"О персональных данных"
ФЗ "О персональных данных" от 27.07.06 г. N 152-ФЗ
- Помор
- Форумчанин
- Сообщения:
402 - Зарегистрирован:
11 ноя 2004 - Откуда:
Северо-Западный ФО - Благодарил (а): 13 раз.
- Поблагодарили: 5 раз.
ФЗ "О персональных данных" от 27.07.06 г. N 152-ФЗ
Сообщение:#1 
Помор » Вт 01 авг, 2006 10:26 »
"О персональных данных"
Вложение доступно только Зарегистрированным пользователям. Для просмотра вложения необходимо зарегистрироваться!
Персональные данные, федеральный закон, личная информация
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#4 5611 » Ср 16 авг, 2006 10:07 »
(12:25) 14.08.2006
В Красноярске продается приватная база данных из местного Пенсионного Фонда
В Красноярске продается приватная база данных из местного Пенсионного Фонда, причем органы воспрепятствовать этому не хотят.
Судя по всему, именно из этого ведомства на прилавки местного блошиного рынка попала приватная база данных. За 6-7 тыс. рублей продавцы предлагают диск с ФИО, датой и местом рождения, адресом регистрации и паспортными данными практически каждого граждан Красноярска и области.
Раскопав эту утечку, журналисты ряда изданий обратились в ОБЭП, где им ясно и четко заявили – да, на местном рынке действительно можно купить всевозможные личные сведения, а бороться с этим бесполезно, так как «по закону такие базы не являются государственной тайной, и у них нет правообладателя».
Тем не менее, эксперты российской компании InfoWatch считают иначе, бороться не только можно, но и нужно, говорят в Infowatch.
Все дело в том, что приватные базы как раз таки защищены законом. Этот закон недавно подписал президент и называется он – закон «О персональных данных». Так что наказывать можно, как продавцов личных сведений граждан, так и инсайдеров в Пенсионном Фонде Красноярска.
http://cybersecurity.ru/crypto/11847.html
В Красноярске продается приватная база данных из местного Пенсионного Фонда
В Красноярске продается приватная база данных из местного Пенсионного Фонда, причем органы воспрепятствовать этому не хотят.
Судя по всему, именно из этого ведомства на прилавки местного блошиного рынка попала приватная база данных. За 6-7 тыс. рублей продавцы предлагают диск с ФИО, датой и местом рождения, адресом регистрации и паспортными данными практически каждого граждан Красноярска и области.
Раскопав эту утечку, журналисты ряда изданий обратились в ОБЭП, где им ясно и четко заявили – да, на местном рынке действительно можно купить всевозможные личные сведения, а бороться с этим бесполезно, так как «по закону такие базы не являются государственной тайной, и у них нет правообладателя».
Тем не менее, эксперты российской компании InfoWatch считают иначе, бороться не только можно, но и нужно, говорят в Infowatch.
Все дело в том, что приватные базы как раз таки защищены законом. Этот закон недавно подписал президент и называется он – закон «О персональных данных». Так что наказывать можно, как продавцов личных сведений граждан, так и инсайдеров в Пенсионном Фонде Красноярска.
http://cybersecurity.ru/crypto/11847.html
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#6 5611 » Ср 16 авг, 2006 16:54 »
Директор по развитию Национального бюро кредитных историй Игорь Плотников рассказал газете ВЗГЛЯД о механизмах защиты персональных данных заемщиков. Утечка информации из банков и торговых сетей маловероятна, а из кредитных бюро – невозможна, утверждает специалист. А данные о размере кредита и просроченных платежах ничего не дают мошенникам.
- Игорь Борисович, к вам в бюро обращались с предложением купить базу данных по заемщикам?
«Если база не фальшивая, утечка могла быть либо из нескольких финансовых институтов, либо из самих торговых сетей» - Нет, я ничего не слышал об этом.
- Но на черном рынке такая информация есть?
- Я думаю, на черном рынке много чего есть, но к бюро кредитных историй это не имеет отношения. Перечень сведений, которые приведены в появившейся базе, показывает, что вся информация получена из самих торговых сетей или финансовых институтов. В бюро кредитных историй такой информации нет. К тому же набор данных противоречит перечню, указанному в законе о кредитных историях. Значит, эта информация точно не из кредитных бюро и не из специального каталога.
- Какие ресурсы требуются для того, чтобы собрать данные о 700 тыс. заемщиках?
- Вопрос – какие источники информации использовались.700 тыс. записей – это много. Если база не фальшивая, утечка могла быть либо из нескольких финансовых институтов, либо из самих торговых сетей. Хотя это маловероятно.
Объясняется это просто. Например, банк не имеет права сообщать название торговой сети, где была произведена покупка, сумму покупки, объем просрочки и сумму санкций. Это не та информация, которая нужна бюро кредитных историй.
- Какие механизмы защиты данных действуют в бюро кредитных историй?
- Мы используем программно-аппаратный комплекс нашего технологического партнера – американской компании TransUnion. Она обслуживает кредитные бюро в CША и еще 35 странах мира.
Все наше оборудование соответствует стандартам надежности хранения и защиты информации.
К тому же в бюро кредитных историй действует внутренний регламент, который не позволяет ни одному сотруднику, даже генеральному директору и операционисту, иметь доступ к базе. Сотрудники видят только ту часть, с которой работают, и не имеют доступа ко всем данным в целом. Комплекс имеет несколько степенней защиты, и взломать его нереально.
- Что угрожает людям, данные о которых попали к мошенникам?
- Размер кредита и просрочки ничего не дают мошенникам. К тому же это потребительское кредитование, а не ипотека или кредит на покупку автомобиля. Да, купили миксер или пылесос, ну и что?
