае
Это не любой, а единичный случай, когда нужно для проверки того, что он наворотил. А в договоре прописать "без права ознакомления с ПДн". А контролировать - хоть человека за спиной поставь.
Евгений,
а закон все тот-же ФЗ-152, а именно п. 2 ч. 1 ст. 6 обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей - имеется обязанность платить зарплату, обеспечить доступ к рабочему месту и т.д.
Ключевое слово Оператор.
То, что они ссылаются на этот пункт это вздор. Он к ним не применим.
ООО "Сторонняя организация" является юр.лицом осуществляющая обработку ПДн по договору с Оператором. А значит Оператор должен взять согласие субъектов(сотрудников).
Другое дело бы если бы обработку вели люди по удаленке, находящиеся на удаленной территории но состоящие в том же юр.лице что и оператор. Тогда бы никакого согласия брать не нужно было.

Иван,
У вас ситуация аналогичная. Сотрудники сторонней организации это как-никак чужие для вашей организации люди. Действия теже. Просто у Евгения работа ведется по удаленке и там угрозы появляются дополнительные, а возможно и класс системы.
Цитата
Карбер пишет:
Евгений,

а закон все тот-же ФЗ-152, а именно п. 2 ч. 1 ст. 6 обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей - имеется обязанность платить зарплату, обеспечить доступ к рабочему месту и т.д.

Ключевое слово Оператор.

То, что они ссылаются на этот пункт это вздор. Он к ним не применим.

ООО "Сторонняя организация" является юр.лицом осуществляющая обработку ПДн по договору с Оператором. А значит Оператор должен взять согласие субъектов(сотрудников).

Другое дело бы если бы обработку вели люди по удаленке, находящиеся на удаленной территории но состоящие в том же юр.лице что и оператор. Тогда бы никакого согласия брать не нужно было.



Иван,

У вас ситуация аналогичная. Сотрудники сторонней организации это как-никак чужие для вашей организации люди. Действия теже. Просто у Евгения работа ведется по удаленке и там угрозы появляются дополнительные, а возможно и класс системы.

Я с Вами полностью согласен!!!
дождусь ответа с Роскомнадзора, обязательно здесь выложу...
Цитата
Сергей С. пишет:



Цитата


Денис пишет:
"лезть" в ПДн он будет в любом случае Это не любой, а единичный случай, когда нужно для проверки того, что он наворотил. А в договоре прописать "без права ознакомления с ПДн". А контролировать - хоть человека за спиной поставь.


Что значит "без права ознакомления с ПДн"? Если из сторонней организации приходит, допустим, консультант 1С и начинает исправлять возникшие неполадки. Он ВИДИТ записи в 1С, в том числе и ПДн. Как проконтролировать то, что он запомнил?
Цитата
Денис пишет:
Как проконтролировать то, что он запомнил?
Много не запомнит :) Давайте быть реалистами. Угроза утечки ПДн от действий консультанта минимальная. В данном случае необхлдимо соблюсти формальные признаки.
Получается если в договоре мы пропишем "без права ознакомления с ПДн", то в соглашении о конфиденциальности (поручении) мы не сможем прописать пункт о конфиденциальности ПДн по той причине, что доступа у работников сторонней организации к ПДн нет (хоть это и формально)?
А о каком поручении может идти речь? Вы не поручаете обработку ПДн. В договоре об оказании услуг можно прописать обязанность сторон соблюдать конфиденциальность информации, доступ к которой ограничен Федеральными законами, и которая стала известна в рамках исполнения договора. Без детализации (ПДн, КТ, БТ и т.п.)
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку