|
Окт
07
|
Прежде чем защищать какие-то сведения, составляющие персональные данные, нужно выяснить, а нужно ли их вообще обрабатывать?
Несмотря на всю прозрачность, такой вопрос очень редко поднимается операторами персональных данных. Поэтому сегодняшний день марафона мы посвящаем минимизации обработки сведений, составляющих персональные данные.
Ограничения в сборе данных – это общемировая тенденция. Не является исключением и Россия, например, Роскомнадзор заявлял о намерениях создать некий «перечень данных, который, будет соответствовать оптимальному объему информации, необходимому для сбора сведений о том или ином потребителе» еще в мае. Разработка перечня/ей сведений – вполне вероятный вариант решения задачи. Например, пару месяцев назад я писал о совместной работе Роскомнадзора и Департамента здравоохранения Воронежской области на предмет доработки типовых документов. Дело сводилось не к наказанию каждого оператора персональных данных в отдельности, а к доработке типовых форм документов.
Объем обрабатываемых сведений должен соответствовать целям обработки
Направление оператора в сторону сбора только тех сведений, которые ему реально необходимы вполне согласуется с духом закона о персональных данных, при этом сбор избыточных сведений встречается сплошь и рядом (например, мне непонятно, зачем в некоторых коммерческих организациях пытаются обрабатывать данные о близких родственниках). Иногда обработка дополнительных сведений оправдана, например, при оформлении некоторых страховок или получении кредита в банке, хотя и тут бывают явные перегибы. Учитывая, что стандартных перечней, пока, не существует в природе, каждый оператор должен самостоятельно определить содержание персональных данных, которые ему необходимо обрабатывать.
Также нужно проверить (через юристов) правовые основания на обработку некоторых сведений. Например, недавно от Alex Toparenko узнал, что сбор сведений о судимости для большинства операторов запрещен в принципе, обрабатывать такие данные они не могут. Кстати говоря, существуют прецеденты соответствующих предписаний от Роскомнадзора, поэтому если правовой основы для обработки каких-то сведений не окажется, то их, по возможности, нужно исключить.
Уменьшить количество обрабатываемых сведений, а, следовательно, и требования по защите ОЧЕНЬ реально.
Интересно, что в России самим операторам выгодно сокращать перечень собираемых данных. Связано это с пресловутыми требованиями по технической защите. При прочих равных условиях, чем меньше сведений оператор обрабатывает, тем ниже класс системы и соответственно ниже требования по защите.
16580 . 7422
октября 7, 2009 at 9:00
“Сокращение перечня обрабатываемых персональных данных”. А какова процедура, общие принципы или хорошо наработанная практика? Как “привязывать” количество и категорию ПДн к целям обработки? Тема не раскрыта
))
“Объем обрабатываемых сведений должен соответствовать целям обработки”. Дак все-таки только объем или еще какие-то другие характеристики ПДн?
))
“мне непонятно, зачем в некоторых коммерческих организациях пытаются обрабатывать данные о близких родственниках”. Это поля стандартной унифицированной формы Т2. Более подробную информацию запросите в отделе кадров или посмотрите соответствующие документы, например “Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты”. Кстати, если вы не знаете целей обработки, то это не значит, что их нет… Упущу самые очевидные но, как пример, приведу такую цель, как “расчет налоговых вычетов”.
“Учитывая, что стандартных перечней, пока, не существует в природе, каждый оператор должен самостоятельно определить перечень персональных данных, которые ему необходимо обрабатывать”. Такой перечень достаточно просто и ПОЛНО составляется после разработки, как по вашему, “Карты персональных данных” (классное название)
)) для большинства организаций, ведущих схожие виды деятельности, такие перечни будут совпадать процентов на 90-95.
“поэтому если правовой основы для обработки каких-то сведений не окажется, то их, по возможности, нужно исключить.” И это не совсем корректно. Читайте внимательнее 152-ФЗ…
“Уменьшить количество обрабатываемых сведений, а, следовательно, и требования по защите ОЧЕНЬ реально. Интересно, что в России самим операторам выгодно сокращать перечень собираемых данных.” Уже все-таки определитесь, что вы будете сокращать “перечень” (ну, например, не будем собирать данные о родственниках) или кол-во ПДн (например, удалим из базы неактуальные сведения или данные об уволеных сотрудниках).
