Комментарии 98
Большая красная картинка почти во весь размер монитора это круто! :-)
Может все же чуть меньше?
Может все же чуть меньше?
Она и правда оказалась больше, чем я предполагал :)
Спасибо, исправил.
Спасибо, исправил.
Выглядело так, будто Вы хотели изнасиловать мои глаза :(
«Необходимо добросовестно и с умом выполнять данный закон» — эээээээх
«Необходимо добросовестно и с умом выполнять данный закон» — эээээээх
А если ещё
По теме: В статье нет информации: а какие, собственно, надо предпринимать шаги админу, чтобы соблюсти закон — ну и чем грозит неисполнение. В следующих частях?
align="left" вписать, будет ещё лучше.По теме: В статье нет информации: а какие, собственно, надо предпринимать шаги админу, чтобы соблюсти закон — ну и чем грозит неисполнение. В следующих частях?
Да, я хотел бы это объяснить более подробно. Здесь же вводная часть.
как я понял, админ = оператор во многих случаях, а значит при обработке ПД он обязан:
если же он не оператор, то обязан по роду своей деятельности технически помогать другим операторам, при этом не получая доступ к ПД
принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
если же он не оператор, то обязан по роду своей деятельности технически помогать другим операторам, при этом не получая доступ к ПД
Есть вопрос: что нужно сторонней фирме, которая захочет заниматься /*чёрт, не знаю как правильно сказать*/, вобщем помогать Операторам защитить ПД и сертифицировать ИСПДн?
Сертификат ФСЭК/ФСБ или еще что?
Сертификат ФСЭК/ФСБ или еще что?
Т.к. я еще студент, хоть практически закончивший институт, не могу получить лицензии. Но заниматься консалтингом мне никто не машет.
Можно договориться с более крупными компаниями, чтобы они своих специалистов предоставляли. Мы делаем свою работу, они свою. Никто в накладе не остается.
Можно договориться с более крупными компаниями, чтобы они своих специалистов предоставляли. Мы делаем свою работу, они свою. Никто в накладе не остается.
дык судя по всему у них и своих клиентов хватит, если как я понимаю под этот закон практически любая контора подходит
вот что нарыл:
Положение о лицензировании деятельности по технической защите конфиденциальной информации устанавливает требование наличия в штате соискателя лицензии специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; из чего можно сделать вывод, что специалистов должно быть от двух человек и более.
Положение о лицензировании деятельности по технической защите конфиденциальной информации устанавливает требование наличия в штате соискателя лицензии специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; из чего можно сделать вывод, что специалистов должно быть от двух человек и более.
Если хотите помогать — то это консалтинг =)
Если хотите серьезно вести проект, то организации необходима лицензия ФСТЭК.
Далее, по окончанию проведения работ по приведению ИСПДн организации в соответствие с требованиями ФЗ-152, этой же организации при определенных условиях необходимо получить лицензию ФСТЭК на ТЗКИ.
С требованиями для получения лицензий можно ознакомиться тут
Если хотите серьезно вести проект, то организации необходима лицензия ФСТЭК.
Далее, по окончанию проведения работ по приведению ИСПДн организации в соответствие с требованиями ФЗ-152, этой же организации при определенных условиях необходимо получить лицензию ФСТЭК на ТЗКИ.
С требованиями для получения лицензий можно ознакомиться тут
Дурацкий способ привлечь внимание к посту, уважайте других.
за использование национальной символики не осудят?:)))
Спасибо. В закладки.
Компании, предоставляющей расчет жилищных и коммунальных платежей для УК, УО и ТСЖ, как обезопаситься, в связи с наступлением данного закона на пятки?
картинка меня парализовала пока я читал первый абзац
Сам по себе закон 152-ФЗ — всего лишь вершина айсберга, дающая только самые общие направления развития. Все самое интересное кроется в подзаконных актах правительства и регуляторов.
Еще хочу добавить, чтопринятие 152-ФЗ — это шаг, на который пошла РФ с целью интеграции в мировое экономическое пространство. Ни одна цивилизованная страна не будет работать с дикарями, которые не следят за обработкой ПДн. Так появился 152-ФЗ.
