Comments 52
1. Внимательно читаем ст. 14, в частности п.3, помимо указанного в статье, запрос Оператору должен содержать "… сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором".
2. Если ответ нас не удовлетворил, мы вправе, опять-таки в соответствии со статьей 14, п.5, повторно направить запрос Оператору.
3. ПДн не могут находиться во временном обладании. ПДн принадлежат субъекту и могут у Оператора только обрабатываться.
4. Если субъекту кажется, что его ПДн обрабатываются незаконно, он вправе требовать от Оператора прекращения такой обработки (ст.21).
5. Законность проведения внеплановой проверки Роскомнадзором Оператора и так находится под бооольшим сомнением, а Вы еще требуете «оказать содействие». Лично проверять планируете?
6. Помимо Роскомнадзора, на действия или бездействие Оператора можно пожаловаться в суд (статья 17).
2. Если ответ нас не удовлетворил, мы вправе, опять-таки в соответствии со статьей 14, п.5, повторно направить запрос Оператору.
3. ПДн не могут находиться во временном обладании. ПДн принадлежат субъекту и могут у Оператора только обрабатываться.
4. Если субъекту кажется, что его ПДн обрабатываются незаконно, он вправе требовать от Оператора прекращения такой обработки (ст.21).
5. Законность проведения внеплановой проверки Роскомнадзором Оператора и так находится под бооольшим сомнением, а Вы еще требуете «оказать содействие». Лично проверять планируете?
6. Помимо Роскомнадзора, на действия или бездействие Оператора можно пожаловаться в суд (статья 17).
Хочу так сделать в отношении всех, кто шлет мне коммунальные квитанции в открытом виде. Но знаю, что в результате пострадает мое ТСЖ. И придется мне же самому обрабатывать эти персональные данные и печатать квитанции.
Как правильный вариант, могут присылать в конвертах (оплачиваете Вы) или вынудят ходить забирать самостоятельно. Думаю, из вариантов «Ходить забирать квитанцию в порядке общей очереди в четверг с 14 до 16» или «Согласен чтоб слали открыто» многие выберут второе…
А зачем «так делать»?
<offtopic>Я конечно понимаю, что для девяностолетних бабушек можно сделать очень разумный шаг навстречу, прислав им бумажную коммунальную квитанцию в при этом аккуратненько распечатав хорошим штрифтом с полужирными буквами в режиме без экономии тонера, чтобы было лучше видно, и положить в почтовый ящичек. И это я считаю нормальным и правильным — учитывать предпочтения старшего поколения, далекого от высоких технологий.
Да, но неужели у оставшегося населения, к коим относятся хабраюзеры, (т.е. не относящегося к вышеперечисленным девяностолетним бабушкам), не вызывает facepalm.jpg выгребание бумажных квитанции из-под стопки бумажного спама в почтовом ящике в двадцатьпервом-то веке?</offtopic>
Самое правильное — если вам не лень, и вы уж сподобитесь «сходить ножками» к вашим комунальщикам: это письменно предложить вашему ТСЖ не только не создавать никому лишнего гемороя «с передачей персональных данных по открытым нешифрованным каналам связи коим является бумага в почтовом ящике», но предложить некоторую съэкономию на бумаге и на бумажно-почтовой пересылке, то есть просто перестав вам слать все эти квитанций в бумажном виде. И можете в письменном заявлении в качестве мотивировки (помимо вышеперичисленных ссылок на пункты ФЗоПД) написать, что у вас прямые руки и мозги позволяют вам прописать один раз реквизиты коммунального платежа в интернет-банкинге. И дальше пусть (наверное более, предполагается, компетентные в вопросах информбезопасности) IT и Security службы уже вашего банка уже принимают надлежащие меры для сохранения ваших персональных данных (а у них с этим должно быть всяко-то построже чем в вашем ТСЖ, по-любому, банк все-таки).
Вот, интересно, у одного меня что-ли такие мысли?