Это может быть интересно только тем, кто выдает кредиты, чтобы посмотреть, как погашается задолженность. Но так как база создана с нарушением законодательства, ни один банк не будет ее покупать.
- Покупателям и продавцам информации на черном рынке грозит уголовная ответственность?
- Есть закон о защите информации, который предусматривает ответственность. Серьезные банки не будут покупать такую базу. Создателей базы, если это не фальшивка, а реальная база, можно обвинить в нарушении закона об информации и ряда других законов. Если они создали фальшивку, то это мошенничество.
http://www.vz.ru/economy/2006/8/16/45480.html
- Игорь Борисович, к вам в бюро обращались с предложением купить базу данных по заемщикам?
«Если база не фальшивая, утечка могла быть либо из нескольких финансовых институтов, либо из самих торговых сетей» - Нет, я ничего не слышал об этом.
- Но на черном рынке такая информация есть?
- Я думаю, на черном рынке много чего есть, но к бюро кредитных историй это не имеет отношения. Перечень сведений, которые приведены в появившейся базе, показывает, что вся информация получена из самих торговых сетей или финансовых институтов. В бюро кредитных историй такой информации нет. К тому же набор данных противоречит перечню, указанному в законе о кредитных историях. Значит, эта информация точно не из кредитных бюро и не из специального каталога.
- Какие ресурсы требуются для того, чтобы собрать данные о 700 тыс. заемщиках?
- Вопрос – какие источники информации использовались.700 тыс. записей – это много. Если база не фальшивая, утечка могла быть либо из нескольких финансовых институтов, либо из самих торговых сетей. Хотя это маловероятно.
Объясняется это просто. Например, банк не имеет права сообщать название торговой сети, где была произведена покупка, сумму покупки, объем просрочки и сумму санкций. Это не та информация, которая нужна бюро кредитных историй.
- Какие механизмы защиты данных действуют в бюро кредитных историй?
- Мы используем программно-аппаратный комплекс нашего технологического партнера – американской компании TransUnion. Она обслуживает кредитные бюро в CША и еще 35 странах мира.
Все наше оборудование соответствует стандартам надежности хранения и защиты информации.
К тому же в бюро кредитных историй действует внутренний регламент, который не позволяет ни одному сотруднику, даже генеральному директору и операционисту, иметь доступ к базе. Сотрудники видят только ту часть, с которой работают, и не имеют доступа ко всем данным в целом. Комплекс имеет несколько степенней защиты, и взломать его нереально.
- Что угрожает людям, данные о которых попали к мошенникам?
- Размер кредита и просрочки ничего не дают мошенникам. К тому же это потребительское кредитование, а не ипотека или кредит на покупку автомобиля. Да, купили миксер или пылесос, ну и что?
Это может быть интересно только тем, кто выдает кредиты, чтобы посмотреть, как погашается задолженность. Но так как база создана с нарушением законодательства, ни один банк не будет ее покупать.
- Покупателям и продавцам информации на черном рынке грозит уголовная ответственность?
- Есть закон о защите информации, который предусматривает ответственность. Серьезные банки не будут покупать такую базу. Создателей базы, если это не фальшивка, а реальная база, можно обвинить в нарушении закона об информации и ряда других законов. Если они создали фальшивку, то это мошенничество.
http://www.vz.ru/economy/2006/8/16/45480.html
- Антон Богатов
- Форумчанин
- Сообщения:
12856 - Зарегистрирован:
14 апр 2004 - Благодарил (а): 0 раз.
- Поблагодарили: 1 раз.
Сообщение:#7 Антон Богатов » Ср 16 авг, 2006 16:56 »
5611 писал(а):К тому же в бюро кредитных историй действует внутренний регламент, который не позволяет ни одному сотруднику, даже генеральному директору и операционисту, иметь доступ к базе.
А как насчет админа?
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#8 5611 » Ср 16 авг, 2006 17:31 »
База данных о пассажирах на сайте имеется конечно же не в оригинальном виде , но взломав ее сразу можно получить все паспортные данные. Уверенность в ее защищенности видимо у Аэрофлота 100%?
...Крупнейшие российские авиаперевозчики технологически тоже готовы перейти на электронный билет. "Аэрофлот", S7 Airlines ("Сибирь"), "Уральские авиалинии" и "Трансаэро" уже предложили своим пассажирам бронирование и продажу авиабилетов через интернет. Как же должен работать электронный билет?
"Пользуясь услугами авиаперевозчика, который перешел на электронный билет, пассажир заказывает билет в интернете, приезжает в аэропорт, сообщает свой номер и проходит на посадку. При себе нужно иметь лишь паспорт, пластиковую карточку, с которой был оплачен билет, и компьютерную распечатку, - говорит Андрей Полозов-Яблонский, руководитель проекта по внедрению системы интернет-продаж в "Аэрофлоте". - С введением электронного билета значительно упрощается процесс изменения данных (даты вылета, номера рейса), так как нет необходимости производить манипуляции с бумажным билетом. Такой билет невозможно потерять, так как данные о пассажире занесены в электронную систему".... Например, на сайте "Аэрофлота" персональные данные клиента интегрированы с базой данных часто летающих пассажиров, что позволяет клиенту видеть истории бронирований и отменять ранее сделанные, вводить индивидуальные настройки, расширяющие сервис, и т.д. .... http://www.finiz.ru/cfin/tmpl-art_oo/id_art-1043486
...Крупнейшие российские авиаперевозчики технологически тоже готовы перейти на электронный билет. "Аэрофлот", S7 Airlines ("Сибирь"), "Уральские авиалинии" и "Трансаэро" уже предложили своим пассажирам бронирование и продажу авиабилетов через интернет. Как же должен работать электронный билет?