А по поводу трактовки положений ПДн есть забавный пример. Вы записываете ФИО и номер друга к себе в телефон. Вы — оператор ПДн и обязаны соблюдать требования по безопасности подзаконных актов?
Ответ — хз :)
Еще хочу добавить, чтопринятие 152-ФЗ — это шаг, на который пошла РФ с целью интеграции в мировое экономическое пространство. Ни одна цивилизованная страна не будет работать с дикарями, которые не следят за обработкой ПДн. Так появился 152-ФЗ.
А по поводу трактовки положений ПДн есть забавный пример. Вы записываете ФИО и номер друга к себе в телефон. Вы — оператор ПДн и обязаны соблюдать требования по безопасности подзаконных актов?
Ответ — хз :)
Вот именно и регуляторы навели весь кипишь, прикрываясь 152-ФЗ.
По примеру — так же и с визитками. Субъект персональных данных может передавать близким (в кои входят и друзья) свою персональную информацию, т.к. знает, что тот ничего не кому важного не расскажет.
Поэтому после каникул думы и ждем поправок, чтобы таких косяков не было.
P.S. Да и регулятор к вам домой вряд ли наведается %)
По примеру — так же и с визитками. Субъект персональных данных может передавать близким (в кои входят и друзья) свою персональную информацию, т.к. знает, что тот ничего не кому важного не расскажет.
Поэтому после каникул думы и ждем поправок, чтобы таких косяков не было.
P.S. Да и регулятор к вам домой вряд ли наведается %)
Наведается-не наведается — другой вопрос :)
Мне вот интересно — нарушаю ли я федеральный закон и подзаконные акты? А что еще интереснее, даже законодатели этого не знают. Либо знают и хотят, чтобы все сидели. Иначе зачем еще такой закон было выпускать?
Мне вот интересно — нарушаю ли я федеральный закон и подзаконные акты? А что еще интереснее, даже законодатели этого не знают. Либо знают и хотят, чтобы все сидели. Иначе зачем еще такой закон было выпускать?
Закон в основном относится к владельцам баз данных клиентов, работников, партнеров и тд.
На счет нарушения — если в коммерческих целях обрабатываете ПД, то нарушаете. Но к вам не будут придираться, пока через вас не пойдут большие суммы.
На счет нарушения — если в коммерческих целях обрабатываете ПД, то нарушаете. Но к вам не будут придираться, пока через вас не пойдут большие суммы.
что значит «в коммерческих целях»? отдел кадров — это коммерческие цели?
Это Ваша трактовка. Причем безосновательная.
Закон и подзаконные акты ни слова не говорят о коммерческих или еще каких-либо целях обработки ПДн.
Пример: Вы украли жевачку в магазине — нарушили закон чуть-чуть. Подумаешь, она же всего рубль стоит. Но Вы должны нести ответственность за нарушение положений УК РФ. Другой вопрос, что милиции до Вас нет дела — подумаешь, жевачка.
Здесь то же самое — есть нарушение ФЗ или нет?
Закон и подзаконные акты ни слова не говорят о коммерческих или еще каких-либо целях обработки ПДн.
Пример: Вы украли жевачку в магазине — нарушили закон чуть-чуть. Подумаешь, она же всего рубль стоит. Но Вы должны нести ответственность за нарушение положений УК РФ. Другой вопрос, что милиции до Вас нет дела — подумаешь, жевачка.
Здесь то же самое — есть нарушение ФЗ или нет?
Они ни слова не говорят об этом. Но если посмотреть на закон внимательнее…
Статья 15, пункт 1
Статья 15, пункт 1
Статья 15, пункт 1
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
На основе этого пункта я и могу трактовать, вполне основательно.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
На основе этого пункта я и могу трактовать, вполне основательно.
Эта статья относится к рекламным рассылкам и адресной агитации.
Спускаемся на пример: Вы оставили свой адрес и телефон в компании Х, а со следующего дня начали получать от них рекламные sms, звонки, почту и пр, хотя не давали на это согласия.
