 Одной из современных проблем в области защиты персональных данных является отсутствие регламентирующих документов на уровне Министерств и ведомств и ниже. Сложилась ситуация когда есть закон, Постановления правительства, а вот документов более низкого уровня не существовало. Постепенно ситуация меняется и начинают появляться некие зачатки отраслевых стандартов.
К этой теме Алексей Ефремов, доцент Центрального филиала Российской академии правосудия прислал несколько интересных ссылок на документы.
Например, вышел приказ Министерства образования и науки Республики Татарстан “О типовых документах по защите персональных данных в образовательных учреждениях Республики Татарстан“.
Стоит сказать, что в части защиты персональных данных Татарстан всегда был одним из лидеров. Вот и в этот раз в рамках приказа Министерства предлагаются шаблоны следующих документов для образовательных учреждений:
- Типовое положение об обработке и защите персональных данных
- Лист ознакомлений с Положением об обработке и защите персональных данных
- Заявление-согласие субъекта на обработку его персональных данных
- Заявление-согласие субъекта на обработку персональных данных подопечного
- Отзыв согласия на обработку персональных данных
- Заявление-согласие субъекта на получение его персональных данных у третьей стороны
- Заявление-согласие субъекта на передачу его персональных данных третьей стороне
- Соглашение о неразглашении персональных данных субъекта
- Журнал учета передачи персональных данных
- Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных
- Типовой должностной регламент специалиста по обеспечению безопасности персональных данных
- Типовой план мероприятий по защите персональных данных
Также появились разъясняющие документы в других регионах:
В Администрации Смоленской области разработали единое положение и шаблоны для всех органов исполнительной власти и подведомственных учреждений.
Калининградское министерство здравоохранения сделали приказ О порядке регистрации согласия граждан на обработку персональных данных.
26174 . 11821
Другие записи
Автор: Царев Евгений
| Метки: безопасность персональных данных, закон о персональных данных, Законодательство, защита персональных данных, Классификация ИСПДн, Коллеги, Консультация, обработка персональных данных, персональные данные в медицине, персональные данные работника, положение о персональных данных, ПП 687, ПП 781, Права граждан, система персональных данных
 На днях, коллеги из банковского регулятора задали вопрос, который мне показался очень интересным, и сегодня у нас будет возможность его обсудить. Звучит вопрос следующим образом:
Каким образом уничтожать персональные данные? 
Для начала пройдемся по нормативной документации. Из всего многообразия документов по персональным данным и конфиденциалке внятное упоминание «уничтожения» нашел только в Постановлении Правительства №687. Здесь есть несколько пунктов, которые заставляют подключать фантазию и пытаться понять, что же имеется в виду:
«9. При несовместимости целей обработки персональных данных:
…при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.»
Даже неоднократное прочтение, не создает понимания, как именно необходимо уничтожать персональные данные.
Что в таком случае делать? Необходимо возвращаться к определению в законе:
«уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных»
Здесь есть две формулировки: «невозможность восстановить» и «уничтожение материального носителя». Давайте посмотрим на классические носители, через призму этих формулировок:
1) Бумажный носитель. Офисные шредеры справляются с задачей уничтожения материального носителя, но как быть с возможностью восстановления? У шредеров есть различные степени секретности (от 1 до 5). Каким пользоваться? Нужно ли актировать уничтожение персональных данных? (Кстати, сжигать, как гостайне, не получится, по понятным причинам)
2) Электронный носитель. Будет ли достаточно простого удаления фалов/форматирования/неоднократной перезаписи? По возможности восстановления файлов с электронных носителей пишутся диссертации. Необходимо уничтожать носитель? Если да, то, в каких случаях.
Из всего вышесказанного можно заключить, что вопрос уничтожения персональных данных, на сегодняшний день, не регулируется.
P.S. Почему ВТБ24 выбросило на свалку массу персональных данных?
11728 . 3941
Другие записи
Автор: Царев Евгений
| Метки: Заблуждения, Законодательство, ИСПДн, Коллеги, Консультация, Новость, Обезличивание, ПП 687, Требования
 Наконец-то появилась возможность вдумчиво прочитать этот документ, и сегодня предлагаю его обсудить.
Первые 20 страниц отчета читать не стоит, ничего нового я там не обнаружил, а вот на последних 5 страницах появляются очень интересные вещи. Пойдем по порядку:
1) Мое внимание привлекла информация о новом приказе «трех». Между Роскомнадзором, ФСТЭК и ФСБ принято решение о согласовании и утверждении проекта приказа «Об утверждении Временного порядка организации взаимодействия по реализации требований законодательства Российской Федерации в области защиты персональных данных».
Данный документ предусматривает взаимодействие по трем основным направлениям деятельности:
1. Обмен информацией в области персональных данных;
2. Совместное осуществление мероприятий по контролю (надзору);
3. Обучение и повышение квалификации сотрудников.
Совместные мероприятия по контролю должны будут проходить в третьем квартале 2009 года.
