Галочки недостаточно, у оператора есть обязанность проверить правильность предоставленных данных. Если это заказ в интернет магазине, то при доставке надо спросить паспорт и получить разрешение за подписью, и это если в дальнейшем планируется обрабатывать ПДн, так как основания обработки персональных данных исполнены(договор). Либо удаль эти персональные данные. У нас акцепта в виде галочки не существует в ФЗ.
1. Роскомнадзор не проверяет правильность настройки и достаточность средств защиты, этим занимается ФСТЭК и ФСБ, в рамках своих полномочий. Но проверить наличие всей документации, включая и технического проекта, и модели угроз, он должен. И если он не публикует замечания, это не значит что он их не проверяет, или не может проверить, регламент его не ограничивает только ПП-687.
При этом статья 18.1 ФЗ говорит следующее:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Соответственно я могу с ней ознакомиться да и сравнить с 58 приказом, какие выводы я могу сделать, это уже мое дело.
2. Ну а для меня как для лица чьи персональные данные обрабатываются к примеру коллекторским агентством, какая разница что оператор ожидает выхода постановлений. В законе четко сказано что необходимо обеспечить конфиденциальность. Пускай аттестует себе ИСПДн по конфиденциальности или под секретку и спокойно обрабатывает. Не хочет и ждет постановлений, пускай пишет мои персональные данные на бумаге.
Использование информационных систем при обработки моих персональных данных его никто не обязывает, это исключительно его личное желание и его личная проблема, я то чем ему могу помочь, выпустить постановление?
Это личное мнение компании Лета, такое требование не прописано нигде, моей подписи достаточно. Оператор может сравнить мою подпись в обращении с договором, если есть договор, или с письменным разрешением на обработку персональных данных. Ну либо не отвечать.
1. Роскомнадзор не проверяет правильность настройки и достаточность средств защиты, этим занимается ФСТЭК и ФСБ, в рамках своих полномочий. Но проверить наличие всей документации, включая и технического проекта, и модели угроз, он должен. И если он не публикует замечания, это не значит что он их не проверяет, или не может проверить, регламент его не ограничивает только ПП-687.
При этом статья 18.1 ФЗ говорит следующее:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Соответственно я могу с ней ознакомиться да и сравнить с 58 приказом, какие выводы я могу сделать, это уже мое дело.
2. Ну а для меня как для лица чьи персональные данные обрабатываются к примеру коллекторским агентством, какая разница что оператор ожидает выхода постановлений. В законе четко сказано что необходимо обеспечить конфиденциальность. Пускай аттестует себе ИСПДн по конфиденциальности или под секретку и спокойно обрабатывает. Не хочет и ждет постановлений, пускай пишет мои персональные данные на бумаге.
Использование информационных систем при обработки моих персональных данных его никто не обязывает, это исключительно его личное желание и его личная проблема, я то чем ему могу помочь, выпустить постановление?
Оператор должен привести в соответствие с требованием обработку после обращения владельца персональных данных, это и есть финансовые затраты. Если средства защиты не внедрены, или к примеру используемая модель угроз является более слабой чем ФСТЭК, это нарушение, на которую оператору можно указать, желательно с привлечением Роскомнадзора, что бы предписание было.
Деятельность ФСБ так же регламентирована, если вы видите камеру, которая вас снимает, отправите соответствующий запрос в наши органы, вам не запрещают этого. Ну если вы покапаете ту же тухлую колбасу, и ничего не делаете, то она так и будет продаваться.
Можно всем кто имеет на это право, не только госорганам. Если это нужно коммерческой организации, для дальнейшей продаже этих данных, то без письменного разрешения нельзя. Если это необходимо для выполнения условий договора, то пожалуйста, но должно быть обоснованно.
Если ваши данные вам не ценны, ну сделайте их общедоступными, облегчите жизнь операторам.
Эта информации нужна банку для оценки рисков, если он не может получить дополнительную информацию, риск повышается. Желание банка получить дополнительную информацию о человеке, это трудности банка. Если у банка не будет никаких рисков, то и процент по кредиту должен быть не 20%
Незаконное собирание или распространение сведений. Передача третьим лицам это распространение. К примеру для отправки СМС с изменением баланса, используется другое юридическое лицо.
Используйте дисклаймер. Но сразу можно сказать этого будет недостаточно для законной обработки. Но это к статье, что делать операторам, а не владельцам персональных данных.
Пример на сайте роскомнадзора rsoc.ru/personal-data/forms/extract/ смотреть, где отмечаем галочками.
