ФЗ о Персональных Данных

От пользователя Vinigal Pau
1. Почему осталось? Уничтожили. Нафига мусор хранить?
2. Считаете, разорвали = нет договора? Договор был, он какое-то время исполнялся и для этого фио было нужно. И что с того что разорвали потом. Можно и не разрывать а просто исполнить и разойтись, забыв друг о друге.

1. Договора нет. Но ПД хранили-обрабатывали. Но договора нет. Получите?
2. Как там по ФЗоПП - если качество не устроило и так далее? Разорвали. Но хранили же? А договор не исполнен. Залет?
Если оба раза да - значит согласие человека на обработку нужно СПЕЦИАЛЬНО спросить. И ПОЛУЧИТЬ.
От пользователя Vinigal Pau
Вы то что хотите доказать, не понял?

Я хочу к утру среды (выхожу из 2х дневного отпуска и сдаю ГОС) - понять насколько это касается моей работы. И начать бучу если касается.
От пользователя Mарио
Я уже сказал. Выбирайте:
1) разобраться во всем самим за 1 месяц- это фантастика
2) найти организацию которая решит ваши вопросы - это реально
3) забить и надеяться на авось - это до 1й проверки

Опишите задачу-вопросы-проблемы для организации
И пути их решения (ну кроме вот наши - с ними все решайте)

От пользователя Mарио
Выше вы говорили что не надо лицензию

Это где?

Вот:
От пользователя Mарио
Лицензирование - разумно делать только если у вас большая организация, есть свой IT отдел или отдел по защите инфы. Если в фирме 100-200 человек про лицензирование можно забыть.
0
От пользователя ВДУЧ
Вот:
Цитата:От пользователя: Mарио
Лицензирование - разумно делать только если у вас большая организация, есть свой IT отдел или отдел по защите инфы. Если в фирме 100-200 человек про лицензирование можно
забыть.

Я к тому что не получите вы лицензию. А она нужна.


От пользователя ВДУЧ
Опишите задачу-вопросы-проблемы для организации
И пути их решения (ну кроме вот наши - с ними все решайте)

??? Вот наши - это кто?
0
От пользователя Mарио
Сейчас, извините, не выйдет. Ну никак. Ну хоть тресни. Вам надо год, не менее. И то если вы выдающийся юрист. Это не ваш вопрос и логично что вы плохо его понимаете.

Этот маразм понять вообще не знаю кто может, но похоже мы с вами даже друг друга не понимаем.:-)
У меня просто в голове на сейчас выстроилась определенная схема, примитивная, и я пытаюсь понять - она верная или нет, даже в своем примитиве.
Рассказываю.
Есть персональные данные, которые на бумажках, в личных карточках итп - как их защитить - головная боль кадровика. Положения, инструкции разрабатывай, кто имеет доступ итд итп.
Есть ПД, которые в базах, программах и прочем. Как ЭТО защищать - это уже вопрос лицензированной организации. Либо самостоятельно - но опять же через лицензию, поскольку данный вид деятельности лицензируется. (см.выше про фантастику).
Данная примитивная схема верна?
0
От пользователя Mарио
Я к тому что не получите вы лицензию. А она нужна.

Почему не получим?
От пользователя Mарио
??? Вот наши - это кто?

Средняя контора - 50 человек - нанимает сотрудников.. они оставляют анкеты и так далее
То не нужна лицензия
то нужна
0
От пользователя |nfinity
Есть персональные данные, которые на бумажках, в личных карточках итп - как их защитить - головная боль кадровика. Положения, инструкции разрабатывай, кто имеет доступ итд итп.
Есть ПД, которые в базах, программах и прочем. Как ЭТО защищать - это уже вопрос лицензированной организации. Либо самостоятельно - но опять же через лицензию, поскольку данный вид деятельности лицензируется. (см.выше про фантастику).
Данная примитивная схема верна?

Я ламер сказал б нет - не верна - храните, помните, используете - значит обрабатываете.
Не вижу я про только электронную формы.
Отправила боссу по почте - вот резюме, вот его тест - залет?:-(
0
Темнее ночис нежным сердцем
От пользователя Vinigal Pau
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
….
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

(ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (принят ГД ФС РФ 08.07.2006))

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

(ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (принят ГД ФС РФ 08.07.2006))



Подскажите, а в случае, если Компания А берет данные физ.лица для регистрации доменного имени в Компании Б (которой нужно отправить копию паспорта). Нужно тогда письменное согласие физика?
0
Vinigal Pau
От пользователя ВДУЧ
1. Договора нет. Но ПД хранили-обрабатывали. Но договора нет. Получите?
2. Как там по ФЗоПП - если качество не устроило и так далее? Разорвали. Но хранили же? А договор не исполнен. Залет?