“чем меньше сведений оператор обрабатывает, тем ниже класс системы и соответственно ниже требования по защите”… Не смешите! Извольте почитать трехглавое постановление о классификации ИСПДн и уже, наконец, разберитесь с “категориями ПДн”. Хотя, возможно вы имеете ввиду что-то другое (см. предыдущий мой ответ).
P.S. Как резюме: Евгений, перечитайте пожалуйста внимательнее основные документы по ПДн (152-ФЗ, П781, П687, трехглавое постановление). Если хотите дискутировать на отвлеченные темы, то еще посмотрите (хотябы) Конституцию РФ, трудовой кодекс, налоговый кодекс и др. Если хотите пообщаться по ИБ в целом, то для начала ФЗ-149 вам в помощь…
P.S.S. Надеюсь требования ФСТЭК и ФСБ вы обсуждать не будете
))
[Ответить]
октября 7, 2009 at 9:59
чем меньше сведений оператор обрабатывает, тем ниже класс системы и соответственно ниже требования по защите”… ага…если я собираю ФИО + сведения о здоровье, у меня мало ПДн, то я могу смело присвоить К3, а если постараться то и К4. Ну модель угроз там и все такое…=)
[Ответить]
октября 7, 2009 at 10:00
Чтоб Лукацкий вам снился в страшных снах =)
[Ответить]
октября 7, 2009 at 10:04
Digger: 2 вещи стоит прокомментировать
1) Про карточку работника тут речь не шла, просто натыкался на ситуации, когда при оформлении слушателей на кусы в анкете собирались данные о близких родственниках (кстати причину так назвать и не смогли).
2) “что вы будете сокращать “перечень” (ну, например, не будем собирать данные о родственниках) или кол-во ПДн”
тут согласен, по тексту путаница получилась
За эти замечания спасибо, а все остальное от лукавого
[Ответить]
октября 7, 2009 at 10:09
Необходимость уменьшить количество и состав обрабатываемых ПДн как раз не вызывает сомнения. Вопрос, действительно, в том как это сделать без ущерба безопасности и т.п.
Простой и распространенный пример: охрана при входе в офисное здание выписывала данные паспорта и заносила их в базу (электронную или бумажную книгу учета). ПДн? Еще какие! Понятно, что их актуальность ограничена во времени. Тогда какой путь их сокращения?
[Ответить]
октября 7, 2009 at 10:28
МаксТ: Давайте спросим у Digger’а, компетенция у человека высокая. Digger, есть ли по вашему какой-то путь?
[Ответить]
октября 7, 2009 at 11:08
Digger и Returned Вот вы простые!!! Радуетесь что нашли нескладушки))))
Да он специально косяки по тексту накидал, чтобы вы побольше обсуждать стали и в других блогах о нем говорить стали))))). И вообще весь этот «марафон» на это рассчитан. Простаки.
[Ответить]
октября 7, 2009 at 12:14
для Borisov Ant:
))
А мне кажется, что блог и марафон расчитан на то, что бы поделиться опытом по защите персональных данных, найти пути решения “проблемы 01.01.2010″. Думаю, Евгений придерживается такой же точки зрения!!!
для Евгений Царев:
)) я так, умных мыслей нахвататься заглянул.
ну, эти вопросы не ко мне, а к специалистам по защите персональных данных
для Returned:
ЖЖешь!!!
[Ответить]
октября 7, 2009 at 21:59
МаксТ: Вот видите, так всегда, когда до дела доходит страх какой-то появляется
. На самом деле в случае охраны на входе нет особого смысла сокращения данных. Учитывая что цель – идентификация субъекта, ИСПДн будет К3. Хотя я встречал очень интересные ситуации. Например, когда посетитель прислонял эл.пропуск к турникету, охранник видел на экране терминала только фотографию (и больше ничего!). Решение очень интересное, хоть и очень “нишевое”.
