ФЗ о Персональных Данных
2. Считаете, разорвали = нет договора? Договор был, он какое-то время исполнялся и для этого фио было нужно. И что с того что разорвали потом. Можно и не разрывать а просто исполнить и разойтись, забыв друг о друге.
1. Договора нет. Но ПД хранили-обрабатывали. Но договора нет. Получите?
2. Как там по ФЗоПП - если качество не устроило и так далее? Разорвали. Но хранили же? А договор не исполнен. Залет?
Если оба раза да - значит согласие человека на обработку нужно СПЕЦИАЛЬНО спросить. И ПОЛУЧИТЬ.
Вы то что хотите доказать, не понял?
Я хочу к утру среды (выхожу из 2х дневного отпуска и сдаю ГОС) - понять насколько это касается моей работы. И начать бучу если касается.
1) разобраться во всем самим за 1 месяц- это фантастика
2) найти организацию которая решит ваши вопросы - это реально
3) забить и надеяться на авось - это до 1й проверки
Опишите задачу-вопросы-проблемы для организации
И пути их решения (ну кроме вот наши - с ними все решайте)
Это где?
Вот:
Лицензирование - разумно делать только если у вас большая организация, есть свой IT отдел или отдел по защите инфы. Если в фирме 100-200 человек про лицензирование можно забыть.
Цитата:От пользователя: Mарио
Лицензирование - разумно делать только если у вас большая организация, есть свой IT отдел или отдел по защите инфы. Если в фирме 100-200 человек про лицензирование можно
забыть.
Я к тому что не получите вы лицензию. А она нужна.
И пути их решения (ну кроме вот наши - с ними все решайте)
??? Вот наши - это кто?
Сейчас, извините, не выйдет. Ну никак. Ну хоть тресни. Вам надо год, не менее. И то если вы выдающийся юрист. Это не ваш вопрос и логично что вы плохо его понимаете.
Этот маразм понять вообще не знаю кто может, но похоже мы с вами даже друг друга не понимаем.:-)
У меня просто в голове на сейчас выстроилась определенная схема, примитивная, и я пытаюсь понять - она верная или нет, даже в своем примитиве.
Рассказываю.
Есть персональные данные, которые на бумажках, в личных карточках итп - как их защитить - головная боль кадровика. Положения, инструкции разрабатывай, кто имеет доступ итд итп.
Есть ПД, которые в базах, программах и прочем. Как ЭТО защищать - это уже вопрос лицензированной организации. Либо самостоятельно - но опять же через лицензию, поскольку данный вид деятельности лицензируется. (см.выше про фантастику).
Данная примитивная схема верна?
Есть ПД, которые в базах, программах и прочем. Как ЭТО защищать - это уже вопрос лицензированной организации. Либо самостоятельно - но опять же через лицензию, поскольку данный вид деятельности лицензируется. (см.выше про фантастику).
Данная примитивная схема верна?
Я ламер сказал б нет - не верна - храните, помните, используете - значит обрабатываете.
Не вижу я про только электронную формы.
Отправила боссу по почте - вот резюме, вот его тест - залет?
Т
Темнее ночи, с нежным сердцем
….
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
(ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (принят ГД ФС РФ 08.07.2006))
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
(ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (принят ГД ФС РФ 08.07.2006))
Подскажите, а в случае, если Компания А берет данные физ.лица для регистрации доменного имени в Компании Б (которой нужно отправить копию паспорта). Нужно тогда письменное согласие физика?
V
Vinigal Pau
2. Как там по ФЗоПП - если качество не устроило и так далее? Разорвали. Но хранили же? А договор не исполнен. Залет?
Не исполнен но исполнялся. Есть различия?
Договор был и он исполнялся, данные нужны были для исполнения. Какие претензии?
Отправила боссу по почте - вот резюме, вот его тест - залет?
С таким же успехом можно вчинить иск и о нарушении авторских прав
С чего решили что босс будет обрабатывать эти ПД? Может он и читать его не будет?
V
Vinigal Pau
Компания А берет данные физ.лица для регистрации доменного имени в Компании Б (которой нужно отправить копию паспорта). Нужно тогда письменное согласие физика?
ИМХО, хоть в гостинице поселяться, хоть доменные имена регать - одинаково не надо. Это же необходимо для исполнения договора!
Почему не получим?
А почему вам ее должны выдать?
то нужна
Вы меня уже запутали ) Есть перс данные - лицензия нужна, нет перс данных - нет. Понятно?
Есть персональные данные, которые на бумажках, в личных карточках итп - как их защитить - головная боль кадровика. Положения, инструкции разрабатывай, кто имеет доступ итд итп.