Не исполнен но исполнялся. Есть различия?
Договор был и он исполнялся, данные нужны были для исполнения. Какие претензии?

От пользователя ВДУЧ
Отправила боссу по почте - вот резюме, вот его тест - залет?:-(

С таким же успехом можно вчинить иск и о нарушении авторских прав :lol:
С чего решили что босс будет обрабатывать эти ПД? Может он и читать его не будет?
0
Vinigal Pau
От пользователя Настоящая черная кошка ()
Компания А берет данные физ.лица для регистрации доменного имени в Компании Б (которой нужно отправить копию паспорта). Нужно тогда письменное согласие физика?

ИМХО, хоть в гостинице поселяться, хоть доменные имена регать - одинаково :-D не надо. Это же необходимо для исполнения договора!
0
От пользователя ВДУЧ
Почему не получим?

А почему вам ее должны выдать?


От пользователя ВДУЧ
То не нужна лицензия
то нужна

Вы меня уже запутали ) Есть перс данные - лицензия нужна, нет перс данных - нет. Понятно?

От пользователя |nfinity
Рассказываю.
Есть персональные данные, которые на бумажках, в личных карточках итп - как их защитить - головная боль кадровика. Положения, инструкции разрабатывай, кто имеет доступ итд итп.
Есть ПД, которые в базах,
программах и прочем. Как ЭТО защищать - это уже вопрос лицензированной организации. Либо самостоятельно - но опять же через лицензию, поскольку данный вид деятельности лицензируется. (см.выше про фантастику).
Данная примитивная схема верна?


Ну если примитивно то, скажем где-то близко.

как их защитить - головная боль кадровика. Положения, инструкции разрабатывай, кто имеет доступ итд итп. - это в корне не верно.
Это на вас навалили чужую работу. Все это делают спецы по защите инфы, it отдел (как ни странно на них тоже это сваливают).
Вы врят-ли сможете без спец обучения написать инструкцию, скажем матрицу доступа...
и если вы напишете, а как же лицензия? У вас ее нет. И если даже у вашего предприятия она есть, вы не спец по защите инфы т.е. ваша инструкция недействительна т.к. ее ДОЛЖЕН разработать человек с образованием в сфере защите инфы. А это блатная специальность т.к. только очно и платно и стоит порядка 100 т.р. за полгода. Выпускает УПИ и УРГУПС.
Вот вам верхушка айсберга.
А теперь вопрос - сколько денег вы готовы предложить спецу по защите инфы при трудоустройстве? Миниум 50 т.р. в месяц - это только начало.
0
От пользователя Vinigal Pau
Не исполнен но исполнялся. Есть различия?
Договор был и он исполнялся, данные нужны были для исполнения. Какие претензии?

То есть важен процесс? Исполнения?
Мы вам хотели эту фигню продать и нашли ваши ПД?
Я просто ищу границы где ФЗ этот работает а где нет
От пользователя Vinigal Pau
С таким же успехом можно вчинить иск и о нарушении авторских прав :lol:
С чего решили что босс будет обрабатывать эти ПД? Может он и читать его не будет?

Он может не будет
Но хранит же?
0
От пользователя Mарио
Вы меня уже запутали ) Есть перс данные - лицензия нужна, нет перс данных - нет. Понятно?

Что есть персданные?
Я тут спрашивал:

От пользователя ВДУЧ
Кстати отвлеченный вопрос - не догоняю:
1. Когда физик приходит устраиваться на работу - пишит анкету - для обработки, хранения нужно его согласие
2. Когда ФИО, номер паспорта и т.д. спрашивают в гостинице и вносят в базу отеля для формирования документов - нужно согласие? Кажется да
3. Когда договор с ИП Пупкиным заключаешь - он юрик - и не надо.
4. А когда там ФИО продавщицы из киоска ИП Пупкина где-то фиксируется для работы-контактов - нужно согласие продавщицы?

PS Во многих магазинах весит объявление - возврат денег за товар только с паспортом - при возврате специально переписывают данные - сами себе яму роют?:-)

Вы ответили только на PS:-)
От пользователя Vinigal Pau
ИМХО, хоть в гостинице поселяться, хоть доменные имена регать - одинаково :-D не надо. Это же необходимо для исполнения договора!

Да мы хомячим ПД только для добра :-)
От пользователя Mарио
А почему вам ее должны выдать?

Так надо получать или нет. Если надо то кому минимум?
0
Vinigal Pau
От пользователя ВДУЧ
То есть важен процесс? Исполнения?

ну из текста закона это явно следует.

От пользователя ВДУЧ
Мы вам хотели эту фигню продать и нашли ваши ПД?