[Ответить]
октября 8, 2009 at 14:48
@Царев Евгений:
А разве охраннику что-то еще надо видеть?
Решение далеко, не нишевое, а применямое в большом количестве организаций с достаточно большим штатом, т.к. именно там нужно смотреть, что именно в данный момент времени человек на турникете – это тот же человек, который внесен в СКУД.
[Ответить]
октября 8, 2009 at 16:35
Евгений поступает хитро – не расписал сразу все 7 шагов…;-)
Если бы написал сразу – ноги бы начали ломать на первом же шаге ….
Но я не об этом… в связи с “шаговостью” вспомнился интересный случай:
Некий заказчик получил коммерческое предложение на услуги, расписанные по этапам (читай “по шагам”):
1 шаг – обследование (заключение)
2 шаг – оценка (заключение)
3 шаг – составление целевой системы (заключение план) и т.п.
…
10 шаг – выдача аттестата соответствия
Напротив каждого шага результат сроки и цена.
Через неделю приходит ответ в котором шаги с 1 по 9 – жестоко вычеркнуты… (действительно зачем заказчику это все) и оставлен только пункт 10 – выдача аттестата.
Это я все к тому, что маневры маневрами – а в первую очередь Заказчика интересует ЦЕЛЬ!
[Ответить]
октября 8, 2009 at 16:41
Это я намекаю что у всего этого должна быть ЦЕЛЬ и у каждого шага нужно формулировать ЦЕЛЬ.
[Ответить]
октября 8, 2009 at 16:48
Я думаю, что всем будет интересно какие правки внесены в Думу касательно изменений ФЗ 152. Если эти правки пройдут, то далеть никто практически ничего небудет:
Предложения по внесению изменений в Федеральный закон от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных»
№ п/п Статья Федерального закона Текущий вариант Предлагаемый вариант (изменение выделяется жирным) Комментарий
1 2 3 4 5
1. Ст.3 (Основные понятия, используемые в настоящем Федеральном законе), п.1 1) персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; 1) персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), неправомерные действия с которой могут нанести указанному физическому лицу вред. Для определения субъекта персональных данных необходимо учитывать все средства, которые могут быть реально использованы для определения указанного физического лица. Позволяет обрабатывать и хранить обезличенные данные, для превращения которых в персональные могут потребоваться существенные средства или затраты.
Данная формулировка позволяет к защищаемым персональным данным (далее – ПДн) относить не все возможные виды ПДн, а только те, утечка которых наносит вред субъекту ПДн.
Также эта формулировка позволяет повысить идентифицируемость субъекта ПДн.
обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных 
обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. Полученные в результате указанных действий данные являются обезличенными и не относятся к категории персональных данных. Позволяет вывести обезличенные данные из-под действия Закона и не относить информационные системы персональных данных (далее – ИСПДн), их обрабатывающие, даже к классу К4
2. Ст.3 (Основные понятия, используемые в настоящем Федеральном законе), п.8
3. Ст.3 (Основные понятия, используемые в настоящем Федеральном законе) Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
1) персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
9) информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Дополнить п. 3:
3) Обработчик – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных по поручению оператора персональных данных. Новый термин, вводящий институт обработчиков ПДн и позволяющий выделить лиц, обрабатывающих ПДн, но не устанавливающих цели и содержание обработки.
Является фактической цитатой п. (e) Ст. 2 «Определения» Директивы 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных:
«…(e) “обработчик” означает физическое или юридическое лицо, официальный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера;..»
4. Ст.6 (Условия обработки персональных данных), п.2 2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности. 2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, или исполнения договора, заключенного в интересах третьего лица, являющегося субъектом персональных данных, либо принятия решения о заключении договора с субъектом персональных данных, а равно в целях обеспечения законной деятельности оператора или обработчика, кроме случаев, когда указанная деятельность не нарушает конституционная права, свободы и законные интересы субъекта персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Позволяет учесть такие вещи, как рассмотрение заявки на кредит, посылку резюме, проверки страховой истории клиента, информации о потенциальном заемщике в БКИ и т.п.