Это нарушение данной статьи. К выше начатой беседе не относится.
Спускаемся на пример: Вы оставили свой адрес и телефон в компании Х, а со следующего дня начали получать от них рекламные sms, звонки, почту и пр, хотя не давали на это согласия.
Это нарушение данной статьи. К выше начатой беседе не относится.
И если уж Вы завели разговор о законодательстве, будьте тверды в суждениях. Не придет регулятор — это не аргумент.
Статья 9, пункт 1 закона
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Если человек хочет вам давать свои ПД, то даст. Если же не доверяет, то не даст. Закон и подзаконные акты таких мелких передач ПД не могут регулировать, т.к. это уже лезть в личное пространство человека и делать из него недееспособного младенца.
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Если человек хочет вам давать свои ПД, то даст. Если же не доверяет, то не даст. Закон и подзаконные акты таких мелких передач ПД не могут регулировать, т.к. это уже лезть в личное пространство человека и делать из него недееспособного младенца.
На мой взгляд, Вы немного недоразобрались в положениях закона.
В этой статье идет речь о том, что Оператор не может начать обработку ПДн без согласия Субъекта. Как только Субъект дал согласие и Оператор начал обработку, так сразу вступает в силу дейтсвие данного закона и подзаконных актов.
Если Субъект изъявил желание изъять свои Пдн из обработки, то Оператор заканчивает их обработку, регулирование их отношений законом прекращается.
При чем тут младенцы?
В этой статье идет речь о том, что Оператор не может начать обработку ПДн без согласия Субъекта. Как только Субъект дал согласие и Оператор начал обработку, так сразу вступает в силу дейтсвие данного закона и подзаконных актов.
Если Субъект изъявил желание изъять свои Пдн из обработки, то Оператор заканчивает их обработку, регулирование их отношений законом прекращается.
При чем тут младенцы?
Насколько я помню, согласие должно быть письменным :) Кроме того, вроде как надо указать, какая именно обработка и использование с какими целями разрешено. Например, я передам его ФИО и номер телефона другому нашему общему другу — это нормально? А если левому человеку?
да там весь закон какой-то мутный.
что значит «другая информация»? размер обуви?
кто и как будет определять, что негативные последствия — значительные?
и очень порадовало то, что часть документов, которыми надо руководствоваться при работе с ИСПДн имеют гриф ДСП ФСТЭК и ФСБ. :)
что значит «другая информация»? размер обуви?
кто и как будет определять, что негативные последствия — значительные?
и очень порадовало то, что часть документов, которыми надо руководствоваться при работе с ИСПДн имеют гриф ДСП ФСТЭК и ФСБ. :)
Чем больше информации кроме ФИО и места жительства, тем последствия значительнее.
Документы регуляторов посмотреть можно, как? Это уже каждый своими методами :)
Документы регуляторов посмотреть можно, как? Это уже каждый своими методами :)
По нормативным актам вы не правы. Если у Вас есть лицензия на Техническую Защиту Конфиденциальной Информации (ТЗКИ), то Вы можете запросить соответствующие документы у регулятора совершенно спокойно.
Для осуществления работ по защите ПДн эта лицензия необходима. Так что тут все логично.
А праздное любопытство никогда не приветствовалось компетентными органами.
Для осуществления работ по защите ПДн эта лицензия необходима. Так что тут все логично.
А праздное любопытство никогда не приветствовалось компетентными органами.
В теории вы правы, на практике не очень. Документы получить можно, но это дело не одного для и не одного месяца, это стоит понимать.
Компания может собственными силами защитить свою ПД, без лицензий. Закон этого не запрещает. Но пройти обучение сотрудникам, работающим с ПД, необходимо.
Компания может собственными силами защитить свою ПД, без лицензий. Закон этого не запрещает. Но пройти обучение сотрудникам, работающим с ПД, необходимо.
Как так собственными силами? Вы никогда не докажете регулятору, что Ваших усилий достаточно. Чтобы формализовать доказательство как раз и нужны нормативные документы и такое понятие как аттестация.