"Пользуясь услугами авиаперевозчика, который перешел на электронный билет, пассажир заказывает билет в интернете, приезжает в аэропорт, сообщает свой номер и проходит на посадку. При себе нужно иметь лишь паспорт, пластиковую карточку, с которой был оплачен билет, и компьютерную распечатку, - говорит Андрей Полозов-Яблонский, руководитель проекта по внедрению системы интернет-продаж в "Аэрофлоте". - С введением электронного билета значительно упрощается процесс изменения данных (даты вылета, номера рейса), так как нет необходимости производить манипуляции с бумажным билетом. Такой билет невозможно потерять, так как данные о пассажире занесены в электронную систему".... Например, на сайте "Аэрофлота" персональные данные клиента интегрированы с базой данных часто летающих пассажиров, что позволяет клиенту видеть истории бронирований и отменять ранее сделанные, вводить индивидуальные настройки, расширяющие сервис, и т.д. .... http://www.finiz.ru/cfin/tmpl-art_oo/id_art-1043486
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#9 5611 » Ср 16 авг, 2006 17:42 »
Намерение налоговиков получить доступ к хранящимся в банках кредитным историям с целью выявления налоговых нарушений встретило жесткий отпор со стороны банковского сообщества.
Вчера инициативу Федеральной налоговой службы (ФНС) осудил президент Ассоциации российских банков (АРБ) Гарегин Тосунян. Раскритиковав намерение ФНС, которое в конце июля в ответах на вопросы Интерфакса сообщило, что изучает вопрос о возможности использования кредитных историй граждан для выявления налоговых нарушений, глава АРБ попытался успокоить взволнованных налогоплательщиков. По его словам, пока рано делать какие-то конкретные выводы о возможных последствиях инициативы ФНС. «Сама инициатива недостаточно четко сформулирована, – подчеркнул Тосунян. — Намерения обычно высказываются, чтобы выяснить реакцию общества. Банковское сообщество негативно восприняло эту инициативу». По его мнению, вмешательство ФНС может отбить желание у граждан предоставлять информацию о кредитах в кредитные бюро. «Давайте так скажем налоговым органам: господа, не зарывайтесь, умейте эффективно и грамотно пользоваться своими возможностями», – предложил Тосунян. Глава АРБ считает, что ФНС должна мотивировать свой интерес к информации о кредитной истории какого-то конкретного заемщика, а не требовать информацию о платежах всех физлиц, которая содержится в бюро кредитных историй.
Сейчас многие банки выдают кредиты на основе сведений о «серой» зарплате. Как правило, эти сведения подкреплены справкой, которую соискатель кредита получает по месту работы. Если такая информация попадет в руки налоговых органов, то, обнаружив несоответствие между официальной «белой» зарплатой и той, что указана в такой справке, они могут инициировать проверку организации, в которой обнаружатся такие расхождения. Кроме того, даже не имея таких справок, налоговики, получив доступ к кредитным историям, могут сравнить «белую» зарплату с размером платежей, направляемых на погашение кредита. Если окажется, что официально гражданин зарабатывает, к примеру, только 3 тыс. руб., а ежемесячно выплачивает банку по 1 тыс. долл., то это также может грозить неприятностями той организации, в которой он работает. Учитывая, что у банков накоплены значительные базы по таким кредитам, под удар могут попасть сотни тысяч предприятий и организаций.
Юристам запросы налоговых органов также кажутся чрезмерными. «Таким способом налоговики хотят бороться с «серыми» зарплатами, однако в данной ситуации, на мой взгляд, это все равно что стрелять из пушки по воробьям. Налоговые органы планируют делать выводы о доходах физлица на основании справок, которые заемщик предоставляет банку для получения кредита, однако далеко не всегда такие справки отражают истинный размер доходов человека. Очевидно, что борьба с черным налом ведется не с того конца», – рассуждает партнер юридической фирмы «Джон Тайнер и партнеры» Валерий Гуща. По его мнению, инициатива налоговиков нарушает этические принципы взаимоотношений банков со своими клиентами. «Здесь речь идет о разглашении банковской тайны, все-таки что-то должно оставаться неприкосновенным. Базы данных и так уже продаются и покупаются, а если эти сведения будут переданы в ФНС, то возможно дальнейшее их тиражирование», – сообщил Гуща «НГ». В этом случае опасаться придется не только руководителям организаций с «серыми» зарплатами, но уже и некоторым получателям таких зарплат, причем не столько интереса со стороны налоговиков, сколько со стороны криминалитета.
http://www.ng.ru/economics/2006-08-16/4_serye.html
Вчера инициативу Федеральной налоговой службы (ФНС) осудил президент Ассоциации российских банков (АРБ) Гарегин Тосунян. Раскритиковав намерение ФНС, которое в конце июля в ответах на вопросы Интерфакса сообщило, что изучает вопрос о возможности использования кредитных историй граждан для выявления налоговых нарушений, глава АРБ попытался успокоить взволнованных налогоплательщиков. По его словам, пока рано делать какие-то конкретные выводы о возможных последствиях инициативы ФНС. «Сама инициатива недостаточно четко сформулирована, – подчеркнул Тосунян. — Намерения обычно высказываются, чтобы выяснить реакцию общества. Банковское сообщество негативно восприняло эту инициативу». По его мнению, вмешательство ФНС может отбить желание у граждан предоставлять информацию о кредитах в кредитные бюро. «Давайте так скажем налоговым органам: господа, не зарывайтесь, умейте эффективно и грамотно пользоваться своими возможностями», – предложил Тосунян. Глава АРБ считает, что ФНС должна мотивировать свой интерес к информации о кредитной истории какого-то конкретного заемщика, а не требовать информацию о платежах всех физлиц, которая содержится в бюро кредитных историй.