Решение проблемы с персональными данными выгодоприобретателей, которые в подавляющем большинстве случаев не дают согласия на обработку ПДн, или даже не знают об обработке.
Позволяет законно заниматься видеонаблюдением, ведением и обменом «черных» списков неплательщиков, защитить интересы собственников и т.п.
5. Ст. 9 (Согласие суьбъекта) Дополнить статью пунктом следующего содержания:
Для обработки персональных данных в целях исполнения договора с субъектом персональных данных дополнительное согласие не требуется. Позволит не получать отдельное согласие при наличии договора с субъектом
6. Ст. 12 (Трансграничная передача персональных данных), п.1 1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. 1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается защита прав субъектов персональных данных на уровне не ниже, чем предусмотрено требованиями Конвенции о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS N 108 от 28.01.1981). Позволяет устранить противоречия между действующими российскими требованиями к защите данных (например, к криптозащите) и соответствующими европейскими требованиями: российские операторы ПДн на текущий момент не могут принимать ПДн от стран ЕС, если данные защищены электронно-цифровой подписью (далее – ЭЦП) в соответствии с европейскими требованиями, равно как и не могут передавать ПДн в страны ЕС, поскольку наши требования к ЭЦП не признаны в ЕС.
7. Ст.14 (Право субъекта персональных данных на доступ к своим персональным данным), п.1 1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. 1. Если субъект персональных данных имеет основания полагать, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его конституционные права, свободы и законные интересы, то субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Позволяет ограничить субъекта ПДн в возможности направлять неограниченное количество запросов к оператору ПДн
8. Ст.14 (Право субъекта персональных данных на доступ к своим персональным данным), п.3 3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя 3. Запрос должен содержать основания для его направления, номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя Позволяет ограничить субъекта ПДн в возможности направлять неограниченное количество запросов к оператору ПДн
9. Ст.14 (Право субъекта персональных данных на доступ к своим персональным данным), п.4, подпункт 3 3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; исключить Позволяет снизить нагрузку на оператора ПДн при ответе на запросы субъектов ПДн
10. Ст.14 (Право субъекта персональных данных на доступ к своим персональным данным), п.5 5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц. 5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора
Если цель обработки ПДн определил федеральный закон, а оператор только исполняет его требования, то незачем отвлекать оператора на обслуживание запросов субъекта ПДн
11. Ст.15 (Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации), п.1 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при выполнении следующих условий
• субъект персональных данных имеет возможность запретить такую обработку
• субъект персональных данных осведомлен о целях и содержании обработки персональных данных.
Позволяет оператору ПДн осуществлять прямой маркетинг своих услуг при выполнении ряда действительно реализуемых условий.
12. Ст.18 (Обязанности оператора при сборе персональных данных) Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных. Дополнить п. 4 абзацем следующего содержания:
4. В случае обработки персональных данных, полученных оператором или обработчиком персональных данных, полученных от третьих лиц, оператор или обработчик имеют право не уведомлять каждого субъекта персональных данных, с учетом состояния и стоимости их реализации в отношении указанного уведомления. Принцип экономической целесообразности в части защиты персональных данных был сформулирован в соответствующих документах ЕС, например, в Директиве 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных:
«…Статья 17. Безопасность обработки
1. Государства-участники обеспечат, что контролер должен будет реализовать надлежащие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения или случайной утраты, изменения, неправомерного раскрытия или доступа, в частности, когда обработка влечет передачу данных по сети, а также от всех иных незаконных форм обработки.
С учетом состояния и стоимости их реализации такие меры должны обеспечить надлежащий уровень безопасности для рисков, представленных обработкой и природой защищаемых данных…»
Предложенная формулировка позволяет оператору ПДн не уведомлять каждого субъекта ПДн, а, к примеру, ограничиться соответствующим заявлением на официальном веб-сайте в сети Интернет
13. Ст.19 (Меры по обеспечению безопасности персональных данных при их обработке) Дополнить часть 1 статьи 19 новым абзацем следующего содержания:
При наличии подтвержденных фактов о недостаточности принимаемых оператором мер по обеспечению безопасности персональных данных при их обработке, включая неоднократные жалобы субъектов персональных данных на нарушения требований настоящего Закона, уполномоченный орган по защите прав субъектов персональных данных может вынести предписание об использовании в деятельности такого оператора требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи.