не путайте. Нашли - это из общедоступных источников если. Тут про ситуацию когда сам субьект ПД эти ПД передал, но не писал специального согласия. То есть сам факт добровольной передачи и заключения договора - значит согласие.

От пользователя ВДУЧ
Я просто ищу границы где ФЗ этот работает а где нет

как и любой закон в России

От пользователя ВДУЧ
Он может не будет
Но хранит же?

докажите что хранит. Может стирает с почтового сервера не загружая.
0
От пользователя ВДУЧ
Что есть персданные?

http://lmgtfy.com/?q=%D0%BF%D0%B5%D1%80%D1%81%D0%B...+%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5+%D1%8D%D1%82%D0%BE
От пользователя ВДУЧ
[quote]
От пользователя ВДУЧ
Вы ответили только на PS

Реально лень. Я тут уже на 2 страницы написал. Устал.

От пользователя ВДУЧ
Так надо получать или нет. Если надо то кому минимум?

http://www.fstec.ru/_docs/doc_2_2_032.htm
Читаем, думаем.
0
От пользователя Mарио
Реально лень. Я тут уже на 2 страницы написал. Устал.

Ссылку на пост пожалуйста можно
От пользователя Vinigal Pau
докажите что хранит. Может стирает с почтового сервера не загружая.

Вы с ОМОНом-ОБЭПом сталкивались?
Легко "находят" :-(
PS А еще у некоторых компаний есть обязанность хранить переписку несколько лет - не знали?
0
От пользователя Mарио
как их защитить - головная боль кадровика. Положения, инструкции разрабатывай, кто имеет доступ итд итп. - это в корне не верно.
Это на вас навалили чужую работу. Все это делают спецы по защите инфы, it отдел (как ни странно на них тоже это сваливают).

то есть по правилам, а не так как это в жизни, И для ПД обрабатываемых программой, И для тех которые на рукописных бумажках, все положения и прочие документы о их защите должны разрабатываться мало того что лицензированной организацией, так еще и "специально обученным человеком"?
0
Vinigal Pau
От пользователя ВДУЧ
А еще у некоторых компаний есть обязанность хранить переписку несколько лет - не знали?

Электронную?
0
Vinigal Pau
От пользователя ВДУЧ
Вы с ОМОНом-ОБЭПом сталкивались?

А Вы?
1 / 0
От пользователя |nfinity
"специально обученным человеком"?

Да. И не одним.
0
От пользователя Mарио
Да. И не одним.

Отлично. Тогда вытекающие вопросы.
1. С инструкциями, которые под нажимом начальства все же будут нарисованы кадровиком/юристом, можно благополучно отправляться в WC? и получается, что ничего по защите ПД предприятие не сделало, хотя юрист/кадровик чуть не сдох? Со всеми вытекающими в виде штрафов итп?
2. во что конкретно тыкать носом работодателя, дабы убедить его в справедливости п.1?
0
От пользователя |nfinity
С инструкциями, которые под нажимом
начальства все же будут нарисованы кадровиком/юристом, можно благополучно отправляться в WC? и получается, что ничего по защите ПД предприятие не сделало, хотя юрист/кадровик чуть не сдох?

В общих словах - ваши документы будут "корявыми". Впрочем, некоторые инструкции вы можете подготовить сами. Но не все.
--------------
На первом этапе необходимо провести предварительный анализ существующих информационных систем предприятия и установить перечень персональных данных, обрабатываемых на предприятии, цели обработки персональных данных, а также сроки их обработки и хранения.

Ваша компания может сделать это самостоятельно, изучив закон «О персональных данных» и пару десятков связанных с ним законодательных актов.
---------------
Нет вы сделали, что могли и при проверке, возможно, это зачтется.
Просто в конце всех работ вам надо провести аттестацию информационной системы по требованиям защиты информации ФСТЭК.
А для этого нужна лицензия.
И представьте вы что-то написали и пригласили спецов аттестовать.
А они и говорят - это бред как мы это аттестуем? И что вы будете делать?
0
От пользователя Mарио
А они и говорят - это бред как мы это аттестуем? И что вы будете делать?

лично я как минимум материть директора, который решил сэкономить
директор, видимо, тех, кто придумал новый способ отъема денег.
0
а зачем аттестовать? сначала определитесь - что вы там используете и надо ли это аттестовать в обязательном порядке.
1 / 0
tiu
вообще, защита ПДн не ограничена 152-ФЗ.
Есть ещё 149-ФЗ "Об информации......", Указ Президента РФ от 17.03.08 № 351, ППРФ от 06.06.08 №512, ППРФ от 15.09.08 №687, ППРФ от 17.11.08 № 781, "Приказ трёх" № 55/86/20

Госконтора.
Пережили насшествие ФСТЭКа.

