ФЗ "О персональных данных" от 27.07.06 г. N 152-ФЗ
- Nikolas
- Форумчанин
- Сообщения:
354 - Зарегистрирован:
17 авг 2006 - Откуда:
Россия - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Персональные данные, федеральный закон, личная информация
- Erlang
- Автор
- Сообщения:
46039 - Изображения: 67
- Зарегистрирован:
11 июл 2003 - Откуда:
Москва - Благодарил (а): 1459 раз.
- Поблагодарили: 641 раз.
Сообщение:#82 
Erlang » Вт 24 июн, 2008 15:45 »
5611 писал(а):Теперь в отношении Кононенко возбуждено дело об административном правонарушении, предусмотренном ст.13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах)
И сколько грозит за нарушение?
5611 писал(а):30 октября 2007 года гражданка Снопова получила членство в клубе "Ботек"
Теперь гражданка получит дискаунт
P.S.
Так... Где там мои карточки?
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#83 5611 » Вт 24 июн, 2008 16:27 »
"Статья 13.11. Нарушение установленного законом порядка сбора и обработки персональных данных
Нарушение установленного законом порядка сбора и обработки персональных данных -
влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
Нарушение установленного законом порядка сбора и обработки персональных данных с использованием технических средств -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой; на должностных лиц - от десяти до пятидесяти минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой;
на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией технического оборудования, обеспечивающего автоматизированную обработку персональных данных, и баз персональных данных или без таковой.";
2) дополнить часть 2 статьи 28.3 пунктом 86 следующего содержания:
"86) должностные лица уполномоченного органа по защите прав субъектов персональных данных - об административных правонарушениях, предусмотренных статьей 13.11 настоящего Кодекса.";
http://www.electrosvyaz.com/forum/viewtopic.php?t=5866
Федеральный закон "О персональных данных" пополнился нормативными и методическими документами, подготовленными ФСТЭК России. Можно сказать, что механизм защиты персональных данных (ПД) наших граждан создан. Гражданин сам решает вопрос, кому передавать свои данные, причем согласие должно быть только письменное. Любая организация, которая по долгу службы собирает какую-либо информацию о гражданине - от операторов связи с миллионными абонентскими базами до городской поликлиники, где сотрудник регистратуры заносит в электронную карту сведения о посещении доктора, - становится оператором ПД. Все они до 1 января 2010 года должны заявить о своей деятельности в таком качестве. Государство создает уполномоченный орган по защите прав граждан (сегодня эти функции выполняет Россвязьохранкультуры). Любой гражданин может туда обратиться с жалобой, если решит, что какая-либо компания неправильно обращается с его ПД. Но создание работоспособного механизма оборота таких данных - это только первый этап. Нужно еще научиться применять новые законы и требования. За полтора года абсолютно все организации, где в компьютеры заносятся какие-либо персональные сведения, должны заявить об этом и пройти регистрацию. Что непросто, но еще сложнее научить граждан жить в новой правовой среде. Легко ли отказаться от соблазна заполнить анкету в торговом центре, если взамен предлагают дисконтную карту? Только потом не возмущайтесь, если ваш почтовый ящик завалят адресными рекламными материалами - ведь вы сами дали согласие использовать ваши ПД, когда добровольно заполнили анкету или зарегистрировались на каком-то сайте. Придется учиться контролировать, где и с какой стати вы оставляете информацию о себе. Тогда, видимо, уже не будет казаться странным, что в парижском метро не задают вопрос: "Вы выходите?" - это ведь покушение на тайну личных данных.http://www.itogi.ru/Paper2008.nsf/Article/Itogi_2008_06_13_23_1316.html
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#84 5611 » Вт 24 июн, 2008 16:57 »
4 документа ФСТЭК: краткий анализ. "Методика определения актуальных угроз"
Итак, не без помощи добрых людей, удалось раздобыть 4 документа ФСТЭК, которые расширяют уже неоднократно упоминаемый мной "приказ трех". Прочтя их, решил поделиться кратким анализом. Итак, документ первый - "Методика определения актуальных угроз".
Начну с того, что методика ориентирована в т.ч. и на физлиц, исключая случаи создания информационных систем персональных данных (ИСПДн) для личных и семейных нужд.