Сейчас многие банки выдают кредиты на основе сведений о «серой» зарплате. Как правило, эти сведения подкреплены справкой, которую соискатель кредита получает по месту работы. Если такая информация попадет в руки налоговых органов, то, обнаружив несоответствие между официальной «белой» зарплатой и той, что указана в такой справке, они могут инициировать проверку организации, в которой обнаружатся такие расхождения. Кроме того, даже не имея таких справок, налоговики, получив доступ к кредитным историям, могут сравнить «белую» зарплату с размером платежей, направляемых на погашение кредита. Если окажется, что официально гражданин зарабатывает, к примеру, только 3 тыс. руб., а ежемесячно выплачивает банку по 1 тыс. долл., то это также может грозить неприятностями той организации, в которой он работает. Учитывая, что у банков накоплены значительные базы по таким кредитам, под удар могут попасть сотни тысяч предприятий и организаций.
Юристам запросы налоговых органов также кажутся чрезмерными. «Таким способом налоговики хотят бороться с «серыми» зарплатами, однако в данной ситуации, на мой взгляд, это все равно что стрелять из пушки по воробьям. Налоговые органы планируют делать выводы о доходах физлица на основании справок, которые заемщик предоставляет банку для получения кредита, однако далеко не всегда такие справки отражают истинный размер доходов человека. Очевидно, что борьба с черным налом ведется не с того конца», – рассуждает партнер юридической фирмы «Джон Тайнер и партнеры» Валерий Гуща. По его мнению, инициатива налоговиков нарушает этические принципы взаимоотношений банков со своими клиентами. «Здесь речь идет о разглашении банковской тайны, все-таки что-то должно оставаться неприкосновенным. Базы данных и так уже продаются и покупаются, а если эти сведения будут переданы в ФНС, то возможно дальнейшее их тиражирование», – сообщил Гуща «НГ». В этом случае опасаться придется не только руководителям организаций с «серыми» зарплатами, но уже и некоторым получателям таких зарплат, причем не столько интереса со стороны налоговиков, сколько со стороны криминалитета.
http://www.ng.ru/economics/2006-08-16/4_serye.html
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#10 5611 » Пн 30 окт, 2006 12:44 »
Через 3 дня после окончания действия абонентского договора персональные данные абонента должны быть уничтожены - так ?
В конце июля Президент РФ В.В. Путин подписал закон «О персональных данных». В результате с февраля 2007 года торговля приватными базами данных становится преступлением, все виды организаций обязаны обеспечить безопасность личной информации своих сотрудников и клиентов, а за утечку персональных данных компания может быть привлечена к ответственности. О том, какие требования новый федеральный закон предъявляет к защите конфиденциальности приватных сведений, расскажет эта статья.
С полным текстом N152 ФЗ «О персональных данных» можно ознакомиться в «Российской газете» N4131 от 29 июля 2006 года. Далее будут проанализированы только основные определения и положения нового нормативного акта, имеющие непосредственное отношение к информационной безопасности (ИБ). После прочтения данной статьи и ознакомления с особенностями нового закона уважаемый читатель приглашается к участию в исследовании «Защита персональных данных по закону»
Главные определения
Прежде чем перейти к подробному анализу закона «О персональных данных», рассмотрим основные понятия этого нормативного акта.
Основные понятия закона «О персональных данных»
Термин
Определение
Примеры
Персональные данные
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
ФИО, дата и место рождения, адрес, имущественное положение, образование, профессия и доходы.
Оператор
Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих.
Обработка персональных данных
Практически любые действия (операции) с персональными данными.
Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение.
Распространение персональных данных
Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц.
Обнародование персональных данных в СМИ, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Обезличивание персональных данных
действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
Результаты статистических опросов – обезличенные данные.
Информационная система персональных данных
информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»).
Конфиденциальность персональных данных
обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
Требование обеспечить защиту от утечек.
Анализ главных определений федерального закона позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней понимает защита от распространения (синоним слову «утечка»). Перейдем теперь к конкретным положениям закона, требующим модификации ИТ-инфраструктуры и системы ИБ.
Требования закона к ИБ
Следует отметить, что федеральный закон «О персональных данных» выдвигает целый ряд требований ко всем сферам деятельности организации, в которых она соприкасается с приватными сведениями клиентов. Далее будут рассмотрены положения закона, имеющие отношения лишь к ИТ и ИБ. Между тем, каждой компании желательно провести анализ всех требований нормативного акта применительно к бизнес-процессам организации. Более того, в экспертную группу должен входить, как минимум, один представитель высшего звена, который хорошо себе представляет весь бизнес компании в целом.
Итак, прежде всего, следует обратить внимание на ст.5 ч.2.: «хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» персональная информация «подлежит уничтожению». Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ст.21 ч.4 длиной в три рабочих дня. Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Хотя, конечно, никто не запрещает создавать учетные записи и сохранять на сервере компании персональные сведения, но при этом электронный магазин должен ясно заявить, что эти данные собираются не для осуществления продажи товара (одной конкретной транзакции), а для длительного хранения. Однако эксперты InfoWatch указывают, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, никто не запрещает накапливать обезличенные выборки для проведения статистических исследований.
Согласно ст.7, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно. Правда, особое внимание представители бизнеса должны уделить требованиям ст.19 – «Меры по обеспечению безопасности персональных данных при их обработке». Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Более того, согласно ст.19 ч.2, Правительство РФ должно установить требования «к обеспечению безопасности [приватных сведений] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».
