Index · Правила · Поиск· Группы · Регистрация · Личные сообщения· Вход

Список разделов Юриспруденция
 
 
 

Раздел: Юриспруденция Закон о защите персональных данных 

Создана: 07 Сентября 2011 Срд 9:44:24.
Раздел: "Юриспруденция"
Сообщений в теме: 55, просмотров: 72178

На страницу: Назад  1, 2, 3, 4  Вперёд
  1. 07 Сентября 2011 Срд 9:44:24
    Нашла свою фирму в списках проверок Госкомнадзора. Будут проверять 1 ноября. В фирме на данный момент 2 сотрудника: я и директор :) Так как бухгалтер с июня уволилась, на меня приказом возложены обязанности ведения бухучета. То есть реально к перс. данным работников и клиентов имеют доступ два чела. Айтишника тоже нет. Но думаю, чтобы защититься от лишних вопросов проверяющих, возложим на меня еще и обязанности айтишника.
    Какие доки нужно иметь на фирме для проверяющих?
  2. new-vio


    Начинающий


    Более 10 лет на форумеМуж.
    07 Сентября 2011 Срд 16:21:05
    [внешняя ссылка] - "это открытая площадка для обсуждения вопросов в области защиты персональных данных, проектирования и использования информационных систем персональных данных (ИСПДн). Мы рассматриваем как технические, так и правовые вопросы работы операторов персональных данных."
  3. 08 Сентября 2011 Чтв 11:34:15
    О, Спасибо. Хотя бы что-то.
  4. 08 Сентября 2011 Чтв 15:28:32
    Надзор у вас спросит примерно такой перечень вопросов:
    1) Внутренние документы регламентирующие порядок хранения, обработки и уничтожения ПД(персональных данных). Это может быть регламент обработки, политика безопасности и прочее - от места.
    2) Обязательно спросит приказы о назначении ответственных за сохранность ПД, о разрешении допуска к ПД для каждого сотрудника, который с ними реально работает. Посмотрит должностную того, кто работает с ПД
    3) Посмотрит на ведение кадрового делопроизводства, архивного дела. В частности, что, где и как лежит, кому доступно итд.
    4) Посмотрит согласие ваших работников на обработку их данных
    5) Если вы обычная контора и у вас только договоры да сотрудники, без экзотики - у вас третья категория, по сути мало обязывающая, там просто есть ряд ограничений и предписаний по настройке.
    6) Посмотрит, отправляли ли вы уведомление об обработке ПД, и если уведомляли - проверит соответствие реалий - бумаге.
    7) Посмотрит договоры с контрагентами.
    Плюс есть куча поправок и документов, которые у вас могут попросить в зависимости от ситуации и состояния дел.

    Основная суть - проверяется течение, документирование и не превышение уровня необходимой информации, которую вы обрабатывайте и которая охраняется 152ФЗ

    Если вам есть что терять - и вы при этом не представляете что вообще происходит - сходите в любую контору с лицензией на охрану конф.информации, поговорите. Либо наймите эксперта.

    Если вам терять по сути нечего - не пытайтесь доказывать надзору свою жизненную позицию. Аргументируйте вежливо и твердо - к закону. Косяки признавайте, если что будет не так - получите предписание на устранение косяков. Это не страшно, это жизнь.

    В любом случае, не ждите пока к вам придут. Отзвонитесь и загляните в надзор 28-29-30-31 октября, до проверки. Спросите, что, кто конкретно и как вас будут проверять.

    Омский надзор работает нормально и честно, поэтому неприятности вас ждут только в рамках закона и только там, где вы нарушаете закон.
  5. 09 Сентября 2011 Птн 12:01:33
    Цитата :Если вам терять по сути нечего - не пытайтесь доказывать надзору свою жизненную позицию

    Как понять: есть, что терять? Выполнить все предписания роскомнадзора маленькой фирме не реально. Что теперь? Фирму закрывать? Какой max штраф?
    Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?
    Какое ПО должно стоять на компах? Какие то спец. программы?
  6. 09 Сентября 2011 Птн 12:16:11
    Applecat писала : ...Выполнить все предписания роскомнадзора маленькой фирме не реально....

    Да не, предписания РКН вполне реально выполнить. Вот ФСТЭК и /или ФСБ - вот это да. Согласия работников вам не требуется. Остается просто сделать несколько документов и спокойно ждать проверки. ИМХО, даже если что-то не доделаете дадут 3 мес. на устранение.
  7. 09 Сентября 2011 Птн 12:22:28
    Applecat писала : Какой max штраф?

    до 10 кРуб
    Applecat писала :Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?

    Категория скорее всего 3.

    Applecat писала : Какое ПО должно стоять на компах? Какие то спец. программы?

    А это не вопрос РКН. Вопросами техзащиты ведает ФСТЭК. РКН только по правам субъектов.
  8. 09 Сентября 2011 Птн 13:34:41
    Спасибо. А Разве РКН не будет хранение данных клиентов на компах проверять? Инструкциями и приказами мы запасемся, уже скачали рыбы из нета. А вот с компами то как быть?
  9. 09 Сентября 2011 Птн 14:41:03
    Applecat писала :
    1)Выполнить все предписания роскомнадзора маленькой фирме не реально.
    Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?

