Комментарии 5
Всего один вопрос: является ли Вася, владелец форума we-love-ust-sapisduisk.ru оператором персональных данных? Ведь на его форуме для регистрации собираются адреса электронной почты, а это персональные данные!
Зависит от хотения органа, который будет проводить проверку. В разное время трактовалось по-разному. Формально по email установить человека нельзя, т.к. email может принадлежать нескольким пользователям, значит, это не ПДн. Но среди них может быть один email, который выдан "по паспорту", и значит это ПДн.
Это из той же области, что и вопрос: "является ли ФИО без уточняющего кортежа ПДн? - как бы нет, но может быть и да".
Ну, а дальше вопрос детский - если обрабатывается ПДн, то есть и оператор ПДн.
И что все-таки вы показываете гендиректорам, которые требуют "хостинг согласно 152-ФЗ"? Вот этот самый "аттестат соответствия требования по защите информации ФСТЭК"? Типа СберКладуовского? https://cdn.sbercloud.ru/backend/docs/certificates/AI_Cloud_Compliance_Certificate.pdf Там же прямо по тексту написано - выдано на конкретную программно-аппаратную реализацию, состав приведен в приложении, вносить изменения запрещено. Т.е. получили аттестат и реально перестали что-либо менять в инфраструктуре и ПО вообще? Или все-таки все это по другому работает?
Любые организации, которые взаимодействуют с персональными данными, обязаны соблюдать эти законодательные акты, чтобы избежать штрафа от Роскомнадзора.
Нет. Не чтобы избежать штрафа. А чтобы хоть как-то защитить данные пользователей, которые доверили свои данные вашей компании. Если это не мотиватор для безответственной компании, то есть штрафы.
Защита персональных данных в облаке: что нужно знать компаниям, чтобы не нарушать закон