А если Вы никому ничего доказывать не собираетесь, тогда смело нарушайте закон и не парьтесь с выполнением его положений. Или напишите свой с преферансом и куртизанками.
А если Вы никому ничего доказывать не собираетесь, тогда смело нарушайте закон и не парьтесь с выполнением его положений. Или напишите свой с преферансом и куртизанками.
Доказать не доказать, другой вопрос. Но защитить собственными силами можно. Да, аттестация ИСПДн безусловно придаст больше аргументов в пользу оператора. Но, повторю, запрещать исполнять закон собственными силами никто не будет.
Внимание, вопрос:
Тогда зачем Вам исполнять положения 152-ФЗ? Напишите свой и защищайте ПДн как Вам будет удобно.
Регулятор спросит — а Вы ответите: «а я как-то сам, у меня все в порядке, лицензий нет, документов нет, образования нет, мой друг сантехник Петр мне настроил фаервол».
Тогда зачем Вам исполнять положения 152-ФЗ? Напишите свой и защищайте ПДн как Вам будет удобно.
Регулятор спросит — а Вы ответите: «а я как-то сам, у меня все в порядке, лицензий нет, документов нет, образования нет, мой друг сантехник Петр мне настроил фаервол».
Еще раз, защищать самим закон не запрещает. Они защитят сами, провалятся с большей вероятностью и обратятся к специалистам :)
Гм…
Мы, наверное, говорим о разных вещах. Да, защищать своими силами можно, но делать это нужно в соответствии с нормативными актами для того, чтобы выполнить требования ФЗ и ругуляторов.
Если Вы все делаете «по уму», то у Вас должна быть лицензия на ТЗКИ. И, следственно, Вы имеете доступ ко всем нормативным документам, которые Вы выше предлагали «доставать» в течение не одного месяца.
А если делаете «не по уму», а на свой лад, то пишите свой закон.
Мы, наверное, говорим о разных вещах. Да, защищать своими силами можно, но делать это нужно в соответствии с нормативными актами для того, чтобы выполнить требования ФЗ и ругуляторов.
Если Вы все делаете «по уму», то у Вас должна быть лицензия на ТЗКИ. И, следственно, Вы имеете доступ ко всем нормативным документам, которые Вы выше предлагали «доставать» в течение не одного месяца.
А если делаете «не по уму», а на свой лад, то пишите свой закон.
На сколько я помню, самостоятельно можно защищать только К3 и К4, защита К1 и К2 контроллируется «сверху» в обязательном порядке.
кроме аттестации в законе есть термин декларация соответствия ИСПДн (упрощенка), которая делается в том числе на основании собственных исследований. В этом случае заявителю действительно необходимо иметь пакет доказательных материалов.
Разве не правильно что лицензия на ТЗКИ нужна лишь если вы оказываете услуги по защите ПДн организации или если у вас испдн к1?(http://mmite.3dn.ru/forum/2-9-1)
своими методами?..
мы недавно лицензировали один вид деятельности. так там в пакете документов во ФСТЭК в обязательном порядке должны быть ДСПшные документы того же самого ФСТЭК и ФСБ. и, что характерно, все они имеют регистрационный номер.
зато их можно запросить и купить в ФСТЭКе и ФСБ. ;)
мы недавно лицензировали один вид деятельности. так там в пакете документов во ФСТЭК в обязательном порядке должны быть ДСПшные документы того же самого ФСТЭК и ФСБ. и, что характерно, все они имеют регистрационный номер.
зато их можно запросить и купить в ФСТЭКе и ФСБ. ;)
«2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;»
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;»
Учитывая то, что в каждой организации есть как минимум отдел кадров с ПД сотрудников получаем, что любая организация является оператором ПД, а соответственно должна защитить эти ПД. С учетом того, что на компе (а мы подразумеваем, что ПД у нас на компе) с конфиденциальной информацией может стоять исключительно софт сертифицированный ФСТЭК — получаем нехилый намыв бабла. Кроме того, уже сейчас есть очень много контор, которые за небольшие огромные деньги могут сделать всю работу по защите ПД за вас.
p.s. Читаем про категории.