Да, но неужели у оставшегося населения, к коим относятся хабраюзеры, (т.е. не относящегося к вышеперечисленным девяностолетним бабушкам), не вызывает facepalm.jpg выгребание бумажных квитанции из-под стопки бумажного спама в почтовом ящике в двадцатьпервом-то веке?</offtopic>
Самое правильное — если вам не лень, и вы уж сподобитесь «сходить ножками» к вашим комунальщикам: это письменно предложить вашему ТСЖ не только не создавать никому лишнего гемороя «с передачей персональных данных по открытым нешифрованным каналам связи коим является бумага в почтовом ящике», но предложить некоторую съэкономию на бумаге и на бумажно-почтовой пересылке, то есть просто перестав вам слать все эти квитанций в бумажном виде. И можете в письменном заявлении в качестве мотивировки (помимо вышеперичисленных ссылок на пункты ФЗоПД) написать, что у вас прямые руки и мозги позволяют вам прописать один раз реквизиты коммунального платежа в интернет-банкинге. И дальше пусть (наверное более, предполагается, компетентные в вопросах информбезопасности) IT и Security службы уже вашего банка уже принимают надлежащие меры для сохранения ваших персональных данных (а у них с этим должно быть всяко-то построже чем в вашем ТСЖ, по-любому, банк все-таки).
Вот, интересно, у одного меня что-ли такие мысли?
А вот кстати, имя и адрес в совокупности — это же мои персональные данные?
Их необходимо указывать в книге жалоб и предложений, при этом она должна быть общедоступна — нет ли тут противоречия.
Их необходимо указывать в книге жалоб и предложений, при этом она должна быть общедоступна — нет ли тут противоречия.
Если Вы их там напишете, получится случай «субъект ПДн сделал свои ПДн общедоступными», никто ж не заставляет Вас там писать? И еще вопрос — надо именно «адрес места жительства/регистрации» или «контактный адрес» тоже подойдет?
«Задача — сделать так, чтобы оператору персональных данных незаконная обработка этих данных стоила серьезных финансовых и временных затрат.»
К сожалению, закон написан так, что гораздо более серьезных финансовых и временных затрат будет стоить законная обработка…
Вообще, закон «О персональных данных», наряду с законом «О противодействии экстремистской деятельности», а также статьям 146 и 282 УК, относится к нормативным актам, написанным блядями и для блядей. Поэтому, прежде, чем пользоваться полезными советами, изложенными в статье, рекомендую подумать, стоит ли уподобляться целевой аудитории закона.
К сожалению, закон написан так, что гораздо более серьезных финансовых и временных затрат будет стоить законная обработка…
Вообще, закон «О персональных данных», наряду с законом «О противодействии экстремистской деятельности», а также статьям 146 и 282 УК, относится к нормативным актам, написанным блядями и для блядей. Поэтому, прежде, чем пользоваться полезными советами, изложенными в статье, рекомендую подумать, стоит ли уподобляться целевой аудитории закона.
Оператор должен привести в соответствие с требованием обработку после обращения владельца персональных данных, это и есть финансовые затраты. Если средства защиты не внедрены, или к примеру используемая модель угроз является более слабой чем ФСТЭК, это нарушение, на которую оператору можно указать, желательно с привлечением Роскомнадзора, что бы предписание было.
1. Роскомнадзору вообще нет дела до средств защиты и моделей. Их дело — проверка 152-ФЗ и ПП-687. По крайней мере, по публикуемой ими информации, самые излюбленные нарушения — неотправленные уведомления (штраф 3-5 тыс. рублей), обработка нецелевых ПДн и отсутствие пары строк в ОРД.
2. В настоящее время Правительство занято тем, что подготавливает уровни защищенности для ПДн, а ФСТЭК — требования по защите информации в ИСПДн для их обеспечения (ну, или по крайней мере должны). Пока не огласят эти самые уровни защищенности и не скажут, как их обеспечивать — про техническую защиту ПДн в приличном обществе так уверенно лучше вообще не говорить.
2. В настоящее время Правительство занято тем, что подготавливает уровни защищенности для ПДн, а ФСТЭК — требования по защите информации в ИСПДн для их обеспечения (ну, или по крайней мере должны). Пока не огласят эти самые уровни защищенности и не скажут, как их обеспечивать — про техническую защиту ПДн в приличном обществе так уверенно лучше вообще не говорить.
Не должен. С чего вы это взяли?
1. Роскомнадзор не проверяет правильность настройки и достаточность средств защиты, этим занимается ФСТЭК и ФСБ, в рамках своих полномочий. Но проверить наличие всей документации, включая и технического проекта, и модели угроз, он должен. И если он не публикует замечания, это не значит что он их не проверяет, или не может проверить, регламент его не ограничивает только ПП-687.