Есть ПД, которые в базах,
программах и прочем. Как ЭТО защищать - это уже вопрос лицензированной организации. Либо самостоятельно - но опять же через лицензию, поскольку данный вид деятельности лицензируется. (см.выше про фантастику).
Данная примитивная схема верна?
Ну если примитивно то, скажем где-то близко.
как их защитить - головная боль кадровика. Положения, инструкции разрабатывай, кто имеет доступ итд итп. - это в корне не верно.
Это на вас навалили чужую работу. Все это делают спецы по защите инфы, it отдел (как ни странно на них тоже это сваливают).
Вы врят-ли сможете без спец обучения написать инструкцию, скажем матрицу доступа...
и если вы напишете, а как же лицензия? У вас ее нет. И если даже у вашего предприятия она есть, вы не спец по защите инфы т.е. ваша инструкция недействительна т.к. ее ДОЛЖЕН разработать человек с образованием в сфере защите инфы. А это блатная специальность т.к. только очно и платно и стоит порядка 100 т.р. за полгода. Выпускает УПИ и УРГУПС.
Вот вам верхушка айсберга.
А теперь вопрос - сколько денег вы готовы предложить спецу по защите инфы при трудоустройстве? Миниум 50 т.р. в месяц - это только начало.
Договор был и он исполнялся, данные нужны были для исполнения. Какие претензии?
То есть важен процесс? Исполнения?
Мы вам хотели эту фигню продать и нашли ваши ПД?
Я просто ищу границы где ФЗ этот работает а где нет
С чего решили что босс будет обрабатывать эти ПД? Может он и читать его не будет?
Он может не будет
Но хранит же?
Вы меня уже запутали ) Есть перс данные - лицензия нужна, нет перс данных - нет. Понятно?
Что есть персданные?
Я тут спрашивал:
1. Когда физик приходит устраиваться на работу - пишит анкету - для обработки, хранения нужно его согласие
2. Когда ФИО, номер паспорта и т.д. спрашивают в гостинице и вносят в базу отеля для формирования документов - нужно согласие? Кажется да
3. Когда договор с ИП Пупкиным заключаешь - он юрик - и не надо.
4. А когда там ФИО продавщицы из киоска ИП Пупкина где-то фиксируется для работы-контактов - нужно согласие продавщицы?
PS Во многих магазинах весит объявление - возврат денег за товар только с паспортом - при возврате специально переписывают данные - сами себе яму роют?
Вы ответили только на PS
ИМХО, хоть в гостинице поселяться, хоть доменные имена регать - одинаково не надо. Это же необходимо для исполнения договора!
Да мы хомячим ПД только для добра
А почему вам ее должны выдать?
Так надо получать или нет. Если надо то кому минимум?
V
Vinigal Pau
То есть важен процесс? Исполнения?
ну из текста закона это явно следует.
Мы вам хотели эту фигню продать и нашли ваши ПД?
не путайте. Нашли - это из общедоступных источников если. Тут про ситуацию когда сам субьект ПД эти ПД передал, но не писал специального согласия. То есть сам факт добровольной передачи и заключения договора - значит согласие.
Я просто ищу границы где ФЗ этот
работает а где нет
как и любой закон в России
Но хранит же?
докажите что хранит. Может стирает с почтового сервера не загружая.
Что есть персданные?
http://lmgtfy.com/?q=%D0%BF%D0%B5%D1%80%D1%81%D0%B...+%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5+%D1%8D%D1%82%D0%BE
[quote] Вы ответили только на
PS
Реально лень. Я тут уже на 2 страницы написал. Устал.
Так надо получать или нет. Если надо то кому минимум?
http://www.fstec.ru/_docs/doc_2_2_032.htm
Читаем, думаем.
Реально лень. Я тут уже на 2 страницы написал. Устал.
Ссылку на пост пожалуйста можно
докажите что хранит. Может стирает с почтового сервера не загружая.
Вы с ОМОНом-ОБЭПом сталкивались?
Легко "находят"
PS А еще у некоторых компаний есть обязанность хранить переписку несколько лет - не знали?
Это на вас навалили чужую работу. Все это делают спецы по защите инфы, it отдел (как ни странно на них тоже это сваливают).
то есть по правилам, а не так как это в жизни, И для ПД обрабатываемых программой, И для тех которые на рукописных бумажках, все положения и прочие документы о их защите должны разрабатываться мало того что лицензированной организацией, так еще и "специально обученным человеком"?
V
Vinigal Pau
А еще у некоторых компаний есть обязанность хранить переписку несколько лет - не знали?
Электронную?