Вычитываем «ПД содержащие инфу о состоянии здоровья являются ПД 1 категории ». Таак, а для 1 категории скажу сразу — комната отдельная под сигнализацией с доступом для ограниченного круга лиц, решетки на окнах, шумоизоляция, антипрослушка, отдельная вентиляция и пр, пр, пр. Вот где здравоохранение напоролось на огромное баблище. Ээээх…
p.s. Читаем про категории.
Вычитываем «ПД содержащие инфу о состоянии здоровья являются ПД 1 категории ». Таак, а для 1 категории скажу сразу — комната отдельная под сигнализацией с доступом для ограниченного круга лиц, решетки на окнах, шумоизоляция, антипрослушка, отдельная вентиляция и пр, пр, пр. Вот где здравоохранение напоролось на огромное баблище. Ээээх…
Мы как раз делаем SAAS для мед. учреждений и столкнулись с такой проблемой. Понижение категорий никто не отменял, к тому же ;)
И сейчас появляются не крупные интеграторы ИБ, а средние компании осуществляющие дешевое и качественное внедрение.
И сейчас появляются не крупные интеграторы ИБ, а средние компании осуществляющие дешевое и качественное внедрение.
сертифицированые и аттестованные средства ЗИ для ПД нужны только если у вас испдн к1 (http://mmite.3dn.ru/forum/2-9-1).
У нас они такими и являются.
Тогда да. Я понимаю у вас первый класс из-за того есть пд о состоянии здоровье? Такой класс испдн мало как можно занизить, если только не прибегать к не внятности формулировки что такое «состояние здоровья».
P.S. Ну и еще же нужна лицензия ФСБ на СКЗИ, что есть гемморой при использовании средств использующих «забугорную» криптографию.
P.S. Ну и еще же нужна лицензия ФСБ на СКЗИ, что есть гемморой при использовании средств использующих «забугорную» криптографию.
Со здоровьем можно сделать как — вместо «ФИО» = «информация о здоровье» сделать «ФИО» = «Идентификатор» и «Идентификатор» = «информация о здоровье».
По-моему спорный момент. Класс испдн это не занизит. По-моему в вебинаре softline было жаркая полемика про такой трюк: seminars.softline.ru/it_page.php?id=4000 (требуется регистрация.) Там предлагали использовать собственные идентификаторы состоянии о здоровье.
Мне с большим трудом даются все эти юридические формулировки.
У меня простой вопрос, напрямую относящийся к моей деятельности.
У меня есть интернет-магазин. Естественно, есть персональные данные покупателей. Я с ними обращаюсь очень бережно, не передаю третьим лицам, и даже спам не отправляю.
Вопрос: как мне работать после 1 января 2011 года? Я автоматически стану вне закона?
У меня простой вопрос, напрямую относящийся к моей деятельности.
У меня есть интернет-магазин. Естественно, есть персональные данные покупателей. Я с ними обращаюсь очень бережно, не передаю третьим лицам, и даже спам не отправляю.
Вопрос: как мне работать после 1 января 2011 года? Я автоматически стану вне закона?
Ответил вам личным сообщением.
Да, очень актуальный вопрос. Но хотелось бы его расширить.
В обычном блоге, где данные регистрации вполне ПД (если я правильно понял), я тоже должен становиться Оператором со всеми вытекающими?
И если я имею коммерческий сервис, для работы которого пользователь вводит, опять же, различную регистрационную информацию, а так же, скажем, организуется (т.е. обрабатывается/хранится?) переписка пользователя сервиса с его клиентами, то я подпадаю под действие данного закона?
В обычном блоге, где данные регистрации вполне ПД (если я правильно понял), я тоже должен становиться Оператором со всеми вытекающими?
И если я имею коммерческий сервис, для работы которого пользователь вводит, опять же, различную регистрационную информацию, а так же, скажем, организуется (т.е. обрабатывается/хранится?) переписка пользователя сервиса с его клиентами, то я подпадаю под действие данного закона?