При этом статья 18.1 ФЗ говорит следующее:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Соответственно я могу с ней ознакомиться да и сравнить с 58 приказом, какие выводы я могу сделать, это уже мое дело.
2. Ну а для меня как для лица чьи персональные данные обрабатываются к примеру коллекторским агентством, какая разница что оператор ожидает выхода постановлений. В законе четко сказано что необходимо обеспечить конфиденциальность. Пускай аттестует себе ИСПДн по конфиденциальности или под секретку и спокойно обрабатывает. Не хочет и ждет постановлений, пускай пишет мои персональные данные на бумаге.
Использование информационных систем при обработки моих персональных данных его никто не обязывает, это исключительно его личное желание и его личная проблема, я то чем ему могу помочь, выпустить постановление?
При этом статья 18.1 ФЗ говорит следующее:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Соответственно я могу с ней ознакомиться да и сравнить с 58 приказом, какие выводы я могу сделать, это уже мое дело.
2. Ну а для меня как для лица чьи персональные данные обрабатываются к примеру коллекторским агентством, какая разница что оператор ожидает выхода постановлений. В законе четко сказано что необходимо обеспечить конфиденциальность. Пускай аттестует себе ИСПДн по конфиденциальности или под секретку и спокойно обрабатывает. Не хочет и ждет постановлений, пускай пишет мои персональные данные на бумаге.
Использование информационных систем при обработки моих персональных данных его никто не обязывает, это исключительно его личное желание и его личная проблема, я то чем ему могу помочь, выпустить постановление?
1. Какой тех. проект, причем здесь это? Роскомнадзор проверяет организацию обработки. Сказано в ФЗ, что должна обеспечиваться защита? Пожалуйста, вот у меня Антивирус и встроенные средства Windows, пароль нужен и дверь запирается. Вот Политика защиты ПДн, вот инструкция для персонала. Нарушений нет? До свидания, через три года еще заходите.
Про политику. Политика — документ достаточно высокого уровня. Прописать там можно все, что угодно, но проверять обеспечивается ли требуемый уровень защиты при автоматизированной обработке — не в компетенции Роскомнадзора.
Про 58 приказ. Почитайте блог безопасников, например, Алексей Волкова, где-то в районе начала августа. Кратко, В 58 приказе все вертится вокруг классов защиты. Классы определены для типовых ИСПДн. Типовых ИСПДн — не существует, особенно с принятием поправок. Чтобы строить защиту надо чтобы Правительство и ФСТЭК выпустило ряд документов, предусмотренных в ФЗ (те жеуровни защищенности, требования по защите). Пока же я могу смело говорить, что просто не знаю как и до какой степени мне защищать ПДн в ИСПДн.
2. Коллекторы получили Ваши ПДн с нарушением. Банки имеют право передавать информацию в бюро кредитных историй, а не «левым» коллекторским агентствам. Я не понимаю вообще смысл Вашего ответа по второй части — я имел в виду, что в настоящее время не известно как именно надо защищать ИСПДн.
Про аттестацию — извините меня, но просто бред. ПДн — это ПДн, а не ком. или гос. тайна. И никакой аттестации в законе явно не предусмотрено и, хочется верить, предусмотрено не будет.
Вас, как субъекта. должно интересовать, прежде всего, чтобы Ваши ПДн обрабатывались безопасно и по закону. А не как испортить жизнь компаниям, облегчив при этом свою. К сожалению, из статей складывается именно второе ощущение.
Про политику. Политика — документ достаточно высокого уровня. Прописать там можно все, что угодно, но проверять обеспечивается ли требуемый уровень защиты при автоматизированной обработке — не в компетенции Роскомнадзора.
Про 58 приказ. Почитайте блог безопасников, например, Алексей Волкова, где-то в районе начала августа. Кратко, В 58 приказе все вертится вокруг классов защиты. Классы определены для типовых ИСПДн. Типовых ИСПДн — не существует, особенно с принятием поправок. Чтобы строить защиту надо чтобы Правительство и ФСТЭК выпустило ряд документов, предусмотренных в ФЗ (те жеуровни защищенности, требования по защите). Пока же я могу смело говорить, что просто не знаю как и до какой степени мне защищать ПДн в ИСПДн.
