Re: Защита персональных данных?

ALEX.SH. Пишет:
-------------------------------------------------------
> Подошел ко мне начальник ИТ департамента и сказал,
> что раз я работаю с претензиями потребителей, на
> которых написан их адрес, ФИО, то возможно меня
> придется пересадить в отдельный кабинет.:sm11:

Он прав в том, что Вы действительно работаете с конфиденциальной информацией

> Я не хочу:sm8:
> Тут девчонки))))

Но надо еще посмотреть, не работают ли они с такой же информацией :sm39:

> Поизучал на досуге закон...вроде с одной стороны
> он прав-персональные данные у нас присутствуют в
> ОК, работают люди с ними...а в чем я могу являться
> оператором персональных данных и каким образом я
> распротстраняю их?-неизвестно.

Оператором являетесь не Вы, а Ваша компания/организация.
Для этого достаточно обработки.

> Конешно, если например ФСБ вдруг с чего то
> прицепится-спорить нужны основания.

Кроме ФСБ есть еще Роскомнадзор, прокуратура, ФСТЭК... При том, что Роскомнадзор и прокуратура уже производят проверки, а ФСБ и ФСТЭК присоединятся к ним после 01.01.10

> Все таки я склоняюсь, что привлечь нас к
> ответственности за нарушение 152 ФЗ в ЭТОЙ части
> будет трудно.(почитал все что можно), но мнения и
> если есть практика товарищей мне интересно.

См.

Re: Защита персональных данных?

ivetta Пишет:
-------------------------------------------------------
> Вашему айтишнику больше заняться нечем ? :)
> Может, еще и письменное согласие на обработку
> персональных данных с потребителей требовать?
> :sm20:

Если обработка не подпадает под п.2 ст.6 152-ФЗ - то придется...

> Леш, я бы на твоем месте проверила, есть ли у вас
> в организации положение, устанавливающее порядок
> обработки персональных данных работников. И все ли
> ознакомлены с ним под роспись. Вот за отсутствие
> этого положения действительно могут взгреть...:)

Увы... Но этого уже мало.
Этот вопрос хоть уже давно отработан.

Re: Защита персональных данных?

Nikotin Пишет:
-------------------------------------------------------
> мое мнение что фсб-шники еще не поняли как на это
> зарабатывать.

Поняли великолепно.
Просто свои работники - это еще мелочи, по сравнению с клиентами

Re: Защита персональных данных?

toparenko, раз вы в теме, то можете ответить:
разве претензии потребителей (как и договоры с потребителями об оказании услуг, купли-продажи и т.п.), не подпадают под:
"2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;"
Интересно тоже, поскольку у самой ситуация такая же, как у Алекса - приходится работать с претензиями и исками потребителей.

Re: Защита персональных данных?

ivetta Пишет:
-------------------------------------------------------
> toparenko, раз вы в теме, то можете ответить:
> разве претензии потребителей (как и договоры с
> потребителями об оказании услуг, купли-продажи и
> т.п.), не подпадают под:
> "2) обработка персональных данных осуществляется в
> целях исполнения договора, одной из сторон
> которого является субъект персональных данных;"
> Интересно тоже, поскольку у самой ситуация такая
> же, как у Алекса - приходится работать с
> претензиями и исками потребителей.

Подпадают.
Но это лишь избавляет Вас от отправки уведомления в Роскомнадзор. Во всем остальном 152-ФЗ действует на эти отношения в полном объеме.

Если Вам не удается уйти на ПП687 (см. "Ввод в тему"), то это может быть ИСПДн класса К2 (если не К1 - что практически невыполнимо на открытых информационных системах т.к. ФСТЭК для данного класса скопипастила требования к автоматизированным системам, обрабатывающим гос. тайну)

Re: Защита персональных данных?

"Если Вам не удается уйти на ПП687 (см. "Ввод в тему", то это может быть ИСПДн класса К2 (если не К1 - что практически невыполнимо на открытых информационных системах т.к. ФСТЭК для данного класса скопипастила требования к автоматизированным системам, обрабатывающим гос. тайну)"

Для меня это как китайский язык. :)
Ваши ссылки приводят в тему обсуждения автоматизированной обработки ПД, что-то типа клиентской базы, я правильно поняла? Каким боком здесь претензии потребителей?

Re: Защита персональных данных?

Забыл добавить, что еще Вы можете не брать от каждого согласие на обработку (если обрабатываете исключительно в целях исполнения договора).

Re: Защита персональных данных?

Анонимный пользователь Пишет:
-------------------------------------------------------
> Забыл добавить, что еще Вы можете не брать от
> каждого согласие на обработку (если обрабатываете
> исключительно в целях исполнения договора).