    1) Реально выполнить Роскомнадзор, тут главное взяться и подумать.
    Более того вам скажу, и рекомендации ФСТЭК/ФСБ реально выполнить, только дорого, около 60-100 тыр на машину.
    Для справки что нужно в техзащите, почитайте Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".

    Ну и если хотите предметных названий, что за софт вам понадобиться - скорее всего SecretNet c замочком, да грамотно настроенные права. Шифрование уж два года отменили, тут вам поблажка вышла. Но опять же - варианты вариантов, обратитесь уже к кому-то из владельцев лицензии, если вам страшно. Мы тут интернет-анонимы, процесса вашей конторы не видим. А тонкостей в ПД навалом.
    Лицензия на конф.информацию есть у СКБ, Коммед-Инфо.
    Звоните туда, говорите что у вас ждет проверка вот-вот. И вам бы помочь. Народ там такие ситуации знает. Первичная консультация с раскладами куда и что вам конкретно - обычно бесплатная.

    2) Тут вопрос какие именно данные клиентов вы обрабатываете.
    Если как обычно ФИО, даты рождения. и клиентов меньше десяти тыщ и все по договору - тут третья, к гадалке не ходи.
    А если вы экзотику собираете, типа состояния здоровья, политической/рассовой/национальной пренадлежности - то корячиться вам минимум вторая, а медицина и вся первая.
  10. 09 Сентября 2011 Птн 14:51:09
    Applecat писала : Спасибо. А Разве РКН не будет хранение данных клиентов на компах проверять? Инструкциями и приказами мы запасемся, уже скачали рыбы из нета. А вот с компами то как быть?

    Может попросить показать какие именно данные вы храните в своей информационной системе.
  11. 09 Сентября 2011 Птн 14:57:59
    Храним: ф.и.о. дату рождения, паспортные данные, регистрация
  12. 09 Сентября 2011 Птн 15:01:02
    Applecat писала : Храним: ф.и.о. дату рождения, паспортные данные, регистрация

    К3.
    Почитайте,
    [внешняя ссылка] тут понятым языком этапы.
  13. 09 Сентября 2011 Птн 15:04:10
    tutbylnick писал : ...рекомендации ФСТЭК/ФСБ реально выполнить, только дорого, около 60-100 тыр на машину

    Ну уж... Это даже если соовсем думать не хочется такая сумма не выйдет.

    tutbylnick писал : ...скорее всего SecretNet c замочком, да грамотно настроенные права

    Для одного юзверя в системе? Вполне Соболя хватит.

    tutbylnick писал : Шифрование уж два года отменили, тут вам поблажка вышла.

    Ну, скажем так, никто его не отменял - если инфоа передается за пределы организации - шифровать нужно.

    tutbylnick писал : Но опять же - варианты вариантов, обратитесь уже к кому-то из владельцев лицензии, если вам страшно.

    Это если есть лишние деньги Хех! Особенно с упомянутыми Вами конторками.

    ТС. В 152ФЗ внесены существенные поправки. Просто изучите 152ФЗ - этого для общения с РКН будет более чем достаточно.
  14. 09 Сентября 2011 Птн 15:09:24
    Great_Alexander писал(а) :
    Ну уж... Это даже если соовсем думать не хочется такая сумма не выйдет.

    Для К1 вполне выйдет, все относительно.

    Great_Alexander писал(а) :
    Для одного юзверя в системе? Вполне Соболя хватит.

    У ТС не сказано, один ли он. Да и шестерка SecretNet в К модификации уже вроде как вообще не требует Соболя в системе. Таки эти даже сертифицировано ФСТЭК вплоть до 1Г.

    Great_Alexander писал(а) :
    Ну, скажем так, никто его не отменял - если инфоа передается за пределы организации - шифровать нужно.

    Причем шифровать ГОСТ и сертифицированными продуктами, випнетом или криптопро к примеру. Это к вопросу о тонкостях.

    Great_Alexander писал(а) :
    Это если есть лишние деньги Хех! Особенно с упомянутыми Вами конторками.

    Ну как бы каждый сам оценивает риски-деньги-результат. А за спрос давненько денег не берут. В любой из этих контор вам выкатят смету под ваш случай. А платить-не платить - уже решение инициатора.

    Great_Alexander писал(а) :
    ТС. В 152ФЗ внесены существенные поправки. Просто изучите 152ФЗ - этого для общения с РКН будет более чем достаточно.

    Согласен.
  15. 03 Ноября 2011 Чтв 11:06:00
    хотелось бы пообщаться с кем-нибудь, кто выжил после проверки Роскомнадзора по 152 ФЗ в редакции от 25.07.2011 года
    Ничего хуже нет, чем ждать развязки
На страницу: Назад  1, 2, 3, 4  Вперёд