2. Коллекторы получили Ваши ПДн с нарушением. Банки имеют право передавать информацию в бюро кредитных историй, а не «левым» коллекторским агентствам. Я не понимаю вообще смысл Вашего ответа по второй части — я имел в виду, что в настоящее время не известно как именно надо защищать ИСПДн.
Про аттестацию — извините меня, но просто бред. ПДн — это ПДн, а не ком. или гос. тайна. И никакой аттестации в законе явно не предусмотрено и, хочется верить, предусмотрено не будет.
Вас, как субъекта. должно интересовать, прежде всего, чтобы Ваши ПДн обрабатывались безопасно и по закону. А не как испортить жизнь компаниям, облегчив при этом свою. К сожалению, из статей складывается именно второе ощущение.
Ну значит у компаний на текущий момент нет возможности обрабатывать ПДн в автоматизированных системах. Пускай ждут постановлений.
А почему я должен облегчать им жизнь?
Судя по отношению юридических лиц к своим клиентам, лишь бы бабло взять, а дальше хоть трава не расти, при это бабла надо взять как можно больше.
А почему я должен облегчать им жизнь?
Судя по отношению юридических лиц к своим клиентам, лишь бы бабло взять, а дальше хоть трава не расти, при это бабла надо взять как можно больше.
Еще сам письменный запрос, направляемый оператору в по почте, должен быть удостоверен нотариально заверенной подписью
Прошу прощения, что то глюкнуло. «Не должен. С чего вы это взяли?» относится к данному посту.
Если запрос не удостоверен, то каким образом оператор может установить, что запрос исходил от субъекта ПДн?
Я в этом вопросе ориентируюсь на стандарт НАПФ по персоналке, разработанный достаточно известный компанией-интегратором ЛЕТА — Р НАПФ 4.3-2010 (http://napf.ru/14154).
В документе-Приложении А к этому стандарту в п. 4.2.9 разъясняется какими способами удостоверяется письменный запрос субъекта ПДн.
При личном обращении — паспортом.
При отсылке электронного документа — ЭЦП.
При почтовом запросе — нотариально удостоверенной подписью.
+ поясняется что делать, если обращается представитель субъекта ПДн.
В документе-Приложении А к этому стандарту в п. 4.2.9 разъясняется какими способами удостоверяется письменный запрос субъекта ПДн.
При личном обращении — паспортом.
При отсылке электронного документа — ЭЦП.
При почтовом запросе — нотариально удостоверенной подписью.
+ поясняется что делать, если обращается представитель субъекта ПДн.
Это личное мнение компании Лета, такое требование не прописано нигде, моей подписи достаточно. Оператор может сравнить мою подпись в обращении с договором, если есть договор, или с письменным разрешением на обработку персональных данных. Ну либо не отвечать.
Как вы сами заметили, в ряде случаев образца подписи быть не может, т.к. согласие может быть дано субъектом при акцепте, например публичной оферты на сайте путем проставления галочки.
> Ну либо не отвечать.
Нарушив тем самым закон.
> Ну либо не отвечать.
Нарушив тем самым закон.
Галочки недостаточно, у оператора есть обязанность проверить правильность предоставленных данных. Если это заказ в интернет магазине, то при доставке надо спросить паспорт и получить разрешение за подписью, и это если в дальнейшем планируется обрабатывать ПДн, так как основания обработки персональных данных исполнены(договор). Либо удаль эти персональные данные. У нас акцепта в виде галочки не существует в ФЗ.
152-ФЗ установлено 5 случаев, при которых согласие получается исключительно в письменной форме: трансграничка, биометрия, спецкатегории, общедоступность, и принятие решений на исключительно автоматизированной основе.
В иных случаях согласие может быть дано в любой форме (доказуемой). В частности в форме конклюдентных действий (что работает по ГК, но «не указано» в 152-ФЗ).
Про согласия в интернет-коммерции позавчера был интересный вебинар, ведомый Михаилом Емельянниковым. Статья по этому вебинару emeliyannikov.blogspot.com/2011/09/152.html
Ссылку на просмотр вебинара могу скинуть в личку (т.к. боюсь там она привязана на меня)
Дополнительно к вебинару можете посмотреть как решил вопрос РКН: www.pd.rsoc.ru/operators-registry/notification/form/ (внизу галочка)
А также очень интересное решение ФАС www.resheniya-sudov.ru/2010/245464/ В этом решении так вообще приравняли к согласию в _письменной_ форме.