Ничё не лицензировали и не собираемся. Аттестовывали гостайну по договору с лицензированной организацией.

Неавтоматизированная обработка ПДн(то, что заполняется и хранится на бумаге) не требует специальных условий, необходимо грамотно организовать положение о пропускном режиме и исключить возможность доступа к ПДн посторонних и не уполномоченных на то лиц (в т.ч. предусмотреть зашторивание окон и т.д.)

Все проблемы начинаются, когда ПДн обрабатываются на компьютерах, имеющих хоть и возможный, но доступ в Интернет. Поэтому предусмотрели полную изоляцию таких отделов как кадры и бухгалтерия.
Способствовало уменьшению класса также компактное расположение (в отдельных изолированных кабинетах).

Основная проблема - linux не сертифицирован под обработку ПДн. Вынуждают переходить на MS Windows. хотя бы XP Professional. На них соответствующие сертификаты есть. Но денег на приобретение MS Windows нет. Отсюда и конфликт "интересов". К Винде сразу потребуется сертифицированный антивирус.

Всю документацию разрабатывали, взяв за основу Методические рекомендации Минздравсоцразвития.

НО у нас было приемущество - в штате числился человек, имевший корочки специалиста по защите информации.

ПЛЮС. На данный момент отсутствует "установленный порядок оценки соответствия". То, что пытаются сюда впарить "аттестацию" и "сертификацию" - понятно, лицензиатам хочется бабла срубить. Но вестись на это стоит лишь в случае, если есть обработка каких-либо "секретов". Если идёт текущая обработка кадровых/зарплатных документов, имеет смысл "слать подальше".
0
От пользователя tiu
Госконтора.
Пережили насшествие ФСТЭКа.

ФСБ было?

От пользователя tiu
Основная проблема - linux не сертифицирован под обработку ПДн.

Linux xp

От пользователя tiu
Но денег на приобретение MS Windows нет

Как все запущено...


От пользователя tiu
Но вестись на это стоит лишь в случае,
если есть обработка каких-либо "секретов". Если идёт текущая обработка кадровых/зарплатных документов, имеет смысл "слать подальше".

В корне неправильный подход.
0
tiu
№ п/п: 14 Код: 444277-5
Название: О внесении изменений в статью 25 Федерального закона "О персональных данных"
Комментарий: в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных"
Вид закона: Федеральный закон
Дата внесения в ГД: 22.10.2010
Инициатор(ы): депутат ГД Аксаков Анатолий Геннадьевич
Ответственный комитет: Комитет ГД по конституционному законодательству и государственному строительству
Стадия рассмотрения: Предварительное рассмотрение законопроекта, внесенного в Государственную Думу
Этап рассмотрения: Рассмотрение Советом Государственной Думы законопроекта, внесенного в Государственную Думу
Последнее решение: 15.11.2010 назначить ответственный комитет; представить отзывы, предложения и замечания к законопроекту; подготовить законопроект к рассмотрению Государственной Думой; включить законопроект в примерную программу; назначить комитет-соисполнитель


Это с сайта дума.гов.ру. Законопроект. Ну не готова РФ к выполнению всех тех требований, что в 152-ФЗ содержатся.


От пользователя Mарио
ФСБ было?


кроме "смайла" на такой вопрос ответить нечего. ;-)

От пользователя Mарио
Как все запущено...


на самом деле, поскольку текущим задачам удовлетворяет текущая реализация, не вижу смысла в установке проприетарного программного обеспечения. И чрезмерные требования в виде искусственного принуждения установки винды - бред. Поэтому винда устанавливаться не будет до тех пор, пока Москва не выделит средства (для обеспечения всего парка лицензиями потребуется по примерным подсчётам при условии установки WXP OLP NL GG и MSOP+ OLP Gov порядка трёх милионов целковых. естесственно, "таких денег нет")

От пользователя Mарио
В корне неправильный подход.


"правильный" подход - жить согласно "Четырёхглавию", превратившемуся в мутанта? Согласно нему - да, и лицензирование и сертифицирование и пр, и пр, и пр. Только законы наши "законодатели" поменяли. И теперь лицензию получать для собственных нужд - лишняя трата денег. Особенно, с такими "специалистами" по защите информации в штате. С конечной среднегодовой зарплатой порядка 12-15 тыс в месяц. НЕ готово государство САМО в своих структурах обеспечить присутствие грамотных специалистов по защите информации, а, соответственно, и реализовывать все те положения, что на законодательном уровне напридумывало само себе.
0
Авторизуйтесь, чтобы принять участие в дискуссии.