V
Vinigal Pau
Вы с ОМОНом-ОБЭПом сталкивались?
А Вы?
Да. И не одним.
Отлично. Тогда вытекающие вопросы.
1. С инструкциями, которые под нажимом начальства все же будут нарисованы кадровиком/юристом, можно благополучно отправляться в WC? и получается, что ничего по защите ПД предприятие не сделало, хотя юрист/кадровик чуть не сдох? Со всеми вытекающими в виде штрафов итп?
2. во что конкретно тыкать носом работодателя, дабы убедить его в справедливости п.1?
начальства все же будут нарисованы кадровиком/юристом, можно благополучно отправляться в WC? и получается, что ничего по защите ПД предприятие не сделало, хотя юрист/кадровик чуть не сдох?
В общих словах - ваши документы будут "корявыми". Впрочем, некоторые инструкции вы можете подготовить сами. Но не все.
--------------
На первом этапе необходимо провести предварительный анализ существующих информационных систем предприятия и установить перечень персональных данных, обрабатываемых на предприятии, цели обработки персональных данных, а также сроки их обработки и хранения.
Ваша компания может сделать это самостоятельно, изучив закон «О персональных данных» и пару десятков связанных с ним законодательных актов.
---------------
Нет вы сделали, что могли и при проверке, возможно, это зачтется.
Просто в конце всех работ вам надо провести аттестацию информационной системы по требованиям защиты информации ФСТЭК.
А для этого нужна лицензия.
И представьте вы что-то написали и пригласили спецов аттестовать.
А они и говорят - это бред как мы это аттестуем? И что вы будете делать?
А они и говорят - это бред как мы это аттестуем? И что вы будете делать?
лично я как минимум материть директора, который решил сэкономить
директор, видимо, тех, кто придумал новый способ отъема денег.
t
tiu
вообще, защита ПДн не ограничена 152-ФЗ.
Есть ещё 149-ФЗ "Об информации......", Указ Президента РФ от 17.03.08 № 351, ППРФ от 06.06.08 №512, ППРФ от 15.09.08 №687, ППРФ от 17.11.08 № 781, "Приказ трёх" № 55/86/20
Госконтора.
Пережили насшествие ФСТЭКа.
Ничё не лицензировали и не собираемся. Аттестовывали гостайну по договору с лицензированной организацией.
Неавтоматизированная обработка ПДн(то, что заполняется и хранится на бумаге) не требует специальных условий, необходимо грамотно организовать положение о пропускном режиме и исключить возможность доступа к ПДн посторонних и не уполномоченных на то лиц (в т.ч. предусмотреть зашторивание окон и т.д.)
Все проблемы начинаются, когда ПДн обрабатываются на компьютерах, имеющих хоть и возможный, но доступ в Интернет. Поэтому предусмотрели полную изоляцию таких отделов как кадры и бухгалтерия.
Способствовало уменьшению класса также компактное расположение (в отдельных изолированных кабинетах).
Основная проблема - linux не сертифицирован под обработку ПДн. Вынуждают переходить на MS Windows. хотя бы XP Professional. На них соответствующие сертификаты есть. Но денег на приобретение MS Windows нет. Отсюда и конфликт "интересов". К Винде сразу потребуется сертифицированный антивирус.
Всю документацию разрабатывали, взяв за основу Методические рекомендации Минздравсоцразвития.
НО у нас было приемущество - в штате числился человек, имевший корочки специалиста по защите информации.
ПЛЮС. На данный момент отсутствует "установленный порядок оценки соответствия". То, что пытаются сюда впарить "аттестацию" и "сертификацию" - понятно, лицензиатам хочется бабла срубить. Но вестись на это стоит лишь в случае, если есть обработка каких-либо "секретов". Если идёт текущая обработка кадровых/зарплатных документов, имеет смысл "слать подальше".
Есть ещё 149-ФЗ "Об информации......", Указ Президента РФ от 17.03.08 № 351, ППРФ от 06.06.08 №512, ППРФ от 15.09.08 №687, ППРФ от 17.11.08 № 781, "Приказ трёх" № 55/86/20
Госконтора.
Пережили насшествие ФСТЭКа.
Ничё не лицензировали и не собираемся. Аттестовывали гостайну по договору с лицензированной организацией.
Неавтоматизированная обработка ПДн(то, что заполняется и хранится на бумаге) не требует специальных условий, необходимо грамотно организовать положение о пропускном режиме и исключить возможность доступа к ПДн посторонних и не уполномоченных на то лиц (в т.ч. предусмотреть зашторивание окон и т.д.)
