Закон о защите персональных данных
Создана: 07 Сентября 2011 Срд 9:44:24.
Раздел: "Юриспруденция"
Сообщений в теме: 55, просмотров: 72145
-
Нашла свою фирму в списках проверок Госкомнадзора. Будут проверять 1 ноября. В фирме на данный момент 2 сотрудника: я и директор :) Так как бухгалтер с июня уволилась, на меня приказом возложены обязанности ведения бухучета. То есть реально к перс. данным работников и клиентов имеют доступ два чела. Айтишника тоже нет. Но думаю, чтобы защититься от лишних вопросов проверяющих, возложим на меня еще и обязанности айтишника.
Какие доки нужно иметь на фирме для проверяющих? -
[внешняя ссылка] - "это открытая площадка для обсуждения вопросов в области защиты персональных данных, проектирования и использования информационных систем персональных данных (ИСПДн). Мы рассматриваем как технические, так и правовые вопросы работы операторов персональных данных."
-
Надзор у вас спросит примерно такой перечень вопросов:
1) Внутренние документы регламентирующие порядок хранения, обработки и уничтожения ПД(персональных данных). Это может быть регламент обработки, политика безопасности и прочее - от места.
2) Обязательно спросит приказы о назначении ответственных за сохранность ПД, о разрешении допуска к ПД для каждого сотрудника, который с ними реально работает. Посмотрит должностную того, кто работает с ПД
3) Посмотрит на ведение кадрового делопроизводства, архивного дела. В частности, что, где и как лежит, кому доступно итд.
4) Посмотрит согласие ваших работников на обработку их данных
5) Если вы обычная контора и у вас только договоры да сотрудники, без экзотики - у вас третья категория, по сути мало обязывающая, там просто есть ряд ограничений и предписаний по настройке.
6) Посмотрит, отправляли ли вы уведомление об обработке ПД, и если уведомляли - проверит соответствие реалий - бумаге.
7) Посмотрит договоры с контрагентами.
Плюс есть куча поправок и документов, которые у вас могут попросить в зависимости от ситуации и состояния дел.
Основная суть - проверяется течение, документирование и не превышение уровня необходимой информации, которую вы обрабатывайте и которая охраняется 152ФЗ
Если вам есть что терять - и вы при этом не представляете что вообще происходит - сходите в любую контору с лицензией на охрану конф.информации, поговорите. Либо наймите эксперта.
Если вам терять по сути нечего - не пытайтесь доказывать надзору свою жизненную позицию. Аргументируйте вежливо и твердо - к закону. Косяки признавайте, если что будет не так - получите предписание на устранение косяков. Это не страшно, это жизнь.
В любом случае, не ждите пока к вам придут. Отзвонитесь и загляните в надзор 28-29-30-31 октября, до проверки. Спросите, что, кто конкретно и как вас будут проверять.
Омский надзор работает нормально и честно, поэтому неприятности вас ждут только в рамках закона и только там, где вы нарушаете закон. -
Как понять: есть, что терять? Выполнить все предписания роскомнадзора маленькой фирме не реально. Что теперь? Фирму закрывать? Какой max штраф?
Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?
Какое ПО должно стоять на компах? Какие то спец. программы? -
Applecat писала : ...Выполнить все предписания роскомнадзора маленькой фирме не реально....
Да не, предписания РКН вполне реально выполнить. Вот ФСТЭК и /или ФСБ - вот это да. Согласия работников вам не требуется. Остается просто сделать несколько документов и спокойно ждать проверки. ИМХО, даже если что-то не доделаете дадут 3 мес. на устранение. -
Applecat писала : Какой max штраф?
до 10 кРуб
Applecat писала :Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?
Категория скорее всего 3.
Applecat писала : Какое ПО должно стоять на компах? Какие то спец. программы?
А это не вопрос РКН. Вопросами техзащиты ведает ФСТЭК. РКН только по правам субъектов. -
Applecat писала :
1)Выполнить все предписания роскомнадзора маленькой фирме не реально.
Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?
1) Реально выполнить Роскомнадзор, тут главное взяться и подумать.
Более того вам скажу, и рекомендации ФСТЭК/ФСБ реально выполнить, только дорого, около 60-100 тыр на машину.
Для справки что нужно в техзащите, почитайте Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".
Ну и если хотите предметных названий, что за софт вам понадобиться - скорее всего SecretNet c замочком, да грамотно настроенные права. Шифрование уж два года отменили, тут вам поблажка вышла. Но опять же - варианты вариантов, обратитесь уже к кому-то из владельцев лицензии, если вам страшно. Мы тут интернет-анонимы, процесса вашей конторы не видим. А тонкостей в ПД навалом.
Лицензия на конф.информацию есть у СКБ, Коммед-Инфо.
Звоните туда, говорите что у вас ждет проверка вот-вот. И вам бы помочь. Народ там такие ситуации знает. Первичная консультация с раскладами куда и что вам конкретно - обычно бесплатная.
2) Тут вопрос какие именно данные клиентов вы обрабатываете.
Если как обычно ФИО, даты рождения. и клиентов меньше десяти тыщ и все по договору - тут третья, к гадалке не ходи.
А если вы экзотику собираете, типа состояния здоровья, политической/рассовой/национальной пренадлежности - то корячиться вам минимум вторая, а медицина и вся первая. -
Applecat писала : Спасибо. А Разве РКН не будет хранение данных клиентов на компах проверять? Инструкциями и приказами мы запасемся, уже скачали рыбы из нета. А вот с компами то как быть?
Может попросить показать какие именно данные вы храните в своей информационной системе. -
Applecat писала : Храним: ф.и.о. дату рождения, паспортные данные, регистрация
К3.
Почитайте,
[внешняя ссылка] тут понятым языком этапы. -
tutbylnick писал : ...рекомендации ФСТЭК/ФСБ реально выполнить, только дорого, около 60-100 тыр на машину
Ну уж... Это даже если соовсем думать не хочется такая сумма не выйдет.
tutbylnick писал : ...скорее всего SecretNet c замочком, да грамотно настроенные права
Для одного юзверя в системе? Вполне Соболя хватит.
tutbylnick писал : Шифрование уж два года отменили, тут вам поблажка вышла.
Ну, скажем так, никто его не отменял - если инфоа передается за пределы организации - шифровать нужно.
tutbylnick писал : Но опять же - варианты вариантов, обратитесь уже к кому-то из владельцев лицензии, если вам страшно.
Это если есть лишние деньги Особенно с упомянутыми Вами конторками.
ТС. В 152ФЗ внесены существенные поправки. Просто изучите 152ФЗ - этого для общения с РКН будет более чем достаточно. -
Для К1 вполне выйдет, все относительно.
У ТС не сказано, один ли он. Да и шестерка SecretNet в К модификации уже вроде как вообще не требует Соболя в системе. Таки эти даже сертифицировано ФСТЭК вплоть до 1Г.
Great_Alexander писал(а) :
Ну, скажем так, никто его не отменял - если инфоа передается за пределы организации - шифровать нужно.
Причем шифровать ГОСТ и сертифицированными продуктами, випнетом или криптопро к примеру. Это к вопросу о тонкостях.
Ну как бы каждый сам оценивает риски-деньги-результат. А за спрос давненько денег не берут. В любой из этих контор вам выкатят смету под ваш случай. А платить-не платить - уже решение инициатора.
Great_Alexander писал(а) :
ТС. В 152ФЗ внесены существенные поправки. Просто изучите 152ФЗ - этого для общения с РКН будет более чем достаточно.
Согласен.