Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Передача персональных данных третьим лицам
Здравствуйте! Подскажите, если не трудно. К нам в клинику часто приходят запросы от МВД, банков, адвокатских контор и др. Можем ли мы им отказать в предоставлении ПД пациентов, и на каком основании? В "согласии" пациенты не дают разрешение на передачу таких данных.
Думаю, что можете отказывать всем кроме МВД. На основании ФЗ 152
Только для МВД нужны официальные запросы и т.д. Ни в коем случае ничего по телефону.
До недавнего времени вся информация в мед.учреждениях подпадала под К2, что влекло серьезные технические трудности, - вместе с ПД обрабатывается информация о здоровье и это тянуло на К2. недавнее соглашение между Роскомнадзором, ФСТЭК и ФСБ определило, что у медиков ПД только К3.
кому предоставлять информацию:
МВД, ФСБ, Наркоконтроль, Прокуратура только при официальном запросе на бумажном носителе (фирменный бланк организации) с синей подписью. печати может не быть. если запрос принес кто-то сам, на запросе укажите ФИО и номер его удостоверения, его раб.тел. все эти организации работают по ФЗ об ОРД и выдавать им только так.
всем другим организациям вы что то предоставлять из ПД не имеете право, даже если имеете разрешение на распространение ПД. хотите давать ПД ВСЕМ, пусть субьект ПД вам даст разрешение распространять его ПД всем.
Цитата
АНТОН пишет:
До недавнего времени вся информация в мед.учреждениях подпадала под К2, что влекло серьезные технические трудности, - вместе с ПД обрабатывается информация о здоровье и это тянуло на К2.
Ну во-первых не под К2, а под К1. А во-вторых, откуда у вас эта информация (недавнее соглашение между Роскомнадзором, ФСТЭК и ФСБ определило, что у медиков ПД только К3.)?? Можно ссылку на официальный документ?
...скоро будет на официальных сайтах...
В таком случае будьте добры киньте ссылку на официальный сайт, когда документ появится.
Угу мне вот тоже интересно про медики и К2 и К3.
Госкомнадзор говорит что у медиков могут быть только К1!!! и точка.
Во-первых нет никакого Госкомнадзора, а во-вторых он так не говорит. Оператор в праве классифицировать систему как хочет, а проверять придет ФСТЭК.
Прошу прощения. Он официально называется так Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор — Уполномоченный орган по защите прав субъектов персональных данных).
Вы правы но частично.
Во первых. Да классифицировать ИСПД каждый обязан самостоятельно, но вот ведь незадача, по отчетам этого Роскомнадзора стало ясно, что некоторые организации неправильно классифицируют свои ИСПД, они специально занижали ИСПД и пытались обезличивать ПД. За что и были собственно говоря наказаны.
И второе, ФСТЭК никогда ни к кому с проверкой не придет! Потому что в ФЗ №152 четко сказано: "Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи."

Так что проверки в праве проводить только Роскомнадзор и никто более, остальные же ФСТЭК и ФСБ только определяют технические и програмные требования.
Так никто, не указал, где именно в ФЗ 153 требуется согласие физлица на передачу его персональных данных третьим лицам.
Извините, ошибся. ФЗ 152
Цитата
Константин пишет:

Во первых. Да классифицировать ИСПД каждый обязан самостоятельно, но вот ведь незадача, по отчетам этого Роскомнадзора стало ясно, что некоторые организации неправильно классифицируют свои ИСПД, они специально занижали ИСПД и пытались обезличивать ПД. За что и были собственно говоря наказаны.

И второе, ФСТЭК никогда ни к кому с проверкой не придет! Потому что в ФЗ №152 четко сказано: "Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

....

Константин, читайте внимательно, что цитируете: Роскомнадзор осуществляет контроль и надзор за обработкой ПДн и не более того. Опровергнуть класс ИСПДн может только ФСТЭК. ФСТЭК может прийти
Цитата
Гость пишет:
Так никто, не указал, где именно в ФЗ 153 требуется согласие физлица на передачу его персональных данных третьим лицам.
Статья 3 п. 3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; А на обработку (в том числе и передачу) требуется согласие ст. 9. Когда согласие не требуется описано в статьях 6,9 и 10.
ст 3 п 10 фз 152
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
ст 7 п 1 фз 152
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.


ст 6 п2 фз 152
Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Еще позовчера была тема про аудиторскую проверку, но сейчас не могу ее найти. Хотя данная тема тоже подходит.
Вопрос заключается в правомерности передачи персональных данных, содержащихся в договорах на страхование третьим лицам (компании) для выполнение аудиторской проверки.

В заявлении оператора ПД указаны следующие категории ПД: "фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; состояние здоровья". Т.е. включает и специальные категории.

По перечню действий с ПД указано: "Обработка персональных данных будет осуществляться путем сбора, систематизации, накопления, хранения, уточнения, использования, распространения (передача определенному кругу лиц) персональных данных. Способ обработки персональных данных: смешанная обработка персональных данных (полученная в ходе обработки персональных данных информация передается по внутренней сети нашей организации (получить информацию могут только определенные пользователи), по сети общего пользования Интернет (получить информацию могут только определенные пользователи), без передачи полученной информации (есть доступ только на просмотр)".

Теперь рассуждения:
1. При осуществлении страховой деятельности нами заключается договор с Физлицом. Согласно ст.6 п. 2 согласие субъекта ПД не требуется если обработка ПД осуществляется в целях исполнения договора (нам же как-то надо идентифицировать страхователя или выгодоприобретателя).
2. Вместе с тем, для обработки специальной категории ПД (состояние здоровья) необходимо получение согласия от субъекта.
3. Обработку без согласия мы можем осуществлять в целях исполнения договора страхования, но при проведении аудиторской проверки мы вынуждены передавать данные третьей стороне, что не регулируется договором страхования и поэтому должны запросить согласие субъекта или обезличить.

Как-то так. Какие у соображения по этому поводу. Интересно было бы слышать мнение представителей страховой и банковской сфер. Интересно, надо ли указывать в перечне действий передачу информации сторонним организациям с целью осуществления страховой деятельности?
Отказівать можетвсем кроме субїектов ОРД, однако они в запросе должны указывать основание для получения такой информации (возбуждено уголовное дело в отношени и пр.) Общие фразы типа для обеспечения деятельности или выполнения возложенных обязанностей здесь не прокатят..
правомерна ли передача данных банками коллекторским агенствам?
Между Вами и банком - договор о предоставлении услуги (кредита). Если в этом договоре указано право банка передавать Ваши ПДн третьим лицам и договор Вами подписан, то банк имеет право на передачу при условии, что третье лицо ( в данном случае коллектор)обеспечит их безопасность в соответствии с требованиями действующего законодательства. :cry:
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)