Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 След.
Образцы(шаблоны) основных документов, регламентирующих обработку ПД.
Спасибо, сейчас посмотрю, но я вопрос задавал вообще, а не только в свете этого решения :)
Образцы(шаблоны) основных документов, регламентирующих обработку ПД.
А на основании чего вообще делается именно такой перечень документов? Вот где сказано какие журналы, приказы должны быть? Имею ввиду не для банков, гос. и прочее, где есть свои рекомендации, а для просто коммерческой структуры?
это тоже ИСПДн?
Явно - нигде, но тексту закона это следует.
Статья 9 п.4
В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: ...............

Случи эти перечислены уже были.
[ Закрыто] Не дают согласие на обработку данных, медицинское учреждение
Цитата
Леошко А.Н. пишет:
ФЗ №152 ст.9 п2 "Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья , прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства."
Вообще-то там про здоровье других лиц говорится, а не собственное. У нас здравоохранение добровольное :)
Могут ли отнести к персональным данным ИНН ?, Могут ли отнести к персональным данным ИНН ?
Если ИНН - юр.лица, а не физ - нет конечно! А вот данные об учредителях, руководителях и т.д. юр.лиц - да.
[ Закрыто] Передача обработки ПДн сторонней организации.
Добрый день.

Да было бы интересно обсудить вообще вариант такой централизации, так есть куча моментов определенных, по лицензированию и вообще такой обработке ПДн.
Ввоз криптосредст на террриторию России
http://lukatsky.blogspot.com/2011/03/blog-post_02.html
Администраторы сети за границей это плохо для получения лицензии на ТЗКИ?
Так, а им больше и не надо. 2 специалиста в штате с соответствующим образованием. Сколкьо их там всего у вас кроме этих двух никого не волнует.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Я считаю вполне легитимныым такй способок. А еще лучше почему бы не рассмотреть вариант сделать все самим, а лицензиата пригласить уже для контроля и аттестации ИСПДн.
В том числе и на основании 58 приказа:
Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

Вы выбрали, реализовали, а лицензиат аттестатом подтвердил корректность и полноту реализованных методов и способов защиты.
Изменено: Денис 1 - 09.12.2010 22:09:36
[ Закрыто] Доверенности
Цитата
Lorgan пишет:
Денис, я имел ввиду, что разработка организационно-распорядительных документов является частью защиты ПДн оператором. В которых, в частности, и описываются правила передачи ПДн 3м лицам. Поэтому мы говорим об одном и том же.
Процесс 1
Достаточно согласия субъекта ПДн передачу 3й стороне.

Процесс 2
Поизучал законодательство и пришел к выводу:
Никаких соглашений на обработку тут не нужно, т.к. для принимающей (доверенность) организации это внешние данные. И как говорил Сергей, в данном случае это представитель Юридического лица, и они не имеют в данном контексте физ. прав и поэтому не могут попасть под 152ФЗ. Также есть закон, если не ошибаюсь ГК РФ 115ФЗ по которому вы обязаны идентифицировать всех, а значит это обработка определена законом. Также основанием могут быть правила бухучета.

1. Тогда как в данном случае выполняется требование стать6 п.4 152-ФЗ? И по результатам проверок регуляторами в 2010 согласно отчетам одним из основных нарушений было отсутствие в договоре с третьими лицами условия обеспечения конфиденциальности ПДн.

2. Нет такого понятия внешние данные в 152-ФЗ. Зато есть статья 18 п.3, говорящий Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию.. уведомление. Согласно статьи 6 Согласия субъекта персональных данных не требуется в случае, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. Я такого закона в случае с доверенностями не знаю :)
Про идентификацию и 115-ФЗ -это не применимо здесь, так как 115-ФЗ регулирет только отношения определенных организаций (статья 5) и только при сделках.
[ Закрыто] Доверенности
Цитата
Сергей С. пишет:
Цитата
Денис 1 пишет:
Требуется их согласие, причем естесственно данное Вам, а не стороне выдавшей доверенность

Этож сколько согласий должен давать субъект? ИМХО Согласие дается один раз. Договор должен содержать пункт, что сторона, передающая ПДн согласие получила.
Согласие дается оператору, согласно 152-фЗ. В данном процессе (работа с доверенностями) оператора два и согласия два.
[ Закрыто] Доверенности
Цитата
Гость пишет:
1.вчитайтесь в фразу - без использования таких средств, ЕСЛИ обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
1. Я в эту фразу вчитывался уже 100500 раз, как и в целиком закон и в остальные документы. :) На примере: Вы ПДн в электронном виде (файл), храните его (в терминах 152-ФЗ - ОБРАБАТЫВАЕТЕ) в ИСПДн - попадает это под 152-ФЗ, думаю да? Получили ПДн на бумаге (доверенность), храните ее (в терминах 152-ФЗ - ОБРАБАТЫВАЕТЕ) - характер соответствует? Под 152-ФЗ попадаете? Я вот не очень понял, вы хотите сказать, что если у вас данные не в ИСПДн - 152-ФЗ это не про Вас, что-ли? :) А упомянутая Вами ПП687 тогда на основании чего разработано и для чего вообще?

По теме: Базовая модель угроз и передача третьим лицам мне кажется немного о разных вещах. Процесс1 - Вы выдаете доверенность своему работнику:
1. Необходимо его согласие. В отдельнйо форме, в тексте доверенности, в трудовом договоре или как угодно, лишь бы сумели доказать, что оно у Вас есть.
2. Необходимо возложить на 3ю сторону обязяанность защиты ПДн - в договоре или отдельным соглашеием.