Они должны дать развернутый ответ на основании чего и на сколько их будут хранить. Согласно такой-то статье, такой то срок мы будем хранить. Окей, пускай хранят. Следующий вопрос: кто имеет доступ, как защищаем. Смотрим на 19 статью. 152 ФЗ, и видим что защита строилась под старый закон, пешим заявления на несоответствие. (что цели хранения выполнения ТК а доступ имеет уборщица Маша с целью копирования на съемный носитель). Не надо оспаривать законные действия, нужно оспаривать незаконные.
Получается, что я не могу забивать гвоздь молотком, в том числе, что бы досадить соседу. Я должен потерпеть полгода пока идет судебный процесс, а потом с чувством удовлетворения принести его ему. Правда мне потом придется идти к судебным приставам, так как соседа это решение не сильно побеспокоит. Нет подозрения, что это неэффективно?
Законности обработки персональных данных провайдером не оспаривалось, я запросил, какие они мои персональные данные обрабатывают, кто имеет доступ и какие основания для обработки, как защищается и Т.Д… Зачем оспаривать если есть договор, есть ли в организации документы которые необходимы вот смысл запроса. Документов нет или они недостаточны – заявление в Роскомнадзор – предписание на устранение в указанный срок.
Если они отправили бы мне письмо, у них бы были бы документы от почты.
Зачем мне идти в суд по неисполнению обязательств по договору, когда есть более простой путь. Это как с магазином, я могу пойти в суд за то что мне колбасу просроченную продали, либо написать заявление в Роспотребнадзор, и тот и другой вариант возможен на мое усмотрение.
Шантаж это немного другое, в данном случаи реализация своих законных прав, что являлось стимулом для их реализации, не является важным.
Озвучено было ТП что 2 документа от меня, запрос, и информация о глючности подключения. До этого, как либо связаться с руководителем ТП не удавалось.
Ответственность за незаконную обработку персональных данных, не только штраф, там присутствует и приостановка деятельности, и Уголовный кодекс. Но как накажут оператора, зависит от того, на что и куда будет написано заявление. Если в Роскомнадзор что вы не нашли оператора в реестре, то это штраф и предписание, если он оператор который должен быть зарегистрирован. А если в милицию с упором ст.137 УК «Нарушение неприкосновенности частной жизни», то это другое. Все зависит от владельца.
При этом статья 18.1 ФЗ говорит следующее:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Соответственно я могу с ней ознакомиться да и сравнить с 58 приказом, какие выводы я могу сделать, это уже мое дело.
2. Ну а для меня как для лица чьи персональные данные обрабатываются к примеру коллекторским агентством, какая разница что оператор ожидает выхода постановлений. В законе четко сказано что необходимо обеспечить конфиденциальность. Пускай аттестует себе ИСПДн по конфиденциальности или под секретку и спокойно обрабатывает. Не хочет и ждет постановлений, пускай пишет мои персональные данные на бумаге.
Использование информационных систем при обработки моих персональных данных его никто не обязывает, это исключительно его личное желание и его личная проблема, я то чем ему могу помочь, выпустить постановление?
При этом статья 18.1 ФЗ говорит следующее:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Соответственно я могу с ней ознакомиться да и сравнить с 58 приказом, какие выводы я могу сделать, это уже мое дело.
2. Ну а для меня как для лица чьи персональные данные обрабатываются к примеру коллекторским агентством, какая разница что оператор ожидает выхода постановлений. В законе четко сказано что необходимо обеспечить конфиденциальность. Пускай аттестует себе ИСПДн по конфиденциальности или под секретку и спокойно обрабатывает. Не хочет и ждет постановлений, пускай пишет мои персональные данные на бумаге.
Использование информационных систем при обработки моих персональных данных его никто не обязывает, это исключительно его личное желание и его личная проблема, я то чем ему могу помочь, выпустить постановление?
Можно всем кто имеет на это право, не только госорганам. Если это нужно коммерческой организации, для дальнейшей продаже этих данных, то без письменного разрешения нельзя. Если это необходимо для выполнения условий договора, то пожалуйста, но должно быть обоснованно.
Если ваши данные вам не ценны, ну сделайте их общедоступными, облегчите жизнь операторам.
Пример на сайте роскомнадзора rsoc.ru/personal-data/forms/extract/ смотреть, где отмечаем галочками.
Если они отправили бы мне письмо, у них бы были бы документы от почты.
Зачем мне идти в суд по неисполнению обязательств по договору, когда есть более простой путь. Это как с магазином, я могу пойти в суд за то что мне колбасу просроченную продали, либо написать заявление в Роспотребнадзор, и тот и другой вариант возможен на мое усмотрение.
Шантаж это немного другое, в данном случаи реализация своих законных прав, что являлось стимулом для их реализации, не является важным.
Озвучено было ТП что 2 документа от меня, запрос, и информация о глючности подключения. До этого, как либо связаться с руководителем ТП не удавалось.