14. Ст.19 (Меры по обеспечению безопасности персональных данных при их обработке) Дополнить п. 2 в абзацем следующего содержания:
Указанные требования обязательны для исполнения при обработке персональных данных в государственных и муниципальных информационных системах. В остальных случаях указанные требования применяются либо по решению оператора, либо в случаях, указанных в абзаце втором части 1 настоящей статьи.
Позволяет придать требованиям по безопасности официальный статус на уровне федерального закона и только для государственных и муниципальных ИСПДн
15. Ст.19 (Меры по обеспечению безопасности персональных данных при их обработке), п. 1 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Дополнить п. 1 абзацем следующего содержания:
Указанные меры должны определяться исходя из их состояния и стоимости, а также оценки используемых технологий обработки персональных данных, природы персональных данных и уровня ущерба для субъектов персональных данных. Уполномоченные органы в области обеспечения ИБ будут обязаны дифференцировать защитные меры в зависимости от используемых технологий обработки (СУБД, Интернет, «тонкий клиент», IP-телефония, смартфоны и т.п.), природы ПДн (видеоизображение, просто ФИО или состояние здоровья требуют разных по уровню защитных мер) и уровню ущерба (разглашение ПДн из Интернет-форума несопоставимо с информацией о сумме на банковском счете).
16. Ст.19 (Меры по обеспечению безопасности персональных данных при их обработке) Дополнить п. 6 в следующей редакции:
6. Деятельность по обеспечению безопасности персональных данных при их обработке не подлежит лицензированию. Позволяет исключить существующую двусмысленность насчет необходимости получения соответствующих лицензий по защите информации и криптозащите от ФСБ России и ФСТЭК России
17. Ст.22 (Уведомление об обработке персональных данных), п.1 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных 1. Оператор до начала обработки специальных категорий персональных данных, указанных в ст. 10 настоящего Федерального закона, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку специальных категорий персональных данных Данный пункт позволяет операторам ПДн уведомлять Россвязькомнадзор только в случае обработки специальных, а не всех типов ПДн.
18. Ст.23 (Уполномоченный орган по защите прав субъектов персональных данных), п.4 В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должны приниматься меры по обеспечению безопасности персональных данных при их обработке, предусмотренные статьей 19 настоящего Федерального закона Заставляет сам Россвязькомнадзор защищать полученные от операторов ПДн так же, как и операторы.
19. Ст. 25(Заключительные положения) Дополнить статью пунктом следующего содержания:
Согласие субъектов персональных данных на обработку их персональных данных не требуется в том случае, если договор был заключен до дня вступления в силу Федерального закона.
20. Общее Дополнить все статьи, где упоминаются операторы персональных данных, упоминающих обработчиков персональных данных. Позволяет учитывать, что ПДн могут обрабатываться обработчиками, а не только операторами ПДн
[Ответить]
октября 8, 2009 at 17:00
2 Solon
Извините – в блоге не читается…
К тому, же надежды на то, что ничего делать не придется – нет оснований.
Так же, кажется, что внесенные поправки возбудят новую волну обсуждения в результате которой появятся новые вопросы… Например некоторые правки потребуют Явного изменения в технические требования. Мне кажется что получится НАХЛЕСТ требований технических, которые тянут лицензирование и т.п.
Другими словами требование ФЗ потребует изменить тех требования. Некоторые тех требования по факту требуют дополнительные требования которые будут противоречить или уже противоречат ФЗ.
Для устранения таких накладок придется пересматривать тех требования глубоко или упрощать их. При этом начнется борьба когда Регуляторы обоснованно будут требовать тех. меру. Но ее реализация может нарушать ФЗ. – Новое болото… Почему у нас сначала документы плохие, потом изменения плохие…
[Ответить]
октября 9, 2009 at 8:49
@Solon:
Источник всей этой инфы, плиз…
[Ответить]