Вы безусловно попадаете под действие данного закона, т.к. хранение ПД является обработкой, а ее делает оператор. Вы оператор, но какого класса данные вы обрабатываете, другой вопрос. Для вас лучше убрать лишние для заполнения поля для пользователя, только основные данные.
По моему все интернет магазины основательно «попали»:
потому как обрабатывают данные 2 категории (объект нужно не только идентифицировать, но и получить доп. информацию — адрес, телефон).
При этом Интернет магазины собирают данные о людях (пока еще не клиентах) со всей страны (а не одной организации), а значит в итоге должно получиться что это ИСПДн К2.
Поправьте если я ошибаюсь.
потому как обрабатывают данные 2 категории (объект нужно не только идентифицировать, но и получить доп. информацию — адрес, телефон).
При этом Интернет магазины собирают данные о людях (пока еще не клиентах) со всей страны (а не одной организации), а значит в итоге должно получиться что это ИСПДн К2.
Поправьте если я ошибаюсь.
Да, ситуация такая, как вы сказали. И все ждут каких-либо поправок в законе или нормативных актов от регуляторов.
Иначе магазину не выгодно обрабатывать ПД — слишком дорого.
Иначе магазину не выгодно обрабатывать ПД — слишком дорого.
Ладно магазин. Обычный блог самый простейший уже попадает.
Нужно дождаться осени и смотреть, что предпримут регуляторы. Это как один из выходов. Но все-равно рано или поздно необходимо принимать меры согласно закону.
Уменьшение количества персональных данных — ФИО, логин, мыло и пароль — это может помочь.
Уменьшение количества персональных данных — ФИО, логин, мыло и пароль — это может помочь.
А вот тут поспорю =)
Что есть рег. форма? Набор полей где-то в сети.
Ч то такое ПДн? Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу
Но потенциальный оператор ПДн не может точно сказать, относятся ли введеные данные к конкретному лицу? А может робот заполнил. Да мало ли человек пошутил, от балды ввел.
Далее покупатель указывает номер телефона. С сотовым более менее понятно, он конкретнее привязан к человеку (но не мешает указать телефон друга). Но с городским не так все ясно… тут можно указать телефон квартиры, организации, родителей, и т.д.
Стало быть мы не можем однозначно сказать что это персональные данные — мы можем предположить.
Что есть рег. форма? Набор полей где-то в сети.
Ч то такое ПДн? Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу
Но потенциальный оператор ПДн не может точно сказать, относятся ли введеные данные к конкретному лицу? А может робот заполнил. Да мало ли человек пошутил, от балды ввел.
Далее покупатель указывает номер телефона. С сотовым более менее понятно, он конкретнее привязан к человеку (но не мешает указать телефон друга). Но с городским не так все ясно… тут можно указать телефон квартиры, организации, родителей, и т.д.
Стало быть мы не можем однозначно сказать что это персональные данные — мы можем предположить.
При регистрации частенько спрашивают e-mail, который как ни крути ПД. Может не регистрирующегося, а его друга, но ПД.
не ПДн. Однозначно.
На основании введенного эл. адреса оператор НЕ сможет определить физ.лицо, пока с ним лично не встретится.
Закон настолько дыряв, что в нем юристы могут плавать достаточно вольготно.
А мне сам работодатель велел.
=)
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу...
На основании введенного эл. адреса оператор НЕ сможет определить физ.лицо, пока с ним лично не встретится.
Закон настолько дыряв, что в нем юристы могут плавать достаточно вольготно.
А мне сам работодатель велел.
=)
Добавлю также, после каникул в Госдуме собираются внести поправки, регламентирующие отношения пользователей с интернет-порталами. Предполагается отменить письменное согласие и предлагать согласие как оферту. Кратко как-то так
«определенному» имеется ввиду конкретному, или которое определили? :)
Обожаю законы.
Обожаю законы.