В иных случаях согласие может быть дано в любой форме (доказуемой). В частности в форме конклюдентных действий (что работает по ГК, но «не указано» в 152-ФЗ).
Про согласия в интернет-коммерции позавчера был интересный вебинар, ведомый Михаилом Емельянниковым. Статья по этому вебинару emeliyannikov.blogspot.com/2011/09/152.html
Ссылку на просмотр вебинара могу скинуть в личку (т.к. боюсь там она привязана на меня)
Дополнительно к вебинару можете посмотреть как решил вопрос РКН: www.pd.rsoc.ru/operators-registry/notification/form/ (внизу галочка)
А также очень интересное решение ФАС www.resheniya-sudov.ru/2010/245464/ В этом решении так вообще приравняли к согласию в _письменной_ форме.
Статья 9
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
Немного отвлекитесь от задачи как оператору выполнить требования 152 ФЗ. Разговор о том, как владельцу персональных данных заставить оператора соблюдать законодательство, либо прекратить обработку персональных данных.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
Немного отвлекитесь от задачи как оператору выполнить требования 152 ФЗ. Разговор о том, как владельцу персональных данных заставить оператора соблюдать законодательство, либо прекратить обработку персональных данных.
> заставить оператора соблюдать законодательство, либо прекратить обработку персональных данных
Я как раз первый пост в ветке написал о том, что если запрос в письменной форме, отправляемый по почте, не будет надлежащим образом оформлен (без удостоверения), то он просто проигнорируется оператором. Причем с основанием.
Я как раз первый пост в ветке написал о том, что если запрос в письменной форме, отправляемый по почте, не будет надлежащим образом оформлен (без удостоверения), то он просто проигнорируется оператором. Причем с основанием.
Еще раз повторяю, это мнение отдельных юридических лиц. Мнение Роскомнадзора противоположное, посмотрите практику проверок.
Если оператор, проигнорирует, флаг ему в руки, Роскомнадзор не проигнорирует самое главное заявление физического лица, а в данном случаи это более важно.
Если оператор, проигнорирует, флаг ему в руки, Роскомнадзор не проигнорирует самое главное заявление физического лица, а в данном случаи это более важно.
Я подписан на rsocnews.ru, возможно что-то упустил. Что-то, являющееся основанием внеплановой проверки РКН оператора. Наблюдал только штрафы по 13.11 и по 19.7 КоАП (больше по 19.7 = непредоставление запрошенной у оператора РКН-ом информации).
Если не сложно, подскажите такой пример. В котором еще подробно было бы указано, что запрос был удостоверен/нет.
Я в теме персоналки пытаюсь разбираться, мне все интересно.
Если не сложно, подскажите такой пример. В котором еще подробно было бы указано, что запрос был удостоверен/нет.
Я в теме персоналки пытаюсь разбираться, мне все интересно.
Смотрите регионы. Последнее это приостановка делегирования доменов.
А да, признаюсь… Помню недавно смотрел этот случай…
С одной стороны, оператор повел себя глупо, не оспорив решение в суде.
С другой стороны, насколько я понимаю, согласие сайтом не бралось никакое вообще. Кроме того из новости не ясно какие категории ПДн обрабатывались на сайте (в частности действительно нужно было ли именно письменное согласие), каким образом они там оказались, что это вообще за сайт.
И субъект ПДн направил жалобу в РКН, и они способствовали закрытию сайта только после того как неосилили связаться с оператором.
И совсем неясно из этого случая, надо ли или не надо удостоверять запрос субъекта оператору (не запрос РКН-у).
Укажу опять же на www.pd.rsoc.ru/operators-registry/notification/form/ РКН сам себя не закрывает.
С одной стороны, оператор повел себя глупо, не оспорив решение в суде.
С другой стороны, насколько я понимаю, согласие сайтом не бралось никакое вообще. Кроме того из новости не ясно какие категории ПДн обрабатывались на сайте (в частности действительно нужно было ли именно письменное согласие), каким образом они там оказались, что это вообще за сайт.