Процесс2 - вы получаете и храните доверенности от сторонних лиц.
1. Требуется их согласие, причем естесственно данное Вам, а не стороне выдавшей доверенность. Либо брать это согласие при получении доверенности от субъекта прямо, либо обязать сторону выдавшую доверенность в месте с доверенность обеспечить Вам и согласие субъекта.

Как-то так.
[ Закрыто] Доверенности
Цитата
Гость пишет:
я-то как раз и привела с подчеркивание,что у 152-ФЗ сфера примененния- автоматизированная обработка.
А на этом предлагаю закончить тогда. :( Просто соберитесь и еще раз внимательно простите пункт Вами же процитированный!! А конкретно слова:
с использованием средств автоматизации или без использования таких средств.........

По теме: Не до конца представляю себе весь процесс. Если есть договор какой-то между компаниями на поставку чего-то, то можно конечно подумать о вписании пункта типа При выполнении условия договора строна обязуется соблюдать конфиденциальность и обеспечивать защиту ПДн, переданных ей в процессе исполнения договора. Ну или как-то так. Но вопрос об обеспечении согласия лица в доверенности это не снимает.
[ Закрыто] Доверенности
Цитата
Гость пишет:
Цитата
Тяжелый у вас случай. Даже комментировать не хочу...

ведь, насколько я понимаю доверенности беруться, складываются стопочкой и все- на всякий случай.(неавтоматизированная обработка), так? а это 687 ППРФ

если уж так напрягает эта идея, добавляйте в доверенность сноску про передачу ПДн,что своей подписью подтверждаю согласие и тд.

но имхо,это не надо
P.S. проще всего ответить, что "вы ничего не понимаете", мы же сдесь и "Собрались" для обсуждения и взаимопомощи, разве нет?
приведите мне цитату из закона и аргументируйте...

Так вы сами и привели ее! :D
152-ФЗ, Глава 1, ст. 1:
Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных....с использованием средств автоматизации или без использования таких средств.........

Требования по получению согласия и обязательств третьих лиц об обеспечении конфиденциальности и защиты ПДн как-раз таки 152-ФЗ и регулируются, а не ПП687.
[ Закрыто] Доверенности
Давайте по порядку.
Типовая форма доверенности. Под этим предлагаю понимать утвержденную Госкомстатом форму М-2 и М-2а. А там собственно следующие данные (причем форма должна быть заполненна полностью по требованиям, т.е. что либо не указывать не удастся!)
ФИО, должность, данные паспорта. Я не очень понял каким образом доверенность может быть выдана ЮЛ?! В доверенности всегда ФЛ. Даже если одно ЮЛ доверяет получить другому ЮЛ, то это другое ЮЛ все-равно выдаст доверенность кому-то из своих сотрудников - ФЛ. Притом следуя назначению доверенности в ней происходит однозначная идентификация субъекта ПДн.
Теперь про обработку ПДн сторонами. Сторона выписывающая доверенность - как правило работодатель и тут все зависит от того как были оговорены условия обработки ПДн работника при приеме и вообще в организации. Если у него к примеру при устройстве брали согласие или включили пункты в трудовой договор о передаче 3им лицам или одной из целей обработки ПДн обозначено например выдача доверенностей и т.п. тогда вопрос со стороны работодателя закрыт. А вот получающей доверенность стороне сложней - ей нужно согласие субъекта. Можно прикладывать к доверенности, можно получать у самого ФЛ, когда он за ТМЦ приезжает. Как вариант саму доверенность дополнить пунктом о согласии на обработку 3ей стороной и об обеспечении конфиденциальности при обработке.
[ Закрыто] Доверенности
АДъ! Вот если бы доверенности было написано - ООО ... доверяет Главному бухгалтеру, Курьеру, инженеру 1 разряда, уборщице производственных помещений, получить ТМЦ там-то там-то, тогда обрабокта ПДн не производится. А извенит, доверяю Смирнову Андрею Ивановичу, дата рождения, адрес проживания,паспорт такой-то и т.д. .... это с каких пор не ПДн?! В доверенности мало того, что ПДн, так еще и однозначная идентификация субъекта ПДн!
Нужно ли заполнять уведомление ?
См. выше. Помимо уволенных в 99% случаев вы обрабатываете еще и ПДн родственников сотрудника (см. форму Т-2), а их с Вами никакие отношения не связывают.
Изменено: Денис 1 - 07.12.2010 15:21:19
Аудит на 27001
Коллеги, добрый день.

Подскажите пожалуйста, кто имеет право проводить аудит организаций на соответствие стандарту iso 27001? Т.е. где должна быть аккредитована организация и должна ли вообще? Существуют какие-то требования к организациям, проводящим аудит? И имеет ли право одна компания проводить подготовку организации, т.е приведение в соответствие и аудит сразу. Т.е. фактически провести аудит своей же работы)
Договор
У меня нет. :) Согласие форма и прочее о нем описано в 152-ФЗ, фразу о соблюдении конфиденциальности думаю можно и самому придумать.
Договор
Во первых у вс должно быть согласие на такой доступ от субъектов Пдн, во-вторых в договоре со сторонней организацией должны быть предусмотрены условия соблюдения конфиденциальности Пдн, к которым получен доступ.
Страницы: 1 2 3 4 5 6 7 След.