конкретно определенному =) Например, ИСПДн наполняемая по мере появления людей в каком-нибудь офисе с паспортом (офис продаж сотовиков)
Т.е. если я не запрашивал ФИО, адрес, телефон, номер кредитки и т.д., то под действие закона не попадаю?
100% =)
А если спросил ФИО, должность, e-mail и название компании, то бежать все пошлять?
На практике, подобные данные объявляют общедоступными или же вовсе пытаются свести к тому, что это не персональные данные.
Т.е. закон распространяется только на приватные данные приватно хранимые?
Сейчас мы вернемся к самому топику. Перечитайте абзац про категории.
С категориями все понятно. Не понятно в связи с этим что имеется ввиду — «На практике, подобные данные объявляют общедоступными». Ведь это все равно персональные данные. Но с открытым доступом.
Ну тут опять получается свободное толкование закона =))
Ситуация:
Конференция. Собирают данные об участниках. Берут ФИО, мыло, название организации
Можно трактовать по-разному: или сотрудник юр.лица — то есть офиц. лицо компании
либо ФИО + набор символов. Но все равно стараются свести к 4 категории.
Ситуация:
Конференция. Собирают данные об участниках. Берут ФИО, мыло, название организации
Можно трактовать по-разному: или сотрудник юр.лица — то есть офиц. лицо компании
либо ФИО + набор символов. Но все равно стараются свести к 4 категории.
Ага, будут тянуть до последнего момента, и под новый год может примут какие-нибудь поправки.
А пока остается только извращаться с дроблением баз на части :(
В прошлом декабре, по глазам руководства было видно, что у них очко очень сильно сжато. Потом оно у них расслабилось, и вот с тех пор не напрягается. Боюсь, что в большинстве организаций также — наступит декабрь и опять — очко сожмется, глазки выпучатся.
А если серьезно, то самая главная поправка, которую все же сделали, это то что криптографию применять не обязательно.
А пока остается только извращаться с дроблением баз на части :(
В прошлом декабре, по глазам руководства было видно, что у них очко очень сильно сжато. Потом оно у них расслабилось, и вот с тех пор не напрягается. Боюсь, что в большинстве организаций также — наступит декабрь и опять — очко сожмется, глазки выпучатся.
А если серьезно, то самая главная поправка, которую все же сделали, это то что криптографию применять не обязательно.
По моему скромному мнению, закон этот писан преимущественно для создания кормушки для всяких эфэсбэшных блядей. Но писан настолько криво, что в зону доения попало гораздо больше народа, чем эти бляди могут обработать.
Впрочем, даже если они и лопнут, жалко не будет.
Впрочем, даже если они и лопнут, жалко не будет.
На сайте регулятора есть список запланированных проверок на 2010 и 2011 года. Ссылку к сожалению дать не могу.
Незапланированные проверки будут в том случае, если субъект ПД (владелец) будет жаловаться на операторов. И вот таких людей нужно аккуратно «обходить».
Незапланированные проверки будут в том случае, если субъект ПД (владелец) будет жаловаться на операторов. И вот таких людей нужно аккуратно «обходить».
Этот habrahabr.ru/blogs/infosecurity/107450/ топик напомнил о
>P.S. В следующей статье я попробую проанализировать ситуацию, сложившуюся с применением закона к CRM-системам, распространяющихся по модели SAAS
Следует ли ожидать анализа или забить на идеи SaaS?
>P.S. В следующей статье я попробую проанализировать ситуацию, сложившуюся с применением закона к CRM-системам, распространяющихся по модели SAAS
Следует ли ожидать анализа или забить на идеи SaaS?
Статья пишется. Почему так долго — 152 ФЗ очень «изворотлив» касательно SAAS, в связи с этим информация, так сказать, собирается по крупицам.
вообще, классификатор не полный.
Оператор 2 категории может попасть в первую легко, если количество персданных пользователей будет более определенного порога. то же самое и с 3, тут не все так просто.
есть давно известная матрица.
Оператор 2 категории может попасть в первую легко, если количество персданных пользователей будет более определенного порога. то же самое и с 3, тут не все так просто.
есть давно известная матрица.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Наши новые персональные данные