Ну, это понятно...:). С базами клиентов вроде тоже ясно...
А почему вы считаете, что работа с претензиями и исками потребителей подпадает под понятие "обработка персональных данных"?

Re: Защита персональных данных?

ivetta Пишет:
-------------------------------------------------------
> "Если Вам не удается уйти на ПП687 (см. "Ввод в
> тему", то это может быть ИСПДн класса К2 (если не
> К1 - что практически невыполнимо на открытых
> информационных системах т.к. ФСТЭК для данного
> класса скопипастила требования к
> автоматизированным системам, обрабатывающим гос.
> тайну)"
>
> Для меня это как китайский язык. :)
> Ваши ссылки приводят в тему обсуждения
> автоматизированной обработки ПД, что-то типа
> клиентской базы, я правильно поняла? Каким боком
> здесь претензии потребителей?

ПП687 - Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

Т.е. если Вы не обосновали "неавтоматизированность обработки" - то Ваша информационная система (если она создана до января 2007 года) к 01.01.10 должна соответствовать техтребованиям к безопасности, предъявляемым ФСТЭК и ФСБ. Если информационная система создана после января 2007 - то она уже должна соответствовать этоим требования.

Кроме этого вся обработка персональных данных (кроме указанного выше) должна соответствовать 152-ФЗ с января 2007 года. Проверки данного соответствия производятся с прошлого года Роскомнадзором и прокуратурой.

В претензиях потребителей (как минимум) указаны ФИО, адрес, дополнительные данные - это уже ПДн, которые должны обрабатываться определенным 152-ФЗ образом и соответственно быть защищены. Как и база предъявленных претензий.

К сожалению уже пошли жалобы на нарушения обработки ПДн по которым Роскомнадзор отправляет дела в суды и прокуратуру. Самым "легким способом" предъявления претензии может быть то, что не удовлетворенный разбором претензии клиент может:
- написать запрос об основаниях обработки его ПДн - при несвоевременном ответе жалоба в Роскомнадзор и дальнейшие репрессивные меры
- потребовать удаления из обработки его ПДн - при несвоевременном ответе/уничтожении - жалоба и т.д.
- завалить запросами на наличие обработки ПДн - фактически атака на "отказ в обслуживании", которая может парализовать работу нескольких служб
- и т.д.

Re: Защита персональных данных?

Ответственность здесь в рамках ст. 13.11 КоАП?

Re: Защита персональных данных?

"К сожалению уже пошли жалобы на нарушения обработки ПДн по которым Роскомнадзор отправляет дела в суды и прокуратуру. Самым "легким способом" предъявления претензии может быть то, что не удовлетворенный разбором претензии клиент может:
- написать запрос об основаниях обработки его ПДн - при несвоевременном ответе жалоба в Роскомнадзор и дальнейшие репрессивные меры
- потребовать удаления из обработки его ПДн - при несвоевременном ответе/уничтожении - жалоба и т.д.
- завалить запросами на наличие обработки ПДн - фактически атака на "отказ в обслуживании", которая может парализовать работу нескольких служб
- и т.д."

Это реальная практика, или возможные риски?

Re: Защита персональных данных?

Уже предъявлялись претенизии по КоАП ст. 13.11, 13.14, 5.39, УК РФ ст. 137, 140

На очереди КоАП ст. 13.12, 13.13, 14.1

Re: Защита персональных данных?

ivetta Пишет:
-------------------------------------------------------
> Это реальная практика, или возможные риски?

См. проверки

Re: Защита персональных данных?

ст. 13.14: объект - информация с ограниченным доступом.
ст. 5.39 - отказ в предоставлении гражданину информации по его обработанным ПД
УК вообще не катит здесь, как и ст. 13.12, 13.13, 14.1.
Ваша ссылки на "проверки" немного некорректна. Там нарушения иного плана.
Только не воспринимайте это как критику своего поста, я просто хочу разобраться. :)

Re: Защита персональных данных?

Я говорю про то, по чем предъявлялись претенизии ;) Не факт, что их все удалось реализовать. Уже есть небольшая судебная практика
Завтра найду конкретные по УК

А те, что на очереди - это с 01.01.10 для тех, кто попадает на ПП781 и ПП512 и обязательное лицензирование деятельности по технической защите конфиденциальной информации (в ФСТЭК) и применению средств криптографической защиты информации (в ФСБ)

ПП781 - Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

ПП512 - Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Re: Защита персональных данных?