По мнению аналитического центра InfoWatch, некоторые трудности у организаций, осуществляющих обработку персональных данных своих клиентов, могут вызвать требования ч.3 ст.22, согласно которым компания должна направить в уполномоченный орган уведомление об этом факте. Напомним, что закон вступает в силу с февраля 2007 года, но уведомление организация должна направить до 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания имеет только приватные данные своих сотрудников, то уведомление направлять не следует).
К вопросу об ответственности
При нарушении требований закона «О персональных данных» виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.
Кроме того, остановимся на новых положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.
Прежде всего, новый ФЗ приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.
Заключение
Положения закона, имеющие отношение к ИБ, просуммированы в таблице ниже. Однако отметим, что Правительство РФ устанавливает требования к обеспечению безопасности персональных данных, а контроль над выполнением этих требований будет возложен на федеральный орган исполнительной власти (см. ст.19 ч.3). Сегодня неясно, будет ли создан новый уполномоченный правительственный орган или соответствующие полномочия будут делегированы уже существующей госструктуре. Тем не менее, этот орган сможет установить дополнительные требования к ИБ и оформить их в виде стандарта. Таким образом, специалистам по ИБ следует не терять бдительности и помимо всего прочего отслеживать нормативные инициативы государства.
Требования закона «О персональных данных» к ИБ
Номер статьи и пункта
Расшифровка
Ст.5 ч.2, Ст.21 ч.4
Хранение приватных сведений должно осуществляться не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация должна быть уничтожена. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается в три рабочих дня.
Ст.19 ч.1
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
Ст.19 ч.4
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Анализ представленных в таблице требований показывает, что ничего невозможного закон не требует от бизнеса и госорганов. Конечно, организациям придется инвестировать ресурсы в безопасность персональных данных, а именно: в системы предотвращения утечек и средства шифрования. Однако других препятствий, кроме бюджетных ограничений, на этом пути не предвидится, так как все необходимые решения технические решения уже представлены на рынке и поддерживаются целым рядом системных интеграторов и крупных поставщиков.
http://www.securitylab.ru/analytics/275948.php
На государственном уровне обязанности по контролю за соблюдением прав граждан при обработке их персональных данных возложены на "федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных". На практике эти функции сейчас осуществляет Федеральная служба по техническому и экспортному контролю. Она же выдает лицензии организациям, которые имеют право проводить сертификацию и аттестацию операторов. Сейчас таких организаций свыше 200.
В конце июля Президент РФ В.В. Путин подписал закон «О персональных данных». В результате с февраля 2007 года торговля приватными базами данных становится преступлением, все виды организаций обязаны обеспечить безопасность личной информации своих сотрудников и клиентов, а за утечку персональных данных компания может быть привлечена к ответственности. О том, какие требования новый федеральный закон предъявляет к защите конфиденциальности приватных сведений, расскажет эта статья.
С полным текстом N152 ФЗ «О персональных данных» можно ознакомиться в «Российской газете» N4131 от 29 июля 2006 года. Далее будут проанализированы только основные определения и положения нового нормативного акта, имеющие непосредственное отношение к информационной безопасности (ИБ). После прочтения данной статьи и ознакомления с особенностями нового закона уважаемый читатель приглашается к участию в исследовании «Защита персональных данных по закону»
Главные определения
Прежде чем перейти к подробному анализу закона «О персональных данных», рассмотрим основные понятия этого нормативного акта.
Основные понятия закона «О персональных данных»
Термин
Определение
Примеры
Персональные данные
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
ФИО, дата и место рождения, адрес, имущественное положение, образование, профессия и доходы.
Оператор
Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих.
Обработка персональных данных
Практически любые действия (операции) с персональными данными.
Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение.
Распространение персональных данных
Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц.
Обнародование персональных данных в СМИ, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Обезличивание персональных данных
действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
Результаты статистических опросов – обезличенные данные.
Информационная система персональных данных
информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»).
Конфиденциальность персональных данных
обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
Требование обеспечить защиту от утечек.
Анализ главных определений федерального закона позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней понимает защита от распространения (синоним слову «утечка»). Перейдем теперь к конкретным положениям закона, требующим модификации ИТ-инфраструктуры и системы ИБ.
Требования закона к ИБ
Следует отметить, что федеральный закон «О персональных данных» выдвигает целый ряд требований ко всем сферам деятельности организации, в которых она соприкасается с приватными сведениями клиентов. Далее будут рассмотрены положения закона, имеющие отношения лишь к ИТ и ИБ. Между тем, каждой компании желательно провести анализ всех требований нормативного акта применительно к бизнес-процессам организации. Более того, в экспертную группу должен входить, как минимум, один представитель высшего звена, который хорошо себе представляет весь бизнес компании в целом.
Итак, прежде всего, следует обратить внимание на ст.5 ч.2.: «хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» персональная информация «подлежит уничтожению». Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ст.21 ч.4 длиной в три рабочих дня. Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Хотя, конечно, никто не запрещает создавать учетные записи и сохранять на сервере компании персональные сведения, но при этом электронный магазин должен ясно заявить, что эти данные собираются не для осуществления продажи товара (одной конкретной транзакции), а для длительного хранения. Однако эксперты InfoWatch указывают, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, никто не запрещает накапливать обезличенные выборки для проведения статистических исследований.
Согласно ст.7, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно. Правда, особое внимание представители бизнеса должны уделить требованиям ст.19 – «Меры по обеспечению безопасности персональных данных при их обработке». Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Более того, согласно ст.19 ч.2, Правительство РФ должно установить требования «к обеспечению безопасности [приватных сведений] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».