2) Уже давно забытый законопроект № 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации…», о котором я уже писал, также упоминается в докладе со словами «необходимо ускорить процесс рассмотрения». Принятие законопроекта позволит Роскомнадзору САМОСТОЯТЕЛЬНО составлять протоколы об административных правонарушениях, и вводит пять новых составов административных правонарушений, касающихся непосредственно персональных данных. Документ очень важный и нужный, хотя некоторые пункты было бы неплохо доработать, ведь сам документ пылится с 2005 года.
3) Очень интересны приоритетные направления и задачи, которые видит Роскомнадзор на 2009 год.
Среди них разработка и утверждение:
- проекта Постановления Правительства Российской Федерации «Об утверждении Порядка организации и осуществления государственного контроля за деятельностью в области обработки персональных данных»;
Давно назрела необходимость такого документа именно на уровне Правительственного Постановления. «Теоретически» это должно создать понятные правила для операторов ПДн, при условии вдумчивого написания, конечно. Не хотелось бы повторения истории ПП781 и ПП687.
4) Трансграничная передача также упоминается в отчете. Существующая нормативная база не позволяет Роскомнадзору должным образом «регулировать трансграничную передачу», при этом делается все возможное, чтобы создать необходимое правовое поле. Насколько мне известно, служба уже сделала свои «настоятельные» рекомендации по этому поводу. Лично мне было бы интересно узнать детали этих рекомендаций, но в отчете их нет.
8003 . 2329
Другие записи
Автор: Царев Евгений
| Метки: Законодательство, ПП 687, ПП 781, Роскомнадзор, трансграничная передача
 Коллеги, продолжая тему Заседания рабочей группы Ассоциации Российских Банков, есть предложение поучаствовать в выработке итогового документа. Сейчас я готовлю свою подборку проблемных мест закона, руководящих документов регуляторов, постановлений правительства и пр., а также рекомендации по устранению этих проблем. Учитывая, что тема касается каждого, и всем есть что сказать, предлагаю поделиться своими мыслями, найденные коллизии и возможные варианты их решений можете отправлять на tsarev()bk.ru . Актуальность запроса будет сохраняться в течение текущей недели. Со своей стороны, при передаче материалов рабочей группе, гарантирую сохранение авторства и, по возможности, буду держать в курсе решения по вашим рекомендациям.
24454 . 6121
Другие записи
Автор: Царев Евгений
| Метки: Заблуждения, Законодательство, Злоупотребления, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, Лицензирование, Новость, Обезличивание, Опыт работ, ПП 687, ПП 781, Проверки, РД, Роскомнадзор, Россвязькомнадзор, Семинар, СЗПД, Слухи, СМИ, Суды, трансграничная передача, Требования, Уведомление, Уголовная ответственность, ФСБ, ФСТЭК
Пропустил я как-то статью о SMS-спаме. Суть происшедшего в следующем, некому господину Афанасьву неоднократно на мобильный телефон приходили сообщения «Флиртуй, знакомься, найди свою любовь и новых друзей! Романтическое путешествие и ценные призы ждут тебя!»(лично мне регулярно приходит подобное от Мегафона). Но в отличие от меня г-н Афанасьев решил обратиться в ФАС (очень интересно как оформлялось заявление). Чиновники решили, что это прямое нарушение действующего законодательства и вынесли предписание для МТС.
МТС решило оспорить предписание в суде, и в ходе разбирательства выяснилось, что рассылку делали не они, а малоизвестные сторонние организации ООО «ИнМобилити» и ЗАО «Связной Загрузка», которым оператор связи по договору предоставлял доступ к своим сервисам. Выборка осуществлялась исходя из анализа персональных данных абонентов, причем ВРУЧНУЮ, через автоматизированный интерфейс (очень интересно вывернули). Еще более интересный вывод сделал судья, он вынес решение, в пользу ФАС, сославшись на то, что запрещается без участия человека не только применение средств выбора, но и набор абонентского номера для распространения рекламы (полнейшая ересь). По понятным причинам, юристы ухватились за «такое» решение и обжаловали его в высшем Арбитраже.
Если предположить, что с юридической стороной передачи персональных данных от МТС к ООО «ИнМобилити» и ЗАО «Связной Загрузка» все в норме, прошу обратить внимание на РУЧНУЮ обработку. По всей видимости, здесь рассматривается уход под 687 постановление правительства. Как я уже писал, эта мера находит все большее распространение, и в качестве временной меры имеет место быть. В данном случае некорректная работа судьи первой инстанции позволила МТС без труда обжаловать его решение, что создает в отечественном праве очень знаковый прецедент.
Что касается согласия на обработку, то в данном случае, это может стать предметом бесконечной дискуссии. С одной стороны стоят операторы сотовой связи со своими типовыми договорами, по которым вам могут рассылаться ЛЮБЫЕ материалы, и более того, ваши персональные данные могут передаваться КОМУ УГОДНО. С другой стороны стоят субъекты персональных данных со своим НЕОТЧУЖДАЕМЫМ правом на защиту персональных данных.
Кто победит, вновь покажет время…
3892 . 1548
Другие записи
Автор: Царев Евгений
| Метки: ПП 687, СМИ
|
|
|
Последние комментарии