Угрозой безопасности ПДн называется не только их утечка, но и иные несанкционированные или непреднамеренные воздействия на информацию. С одной стороны у нас достаточно широкий спектр угроз подпадает под понятие, данное ФСТЭК. С другой - мы сталкиваемся с проблемой терминологии. К чему, например, относится доступность? К информации или к информационной системе? Ведь блокируя работу той или иной ИС, с информацией мы ничего не делаем и вообще на нее никак не воздействуем, концентриясь на системе ее обработки, передачи и хранения. Т.е. доступность скорее относится к понятию "информационная система". А раз так, то угрозы доступности не относятся в сферу компетенции рассматриваемой методики ФСТЭК.
Интересно, что среди каналов реализации угроз ФСТЭК явно упоминает про электромагнитные излучения и наводки, а также акустику, что делает задачу защиты ПДн явно нетривиальной (но об этом позже).
Среди нарушителей не забыты операторы связи, которые могут получить доступ к ПДн в процессе их передачи по сетям общего пользования. Вот еще одна терминологическая неувязка. У Минсвязи нет термина "сеть общего пользования", зато есть "сеть связи общего пользования" (ССОП). Видимо сотрудничество Минсвязи и ФСТЭК ограничилось только первыми документами - все остальное делалось самостоятельно с вытекающими отсюда последствиями.
Выявление угроз осуществляется путем опросов! При опросах можно использовать сканеры уязвимостей. Про режимы обучения в ряде автоматизированных защитных средств во ФСТЭК, видимо, не слышали.
Очень меня смутила фраза "Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы". Т.е. наличие сотрудников, которые называются в методике "внутренними нарушителями", автоматически влечет за собой наличие целого класса внутренних угроз (хотя они могут на практике вообще никогда не реализоваться). Теоретическое наличие уязвимого ПО или информации приводит к тому, что мы должны учитывать и эти угрозы. Иными словами, упомянутая фраза приводит к тому, что мы должны учесть ВСЕ возможные в природе угрозы. Зачем это делать для каждой ИСПДн непонятно - проще было сделать единый список всех угроз, от которого отталкиваться в последующей работе.
После составления перечня всех угроз мы приступаем к составлению списка актуальных угроз. Актуальной считается угроза, которую можно реализовать и которая опасна для ПДн. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, перечисленных в методике. Например, территориальная распределенность ИСПДн, наличие подключения к Интернет, наличие встроенных механизмов регистрации событий, уровень обезличивания ПДн, объем ПДн, передаваемых наружу без обработки и т.д. У каждого из таких параметров есть три степени защищенности - высокий, средний и низкий, оценка которых осуществляется экспертом. Суммирование таких показателей и дает нам совокупный уровень исходной защищенности. Например, ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" и т.д.
С вероятностью все более или менее понятно. Оценка экспертная. Градация по четырехбалльной шкале - маловероятно, низкая вероятность, средняя вероятность и высокая.
После определения для каждой угрозы вероятности ее реализации и исходного уровня защищенности мы вычисляем коэффициент реализуемости угрозы по приведенной в Методике формуле.
Затем мы переходим к опасности. Здесь тоже все "просто". Тоже экспертная оценка специалистов по защите информации данной ИСПДн. Правда, что делать, если для данной ИСПДн нет специалистов, которые могли бы оценить опасность угрозы и вероятность ее реализации, Методика не отвечает.
После определения опасности и реализуемости угроз мы обращаемся к матрице соотнесения угроз к классу актуальных. Согласно Методике почти все угрозы являются актуальными, исключая:
- с низкой опасностью и низкой и средней возможностью реализации
- со средней опасностью и низкой возможностью реализации.
Судя по описанию ФСТЭК попробовал применить оценку рисков, однако вышло это, на мой взгляд, не очень удачно. Очень сильная зависимость от экспертов, которых может и не быть для всех существующих ИСПДн. Да и появление такого параметра как "исходная защищенность" тоже является не совсем понятным и усложняющим составление итогового перечня приоритетных рисков.
Используя данные о классе ИСПДн (из "приказа трех") и составленного на основе рассмотренной Методики перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» "формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн".
http://lukatsky.blogspot.com/2008/06/4.html
Итак, не без помощи добрых людей, удалось раздобыть 4 документа ФСТЭК, которые расширяют уже неоднократно упоминаемый мной "приказ трех". Прочтя их, решил поделиться кратким анализом. Итак, документ первый - "Методика определения актуальных угроз".