И субъект ПДн направил жалобу в РКН, и они способствовали закрытию сайта только после того как неосилили связаться с оператором.
И совсем неясно из этого случая, надо ли или не надо удостоверять запрос субъекта оператору (не запрос РКН-у).
Укажу опять же на www.pd.rsoc.ru/operators-registry/notification/form/ РКН сам себя не закрывает.
Мы скатываемся в очередной раз к смыслу, что делать оператору персональных данных, что не хотелось бы, оскомину уже набило по полной программе.
Отзвонюсь в ПН в местный РКН по поводу удостоверения подписи.
В РКН отзвонился. По итогам могу сказать, что вопрос того, принимать или нет запрос субъекта ПДн, полученный в форме почтового запроса и не удостоверенный нотариально, лежит на совести оператора.
Сказали, что «нет ничего страшного, если мы (оператор) ответим на не удостоверенный запрос».
Т.о. можно сказать, что в общем случае запрос должен быть удостоверен.
Priestv, вы не можете озвучить позицию РКН по этому вопросу?
Сказали, что «нет ничего страшного, если мы (оператор) ответим на не удостоверенный запрос».
Т.о. можно сказать, что в общем случае запрос должен быть удостоверен.
Priestv, вы не можете озвучить позицию РКН по этому вопросу?
Как я уже сказал, это мнение отдельного юридического лица, заказное письмо отправляется от имени конкретного человека. Если оператор считает что может не отвечать, пускай не отвечает.
Скажите, если вы будете отправлять претензию в магазин заказным письмом, вы то же будете удостоверять наличие у вас чека нотариально?
Скажите, если вы будете отправлять претензию в магазин заказным письмом, вы то же будете удостоверять наличие у вас чека нотариально?
Мнение юрлица + РКН.
В общем думаю согласиться с заказным письмом.
Если не сложно, все же уточните позицию вашего РКН по данному вопросу. Ради интереса.
В общем думаю согласиться с заказным письмом.
Если не сложно, все же уточните позицию вашего РКН по данному вопросу. Ради интереса.
Мнение нашего РНК: Закон обязывает оператора персональных данных ответить, требование по нотариальному заверению запроса владельца персональных данных к оператору в законодательстве отсутствует. В случаи, если физическое лицо обратиться к РНК с заявлением и укажет что не ответили на запрос, это является нарушением.
1. Роскомнадзор не проверяет правильность настройки и достаточность средств защиты, этим занимается ФСТЭК и ФСБ, в рамках своих полномочий. Но проверить наличие всей документации, включая и технического проекта, и модели угроз, он должен. И если он не публикует замечания, это не значит что он их не проверяет, или не может проверить, регламент его не ограничивает только ПП-687.
При этом статья 18.1 ФЗ говорит следующее:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Соответственно я могу с ней ознакомиться да и сравнить с 58 приказом, какие выводы я могу сделать, это уже мое дело.
2. Ну а для меня как для лица чьи персональные данные обрабатываются к примеру коллекторским агентством, какая разница что оператор ожидает выхода постановлений. В законе четко сказано что необходимо обеспечить конфиденциальность. Пускай аттестует себе ИСПДн по конфиденциальности или под секретку и спокойно обрабатывает. Не хочет и ждет постановлений, пускай пишет мои персональные данные на бумаге.
Использование информационных систем при обработки моих персональных данных его никто не обязывает, это исключительно его личное желание и его личная проблема, я то чем ему могу помочь, выпустить постановление?
При этом статья 18.1 ФЗ говорит следующее:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Соответственно я могу с ней ознакомиться да и сравнить с 58 приказом, какие выводы я могу сделать, это уже мое дело.
2. Ну а для меня как для лица чьи персональные данные обрабатываются к примеру коллекторским агентством, какая разница что оператор ожидает выхода постановлений. В законе четко сказано что необходимо обеспечить конфиденциальность. Пускай аттестует себе ИСПДн по конфиденциальности или под секретку и спокойно обрабатывает. Не хочет и ждет постановлений, пускай пишет мои персональные данные на бумаге.
Использование информационных систем при обработки моих персональных данных его никто не обязывает, это исключительно его личное желание и его личная проблема, я то чем ему могу помочь, выпустить постановление?
Еще вот небольшой комментарий по поводу содержания запрашиваемой информации (ето в т.ч. в дополнение к посту).