По мнению аналитического центра InfoWatch, некоторые трудности у организаций, осуществляющих обработку персональных данных своих клиентов, могут вызвать требования ч.3 ст.22, согласно которым компания должна направить в уполномоченный орган уведомление об этом факте. Напомним, что закон вступает в силу с февраля 2007 года, но уведомление организация должна направить до 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания имеет только приватные данные своих сотрудников, то уведомление направлять не следует).
К вопросу об ответственности
При нарушении требований закона «О персональных данных» виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.
Кроме того, остановимся на новых положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.
Прежде всего, новый ФЗ приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.
Заключение
Положения закона, имеющие отношение к ИБ, просуммированы в таблице ниже. Однако отметим, что Правительство РФ устанавливает требования к обеспечению безопасности персональных данных, а контроль над выполнением этих требований будет возложен на федеральный орган исполнительной власти (см. ст.19 ч.3). Сегодня неясно, будет ли создан новый уполномоченный правительственный орган или соответствующие полномочия будут делегированы уже существующей госструктуре. Тем не менее, этот орган сможет установить дополнительные требования к ИБ и оформить их в виде стандарта. Таким образом, специалистам по ИБ следует не терять бдительности и помимо всего прочего отслеживать нормативные инициативы государства.
Требования закона «О персональных данных» к ИБ
Номер статьи и пункта
Расшифровка
Ст.5 ч.2, Ст.21 ч.4
Хранение приватных сведений должно осуществляться не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация должна быть уничтожена. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается в три рабочих дня.
Ст.19 ч.1
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
Ст.19 ч.4
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Анализ представленных в таблице требований показывает, что ничего невозможного закон не требует от бизнеса и госорганов. Конечно, организациям придется инвестировать ресурсы в безопасность персональных данных, а именно: в системы предотвращения утечек и средства шифрования. Однако других препятствий, кроме бюджетных ограничений, на этом пути не предвидится, так как все необходимые решения технические решения уже представлены на рынке и поддерживаются целым рядом системных интеграторов и крупных поставщиков.
http://www.securitylab.ru/analytics/275948.php
На государственном уровне обязанности по контролю за соблюдением прав граждан при обработке их персональных данных возложены на "федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных". На практике эти функции сейчас осуществляет Федеральная служба по техническому и экспортному контролю. Она же выдает лицензии организациям, которые имеют право проводить сертификацию и аттестацию операторов. Сейчас таких организаций свыше 200.
- JK
- Форумчанин
- Сообщения:
11086 - Зарегистрирован:
17 май 2005 - Откуда:
Рио-де-Жанейро - Благодарил (а): 15 раз.
- Поблагодарили: 220 раз.
Сообщение:#11 JK » Пн 30 окт, 2006 12:54 »
5611 писал(а):Через 3 дня после окончания действия абонентского договора персональные данные абонента должны быть уничтожены - так ?
Вы забыли про СОРМ... итого 3 года и 3 дня... Сказочники, млин...
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#12 5611 » Пн 30 окт, 2006 13:39 »
JKСтранно но в ст.5 Закона не говорится о иных случаях предусмотренных ППРФ538 кроме целей обработки ?
Нарушать закон или ППРФ?
Правда будут вноситься мзменения http://www.scilla.ru/news.php?ChapterID=10&NewsID=2102
ЗАКОНОПРОЕКТ № 217355-4
О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных"
Статья 2
Дополнить часть первую статьи 13 Федерального закона от 3 апреля 1995 года № 40-ФЗ "О Федеральной службе безопасности" (Собрание законодательства Российской Федерации, 1995, № 15, ст.1269; 2000, № 1, ст.9; 2003, № 2, ст.156; № 27, ст.2700) пунктом "д1" следующего содержания:
"д1) осуществлять в порядке, установленном законодательством Российской Федерации, сбор, обработку и использование информации ограниченного доступа (включая персональные данные) для обеспечения контрразведывательной, разведывательной, оперативно-розыскной и иной деятельности, отнесенной федеральным законодательством к их компетенции;".
Статья 11
Внести в Кодекс Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст.1; № 44, ст.4295; 2003, № 27, ст.2700, 2708, 2717; № 46, ст.4434; № 50, ст.4847, 4855; 2004, № 31, ст.3229; № 34, ст.3529, 3533; 2005, № 1, ст.9, 13; № 10, ст.763; № 13, ст.1077; № 19, ст.1752; № 27, ст.2719, 2721; № 30, ст.3104, 3131) следующие изменения:
1) изложить статью 13.11 в следующей редакции:
"Статья 13.11. Нарушение установленного законом порядка сбора и обработки персональных данных
Нарушение установленного законом порядка сбора и обработки персональных данных -
влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
Нарушение установленного законом порядка сбора и обработки персональных данных с использованием технических средств -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой; на должностных лиц - от десяти до пятидесяти минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой;
на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой.";
2) дополнить часть 2 статьи 28.3 пунктом 86 следующего содержания:
"86) должностные лица уполномоченного органа по защите прав субъектов персональных данных - об административных правонарушениях, предусмотренных статьей 13.11 настоящего Кодекса.";
3) часть 1 статьи 28.7 после слов "пожарной безопасности" дополнить словами "защиты прав субъектов персональных данных,".
Статья 12
Внести в Трудовой кодекс Российской Федерации (Собрание законодательства Российской Федерации, 2002, № 1, ст.3) следующие изменения:
1) статью 85 признать утратившей силу;
2) в статье 86:
а) в подпункте 2 слова "иными федеральными законами" заменить словами "законодательством Российской Федерации в области персональных данных";
б) подпункт 5 изложить в следующей редакции:
"5) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к особым категориям персональных данных, в том числе о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных;";
3) статью 87 после слов "настоящего Кодекса" дополнить словами "и законодательства Российской Федерации в области персональных данных";
4) абзац шестой статьи 89 после слов "настоящего Кодекса" дополнить словами "и законодательства Российской Федерации в области персональных данных";
5) в статье 90 слово "получение" заменить словом "сбор".