Все проблемы начинаются, когда ПДн обрабатываются на компьютерах, имеющих хоть и возможный, но доступ в Интернет. Поэтому предусмотрели полную изоляцию таких отделов как кадры и бухгалтерия.
Способствовало уменьшению класса также компактное расположение (в отдельных изолированных кабинетах).
Основная проблема - linux не сертифицирован под обработку ПДн. Вынуждают переходить на MS Windows. хотя бы XP Professional. На них соответствующие сертификаты есть. Но денег на приобретение MS Windows нет. Отсюда и конфликт "интересов". К Винде сразу потребуется сертифицированный антивирус.
Всю документацию разрабатывали, взяв за основу Методические рекомендации Минздравсоцразвития.
НО у нас было приемущество - в штате числился человек, имевший корочки специалиста по защите информации.
ПЛЮС. На данный момент отсутствует "установленный порядок оценки соответствия". То, что пытаются сюда впарить "аттестацию" и "сертификацию" - понятно, лицензиатам хочется бабла срубить. Но вестись на это стоит лишь в случае, если есть обработка каких-либо "секретов". Если идёт текущая обработка кадровых/зарплатных документов, имеет смысл "слать подальше".
Пережили насшествие ФСТЭКа.
ФСБ было?
Основная проблема - linux не сертифицирован под обработку ПДн.
Linux xp
Но денег на приобретение MS Windows нет
Как все запущено...
если есть обработка каких-либо "секретов". Если идёт текущая обработка кадровых/зарплатных документов, имеет смысл "слать подальше".
В корне неправильный подход.
t
tiu
№ п/п: 14 Код: 444277-5
Название: О внесении изменений в статью 25 Федерального закона "О персональных данных"
Комментарий: в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных"
Вид закона: Федеральный закон
Дата внесения в ГД: 22.10.2010
Инициатор(ы): депутат ГД Аксаков Анатолий Геннадьевич
Ответственный комитет: Комитет ГД по конституционному законодательству и государственному строительству
Стадия рассмотрения: Предварительное рассмотрение законопроекта, внесенного в Государственную Думу
Этап рассмотрения: Рассмотрение Советом Государственной Думы законопроекта, внесенного в Государственную Думу
Последнее решение: 15.11.2010 назначить ответственный комитет; представить отзывы, предложения и замечания к законопроекту; подготовить законопроект к рассмотрению Государственной Думой; включить законопроект в примерную программу; назначить комитет-соисполнитель
Название: О внесении изменений в статью 25 Федерального закона "О персональных данных"
Комментарий: в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных"
Вид закона: Федеральный закон
Дата внесения в ГД: 22.10.2010
Инициатор(ы): депутат ГД Аксаков Анатолий Геннадьевич
Ответственный комитет: Комитет ГД по конституционному законодательству и государственному строительству
Стадия рассмотрения: Предварительное рассмотрение законопроекта, внесенного в Государственную Думу
Этап рассмотрения: Рассмотрение Советом Государственной Думы законопроекта, внесенного в Государственную Думу
Последнее решение: 15.11.2010 назначить ответственный комитет; представить отзывы, предложения и замечания к законопроекту; подготовить законопроект к рассмотрению Государственной Думой; включить законопроект в примерную программу; назначить комитет-соисполнитель
Это с сайта дума.гов.ру. Законопроект. Ну не готова РФ к выполнению всех тех требований, что в 152-ФЗ содержатся.
ФСБ было?
кроме "смайла" на такой вопрос ответить нечего. ;-)
Как все запущено...
на самом деле, поскольку текущим задачам удовлетворяет текущая реализация, не вижу смысла в установке проприетарного программного обеспечения. И чрезмерные требования в виде искусственного принуждения установки винды - бред. Поэтому винда устанавливаться не будет до тех пор, пока Москва не выделит средства (для обеспечения всего парка лицензиями потребуется по примерным подсчётам при условии установки WXP OLP NL GG и MSOP+ OLP Gov порядка трёх милионов целковых. естесственно, "таких денег нет")
В корне неправильный подход.
"правильный" подход - жить согласно "Четырёхглавию", превратившемуся в мутанта? Согласно нему - да, и лицензирование и сертифицирование и пр, и пр, и пр. Только законы наши "законодатели" поменяли. И теперь лицензию получать для собственных нужд - лишняя трата денег. Особенно, с такими "специалистами" по защите информации в штате. С конечной среднегодовой зарплатой порядка 12-15 тыс в месяц. НЕ готово государство САМО в своих структурах обеспечить присутствие грамотных специалистов по защите информации, а, соответственно, и реализовывать все те положения, что на законодательном уровне напридумывало само себе.
Авторизуйтесь, чтобы принять участие в дискуссии.