Перечень сведений, которые могут быть запрошены субъектом ПДн у оператора определен ч. 6 ст. 14 152-ФЗ. Указанный в статье перечень открытый, т.е. субъектом могут быть запрошены также и иные сведения.
Только 2 комментария по списку из перечня в посту.
6) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
В 152-ФЗ указано, что могут быть запрошены: «сведения о лицах (за исключением работников оператора), которые имеют...». Понятно, что открытость перечня запрашиваемых сведений предусматривает возможность получения субъектом персональных данных работников оператора, однако оператор может не предоставлять их субъекту ввиду п. 4 ч. 8 ст. 14 152-ФЗ, т.к. данный запрос может нарушить права и свободы иных лиц (=работников).
5) наличие или отсутствие лицензирования по ТЗКИ при защите персональных данных;
А вот вопрос лицензирования по ТЗКИ, я бы отнес к разряду провокационных и вводящих операторов в заблуждение.
ПС. Выступаю со стороны операторов.
Перечень сведений, которые могут быть запрошены субъектом ПДн у оператора определен ч. 6 ст. 14 152-ФЗ. Указанный в статье перечень открытый, т.е. субъектом могут быть запрошены также и иные сведения.
Только 2 комментария по списку из перечня в посту.
6) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
В 152-ФЗ указано, что могут быть запрошены: «сведения о лицах (за исключением работников оператора), которые имеют...». Понятно, что открытость перечня запрашиваемых сведений предусматривает возможность получения субъектом персональных данных работников оператора, однако оператор может не предоставлять их субъекту ввиду п. 4 ч. 8 ст. 14 152-ФЗ, т.к. данный запрос может нарушить права и свободы иных лиц (=работников).
5) наличие или отсутствие лицензирования по ТЗКИ при защите персональных данных;
А вот вопрос лицензирования по ТЗКИ, я бы отнес к разряду провокационных и вводящих операторов в заблуждение.
ПС. Выступаю со стороны операторов.
В 152-ФЗ указано, что могут быть запрошены: «сведения о лицах (за исключением работников оператора), которые имеют...». Понятно, что открытость перечня запрашиваемых сведений предусматривает возможность получения субъектом персональных данных работников оператора, однако оператор может не предоставлять их субъекту ввиду п. 4 ч. 8 ст. 14 152-ФЗ, т.к. данный запрос может нарушить права и свободы иных лиц (=работников).
Если оператор предоставил информацию о сотрудниках, то он нарушил конфиденциальность этой инфомрации, это является основанием для обращения сотрудников в соответствующие органы.
У оператора всегда есть возможность оспорить претензию регулятора к нему в судебном порядке, если он считает что ему не нужна лицензия. Мне то не мешает спросить это ничего?
Сам закон по большей части провокационный, не буду спорить да же по этому вопросу, но Закон, есть Закон и его надо знать, иначе зачем в нашей стране вузы такое количество юристов выпускают.
Если оператор предоставил информацию о сотрудниках, то он нарушил конфиденциальность этой инфомрации, это является основанием для обращения сотрудников в соответствующие органы.
У оператора всегда есть возможность оспорить претензию регулятора к нему в судебном порядке, если он считает что ему не нужна лицензия. Мне то не мешает спросить это ничего?
Сам закон по большей части провокационный, не буду спорить да же по этому вопросу, но Закон, есть Закон и его надо знать, иначе зачем в нашей стране вузы такое количество юристов выпускают.
> У оператора всегда есть возможность оспорить претензию регулятора к нему в судебном порядке, если он считает что ему не нужна лицензия. Мне то не мешает спросить это ничего?
Просто если вы были в курсе темы персоналки от начала выхода первых подзаконников (рекомендаций и основных мероприятий), то вы вкурсе, сколько крови и нервов попила операторам тема про лицензии на ТЗКИ (больше 1 млн. рублей), в частности:
— известный ответ фстэка минздравсоцу о лицензировании на ТЗКИ для собственных нужд;
— необходимость лицензирования, которая была нужна ранее для ИСПДн К1;
+ необходимость аттестации ИСПДн по требованиям безопасности информации (по 40 штук на комп).
Лицензия по ТЗКИ при защите персональных данных своими силами (силами организации) не была нужна и не нужна сейчас. Также как и аттестация ИСПДн.