Статья 13
Внести в статью 9 Федерального закона от 10 января 2002 года № 1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, № 2, ст.127) следующие изменения:
1) дополнить пункт 2 предложением следующего содержания: "В заявлении должно содержаться согласие заявителя с дальнейшей автоматизированной обработкой его персональных данных в соответствии с законодательством Российской Федерации в области персональных данных.";
2) дополнить статью пунктом 5 следующего содержания:
"5. Реестр сертификатов ключей подписей подлежит регистрации в уполномоченном органе по защите прав субъектов персональных данных в порядке, установленном для регистрации информационных систем персональных данных законодательством Российской Федерации в области персональных данных.".
Статья 21
Внести в пункт 2 статьи 53 Федерального закона от 7 июля 2003 года № 126-ФЗ "О связи" (Собрание законодательства Российской Федерации, 2003, № 28, ст.2895) следующие изменения:
1) абзац первый изложить в следующей редакции:
"2. Операторы связи вправе использовать созданные ими базы данных об абонентах для осуществления информационно-справочного обслуживания, в том числе для распространения информации различными способами, при условии соблюдения законодательства Российской Федерации в области персональных данных.";
2) абзац четвертый изложить в следующей редакции:
"Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с согласия в письменной форме абонентов, за исключением предоставления указанных сведений тем операторам связи, доступ к услугам связи которых осуществляется при исполнении договоров об оказании услуг связи, заключенных с этими абонентами, а также в иных случаях, предусмотренных федеральными законами.".
Президент
Российской Федерации
http://asozd.duma.gov.ru/work/dz.nsf/By ... enDocument.
.Ст.5 ч.2Хранение персональных данных должно осуществляться в форме,позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении
Нарушать закон или ППРФ?
Правда будут вноситься мзменения http://www.scilla.ru/news.php?ChapterID=10&NewsID=2102
ЗАКОНОПРОЕКТ № 217355-4
О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных"
Статья 2
Дополнить часть первую статьи 13 Федерального закона от 3 апреля 1995 года № 40-ФЗ "О Федеральной службе безопасности" (Собрание законодательства Российской Федерации, 1995, № 15, ст.1269; 2000, № 1, ст.9; 2003, № 2, ст.156; № 27, ст.2700) пунктом "д1" следующего содержания:
"д1) осуществлять в порядке, установленном законодательством Российской Федерации, сбор, обработку и использование информации ограниченного доступа (включая персональные данные) для обеспечения контрразведывательной, разведывательной, оперативно-розыскной и иной деятельности, отнесенной федеральным законодательством к их компетенции;".
Статья 11
Внести в Кодекс Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст.1; № 44, ст.4295; 2003, № 27, ст.2700, 2708, 2717; № 46, ст.4434; № 50, ст.4847, 4855; 2004, № 31, ст.3229; № 34, ст.3529, 3533; 2005, № 1, ст.9, 13; № 10, ст.763; № 13, ст.1077; № 19, ст.1752; № 27, ст.2719, 2721; № 30, ст.3104, 3131) следующие изменения:
1) изложить статью 13.11 в следующей редакции:
"Статья 13.11. Нарушение установленного законом порядка сбора и обработки персональных данных
Нарушение установленного законом порядка сбора и обработки персональных данных -
влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
Нарушение установленного законом порядка сбора и обработки персональных данных с использованием технических средств -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой; на должностных лиц - от десяти до пятидесяти минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой;
на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой.";
2) дополнить часть 2 статьи 28.3 пунктом 86 следующего содержания:
"86) должностные лица уполномоченного органа по защите прав субъектов персональных данных - об административных правонарушениях, предусмотренных статьей 13.11 настоящего Кодекса.";
3) часть 1 статьи 28.7 после слов "пожарной безопасности" дополнить словами "защиты прав субъектов персональных данных,".
Статья 12
Внести в Трудовой кодекс Российской Федерации (Собрание законодательства Российской Федерации, 2002, № 1, ст.3) следующие изменения:
1) статью 85 признать утратившей силу;
2) в статье 86:
а) в подпункте 2 слова "иными федеральными законами" заменить словами "законодательством Российской Федерации в области персональных данных";
б) подпункт 5 изложить в следующей редакции:
"5) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к особым категориям персональных данных, в том числе о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных;";
3) статью 87 после слов "настоящего Кодекса" дополнить словами "и законодательства Российской Федерации в области персональных данных";
4) абзац шестой статьи 89 после слов "настоящего Кодекса" дополнить словами "и законодательства Российской Федерации в области персональных данных";
5) в статье 90 слово "получение" заменить словом "сбор".
Статья 13
Внести в статью 9 Федерального закона от 10 января 2002 года № 1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, № 2, ст.127) следующие изменения:
1) дополнить пункт 2 предложением следующего содержания: "В заявлении должно содержаться согласие заявителя с дальнейшей автоматизированной обработкой его персональных данных в соответствии с законодательством Российской Федерации в области персональных данных.";
2) дополнить статью пунктом 5 следующего содержания:
"5. Реестр сертификатов ключей подписей подлежит регистрации в уполномоченном органе по защите прав субъектов персональных данных в порядке, установленном для регистрации информационных систем персональных данных законодательством Российской Федерации в области персональных данных.".