За практику спасибо, бегло просмотрела - несколько арбитражных дел выиграно организациями! :).
И вновь - в основном претензии предъявляются либо тем фирмам, которые осуществляют деятельность в сфере коммуникаций, либо в связи с нарушениями в области обработки и хранения ПД работников.
Вот все же не вижу оснований для впадания в депрессию по этому поводу компании, которая работает по договорам с потребителями и изредка получает от этих потребителей претензии. :)
Максимум (на мой взгляд) - это ст. 13.11 КоАП. И то - "из пушки по воробьям"...

Re: Защита персональных данных?

Ива, я тоже на выходных практику поизучал.
И учитывая неопределенность закона-понятие обработки весьма расплывчато-еще нужно доказать, что в части работы с претензией мы ОБРАБАТЫВАЕМ ПД!!!
Мы не обрабатываем ПД, мы отвечаем на претензию.
Письмо направляется либо по почте в закрытом конверте, либо ответ на руки потребителю
А причиненный вред еще нужно доказать.
Видел практику, где отказывают в исках лицам, заявившим и что на конверте неправомерно указали номер мобильника и даже лицевые счета...
Так что тут вопрос спорный. И очень.
но если дошло до требований например хранения документов-ведь я могу просто хранить все претензии от потребителей в закрытом на ключ шкафу. Иначе половину организации придется посадить в отдельные зарешеченные кабинеты.
или например ситуация-продавец в филиале работает в торговом зале. пришел потребитель, принес претензию, -либо продавец должен за решеткой работать, либо отказывать в принятии претензии....выходит то так.
И кадровиков всех позакрывать, и бухгалтеров.
Бред, нужно еще доказать факт нарушения ОБРАБОТКИ ПД.
Да к тому же -в контексте закона ПД в основном понимаются как базы данных (например стыренные телефонные или ГИБДД).
ИМХО, на досуге я еще поразбираюсь, может быть точка зрения и поменяется. но пока вот так.

Re: Защита персональных данных?

А уж если на то пошло, то можно в типовом бланке претензии предусмотреть сноску, что потребитель согласен на обработку, хранение его ПД - на случай, если например принимает претензию секретарь, офис-менеджер, продавец-а работает с ней юрист и СЦ

Re: Защита персональных данных?

ALEX.SH. Пишет:
-------------------------------------------------------
> И учитывая неопределенность закона-понятие
> обработки весьма расплывчато-еще нужно доказать,
> что в части работы с претензией мы ОБРАБАТЫВАЕМ
> ПД!!!

Во всяком случае использование и хранение Вы производите. См. 152-ФЗ

Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

> но если дошло до требований например хранения
> документов-ведь я могу просто хранить все
> претензии от потребителей в закрытом на ключ
> шкафу.

Здесь см. п.15 ПП687:

15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Т.ч. закрытого в шкафу, если ключ только у допущенного персонала, будет достаточно для претензий на бумаге. Вопрос только в обработке на вычислительной технике (ответ на претензию Вы же не от руки или на пишушей машинке будете печатать) - сможете ли Вы отнести ее под ПП687 или не сможете (тогда ПП781 и все под ним).

Re: Защита персональных данных?

:sm13:
Да возможный риск тут один - ст. 13.11 КоАП, и то - не факт!
Не нагнетайте ситуацию, я вас умоляю.
Пусть боятся коллекторские агенства, вывешивающие фото должников на всеобщее обозрение; операторы сотовой связи; организации, обрабатывающие базы данных по клиентам и иже с ними.

Re: Защита персональных данных?

Ива +куча

Re: Защита персональных данных?

По претензиям по УК пока немного и идет ст. 137:
http://66.rsoc.ru/news/?id_news=43
http://www.krasproc.ru/?news&id=1319

Re: Защита персональных данных?

Что-то этот троллинг немного утомлять стал...:sm32:

Re: Защита персональных данных?

ivetta Пишет:
-------------------------------------------------------
> Не нагнетайте ситуацию, я вас умоляю.
> Пусть боятся коллекторские агенства, вывешивающие
> фото должников на всеобщее обозрение; операторы
> сотовой связи; организации, обрабатывающие базы
> данных по клиентам и иже с ними.


А школу за что? :sm33:

Re: Защита персональных данных?

ivetta Пишет:
-------------------------------------------------------
> Что-то этот троллинг немного утомлять
> стал...:sm32:


Дело Ваше, как и Вам оценивать риски ;)

Re: Защита персональных данных?

ну там же не написано, что ее просто так наклонили....так что нельзя утверждать, что она пострадала ни за что.
А факты отмены наложения адмвзыскания, где явно придираются-налицо-в решениях суда...а вообще согласен с Иветтой-спор уже бесполезен....или пока бесполезен
в принципе, все интересующее на настоящий момент выяснено. больше вопросов нет.
Будут-создадим ветку новую

Re: Защита персональных данных?

Товарисч toparenko!!! отзовитесь!!!! есть несколько вопросов