И когда пытаются операторам задавать вопросы типа «а имеете ли вы лицензию на ТЗКИ чтобы обрабатывать мои ПДн», получается небольшая злость и чувство, что тебя хотят подколоть (это я нематерный аналог привел).
ПС. Для меня просто вопрос лицензирования на ТЗКИ и аттестацию по ТБИ больной) ничего личного)) Статья в вашем посте очень норм и мне нравится.
Просто если вы были в курсе темы персоналки от начала выхода первых подзаконников (рекомендаций и основных мероприятий), то вы вкурсе, сколько крови и нервов попила операторам тема про лицензии на ТЗКИ (больше 1 млн. рублей), в частности:
— известный ответ фстэка минздравсоцу о лицензировании на ТЗКИ для собственных нужд;
— необходимость лицензирования, которая была нужна ранее для ИСПДн К1;
+ необходимость аттестации ИСПДн по требованиям безопасности информации (по 40 штук на комп).
Лицензия по ТЗКИ при защите персональных данных своими силами (силами организации) не была нужна и не нужна сейчас. Также как и аттестация ИСПДн.
И когда пытаются операторам задавать вопросы типа «а имеете ли вы лицензию на ТЗКИ чтобы обрабатывать мои ПДн», получается небольшая злость и чувство, что тебя хотят подколоть (это я нематерный аналог привел).
ПС. Для меня просто вопрос лицензирования на ТЗКИ и аттестацию по ТБИ больной) ничего личного)) Статья в вашем посте очень норм и мне нравится.
Зря заплатили вы больше миллиона отдали, неправильным путем пошли (здесь да же разговора нет о том что бы заносить кому либо).
Цена на рынке:
Обучение 2-х человек 60 тысяч
Аттестация АРМа и помещения 80 тысяч
Средства защиты 30 тысяч
Консалтинг 200 тысяч
Договор аренды оборудования 50 тысяч на год.
3 месяца времени, раньше получали за эти деньги не 1 а 3 лицензии, сейчас 2.
Цена на рынке:
Обучение 2-х человек 60 тысяч
Аттестация АРМа и помещения 80 тысяч
Средства защиты 30 тысяч
Консалтинг 200 тысяч
Договор аренды оборудования 50 тысяч на год.
3 месяца времени, раньше получали за эти деньги не 1 а 3 лицензии, сейчас 2.
не) мы не платили и не аттестовывали) я вообще студентом перестал быть 3 месяца назад) а вот некоторые фирмы аттестовали все компы в своих ИСПДн-ках.
Кстати по лицензии — оборудование то никто не даст в аренду… зажопят. Самим придется покупать. А это уже > миллиона.
Кстати по лицензии — оборудование то никто не даст в аренду… зажопят. Самим придется покупать. А это уже > миллиона.
А некоторые не только один раз аттестовывают, а каждые полгода переатестовывают, так как думать не умеют. И как их это оправдывает?
Ну так не мешает никто, пускай идут к лицензиатам, лицензиаты же пирожки не пекут а к пекарям ходят.
Ну оборудование, получить в аренду можно, его же физически не дает никто, для лицензии нужна бумажка только.
Ну так не мешает никто, пускай идут к лицензиатам, лицензиаты же пирожки не пекут а к пекарям ходят.
Ну оборудование, получить в аренду можно, его же физически не дает никто, для лицензии нужна бумажка только.
Только не понятно, зачем мне получать лицензию, если я не собираюсь заниматься защитой информации. Я пирожками торгую, отстаньте!
Уж лучше привлечь компанию-лицензиата для установки и настройки средств защиты.
Уж лучше привлечь компанию-лицензиата для установки и настройки средств защиты.
Ваш способ не работает, так как есть другие нормативные акты и законы, согласно которым данные должны храниться: бухгалтерия, хранение информации о сделках, налоги и так далее.
Я пробовал с банками, страховыми компаниями и торговыми. Везде был отшит. Роскомнадзор подтвердил их правоту.
У вас есть практический опыт или голая теория?
Я пробовал с банками, страховыми компаниями и торговыми. Везде был отшит. Роскомнадзор подтвердил их правоту.
У вас есть практический опыт или голая теория?
Sign up to leave a comment.
Механизм реализации своих законных прав владельцами персональных данных