Статья 21
Внести в пункт 2 статьи 53 Федерального закона от 7 июля 2003 года № 126-ФЗ "О связи" (Собрание законодательства Российской Федерации, 2003, № 28, ст.2895) следующие изменения:
1) абзац первый изложить в следующей редакции:
"2. Операторы связи вправе использовать созданные ими базы данных об абонентах для осуществления информационно-справочного обслуживания, в том числе для распространения информации различными способами, при условии соблюдения законодательства Российской Федерации в области персональных данных.";
2) абзац четвертый изложить в следующей редакции:
"Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с согласия в письменной форме абонентов, за исключением предоставления указанных сведений тем операторам связи, доступ к услугам связи которых осуществляется при исполнении договоров об оказании услуг связи, заключенных с этими абонентами, а также в иных случаях, предусмотренных федеральными законами.".
Президент
Российской Федерации
http://asozd.duma.gov.ru/work/dz.nsf/By ... enDocument.
- JK
- Форумчанин
- Сообщения:
11086 - Зарегистрирован:
17 май 2005 - Откуда:
Рио-де-Жанейро - Благодарил (а): 15 раз.
- Поблагодарили: 220 раз.
Сообщение:#13 JK » Пн 30 окт, 2006 14:16 »
5611
Правильно, "для обработки"... а обработка под СОРМ кончается не с разрывом абон.договора, а через 3 года после прекращения абонентства.
Правильно, "для обработки"... а обработка под СОРМ кончается не с разрывом абон.договора, а через 3 года после прекращения абонентства.
- PsevdoS
- Форумчанин
- Сообщения:
1076 - Зарегистрирован:
02 фев 2005 - Благодарил (а): 0 раз.
- Поблагодарили: 1 раз.
Сообщение:#14 PsevdoS » Пн 30 окт, 2006 14:41 »
Бред какой-то. Как можно Интернет магазину удалять персональные данные клиента через три дня после отгрузки?
А оператор что должен делать с договорами - уничтожать их (там ведь персональные данные абонента указываются).
А оператор что должен делать с договорами - уничтожать их (там ведь персональные данные абонента указываются).
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#15 5611 » Пн 30 окт, 2006 14:50 »
JK
А с февраля 2007 года у оператора не должно храниться персональных данных ни одного его бывшего (3 года + 3 дня) абонента - до января 2004 года !
занимается ведь не оператор МТС - так?обработка под СОРМ
А с февраля 2007 года у оператора не должно храниться персональных данных ни одного его бывшего (3 года + 3 дня) абонента - до января 2004 года !
- JK
- Форумчанин
- Сообщения:
11086 - Зарегистрирован:
17 май 2005 - Откуда:
Рио-де-Жанейро - Благодарил (а): 15 раз.
- Поблагодарили: 220 раз.
Сообщение:#16 JK » Пн 30 окт, 2006 14:59 »
PsevdoS писал(а):А оператор что должен делать с договорами - уничтожать их
Зачем уничтожать всё. Бумажные копии - в архив.
Закон, насколько я понимаю, касается электронных баз данных.
5611
Обработкой занимается неОпМТС, но данные для обработки вменено хранить ему, горемычному ОпМТС.
- Антон Богатов
- Форумчанин
- Сообщения:
12856 - Зарегистрирован:
14 апр 2004 - Благодарил (а): 0 раз.
- Поблагодарили: 1 раз.
Сообщение:#17 Антон Богатов » Пн 30 окт, 2006 15:33 »
5611 писал(а):2) абзац четвертый изложить в следующей редакции:
"Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с согласия в письменной форме абонентов, за исключением предоставления указанных сведений тем операторам связи, доступ к услугам связи которых осуществляется при исполнении договоров об оказании услуг связи, заключенных с этими абонентами, а также в иных случаях, предусмотренных федеральными законами.".
Хана требованиям СОРМ в части трехлетнего хранения персональных данных. ФЗ преодолевает ППРФ 538.
- PsevdoS
- Форумчанин
- Сообщения:
1076 - Зарегистрирован:
02 фев 2005 - Благодарил (а): 0 раз.
- Поблагодарили: 1 раз.
Сообщение:#18 PsevdoS » Пн 30 окт, 2006 16:06 »
В тексте про это нет. Но и выдирать из биллинга старый договор не хочется.JK писал(а):Закон, насколько я понимаю, касается электронных баз данных.
- Стрелец
- Форумчанин
- Сообщения:
209 - Зарегистрирован:
17 янв 2006 - Откуда:
Москва - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#19 Стрелец » Пн 30 окт, 2006 16:07 »
НОВОЕ В ЗАКОНОДАТЕЛЬСТВЕ
14/09/2006 Народная Трибуна
Принят Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» – вступает в силу в течение 180 дней с момента официального опубликования ( был опубликован 29 июля 2006 г. в «Российской газете»).
Данный закон был разработан в связи с введением в Трудовой кодекс РФ в статью 81 дополнительного основания для увольнения по инициативе работодателя – разглашение персональных данных.
14/09/2006 Народная Трибуна
Принят Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» – вступает в силу в течение 180 дней с момента официального опубликования ( был опубликован 29 июля 2006 г. в «Российской газете»).
Данный закон был разработан в связи с введением в Трудовой кодекс РФ в статью 81 дополнительного основания для увольнения по инициативе работодателя – разглашение персональных данных.
- JK
- Форумчанин
- Сообщения:
11086 - Зарегистрирован:
17 май 2005 - Откуда:
Рио-де-Жанейро - Благодарил (а): 15 раз.
- Поблагодарили: 220 раз.
Сообщение:#20 JK » Пн 30 окт, 2006 16:38 »
PsevdoS писал(а):выдирать из биллинга старый договор не хочется.
Предполагаете "Хранить вечно!" ?
Должен же быть разумный срок неудаления старых записей, после которого хранeние их не имеет никакого смысла.
Вернуться в Последние новости отрасли
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6