Начну с того, что методика ориентирована в т.ч. и на физлиц, исключая случаи создания информационных систем персональных данных (ИСПДн) для личных и семейных нужд.
Угрозой безопасности ПДн называется не только их утечка, но и иные несанкционированные или непреднамеренные воздействия на информацию. С одной стороны у нас достаточно широкий спектр угроз подпадает под понятие, данное ФСТЭК. С другой - мы сталкиваемся с проблемой терминологии. К чему, например, относится доступность? К информации или к информационной системе? Ведь блокируя работу той или иной ИС, с информацией мы ничего не делаем и вообще на нее никак не воздействуем, концентриясь на системе ее обработки, передачи и хранения. Т.е. доступность скорее относится к понятию "информационная система". А раз так, то угрозы доступности не относятся в сферу компетенции рассматриваемой методики ФСТЭК.
Интересно, что среди каналов реализации угроз ФСТЭК явно упоминает про электромагнитные излучения и наводки, а также акустику, что делает задачу защиты ПДн явно нетривиальной (но об этом позже).
Среди нарушителей не забыты операторы связи, которые могут получить доступ к ПДн в процессе их передачи по сетям общего пользования. Вот еще одна терминологическая неувязка. У Минсвязи нет термина "сеть общего пользования", зато есть "сеть связи общего пользования" (ССОП). Видимо сотрудничество Минсвязи и ФСТЭК ограничилось только первыми документами - все остальное делалось самостоятельно с вытекающими отсюда последствиями.
Выявление угроз осуществляется путем опросов! При опросах можно использовать сканеры уязвимостей. Про режимы обучения в ряде автоматизированных защитных средств во ФСТЭК, видимо, не слышали.
Очень меня смутила фраза "Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы". Т.е. наличие сотрудников, которые называются в методике "внутренними нарушителями", автоматически влечет за собой наличие целого класса внутренних угроз (хотя они могут на практике вообще никогда не реализоваться). Теоретическое наличие уязвимого ПО или информации приводит к тому, что мы должны учитывать и эти угрозы. Иными словами, упомянутая фраза приводит к тому, что мы должны учесть ВСЕ возможные в природе угрозы. Зачем это делать для каждой ИСПДн непонятно - проще было сделать единый список всех угроз, от которого отталкиваться в последующей работе.
После составления перечня всех угроз мы приступаем к составлению списка актуальных угроз. Актуальной считается угроза, которую можно реализовать и которая опасна для ПДн. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, перечисленных в методике. Например, территориальная распределенность ИСПДн, наличие подключения к Интернет, наличие встроенных механизмов регистрации событий, уровень обезличивания ПДн, объем ПДн, передаваемых наружу без обработки и т.д. У каждого из таких параметров есть три степени защищенности - высокий, средний и низкий, оценка которых осуществляется экспертом. Суммирование таких показателей и дает нам совокупный уровень исходной защищенности. Например, ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" и т.д.
С вероятностью все более или менее понятно. Оценка экспертная. Градация по четырехбалльной шкале - маловероятно, низкая вероятность, средняя вероятность и высокая.
После определения для каждой угрозы вероятности ее реализации и исходного уровня защищенности мы вычисляем коэффициент реализуемости угрозы по приведенной в Методике формуле.
Затем мы переходим к опасности. Здесь тоже все "просто". Тоже экспертная оценка специалистов по защите информации данной ИСПДн. Правда, что делать, если для данной ИСПДн нет специалистов, которые могли бы оценить опасность угрозы и вероятность ее реализации, Методика не отвечает.
После определения опасности и реализуемости угроз мы обращаемся к матрице соотнесения угроз к классу актуальных. Согласно Методике почти все угрозы являются актуальными, исключая:
- с низкой опасностью и низкой и средней возможностью реализации
- со средней опасностью и низкой возможностью реализации.
Судя по описанию ФСТЭК попробовал применить оценку рисков, однако вышло это, на мой взгляд, не очень удачно. Очень сильная зависимость от экспертов, которых может и не быть для всех существующих ИСПДн. Да и появление такого параметра как "исходная защищенность" тоже является не совсем понятным и усложняющим составление итогового перечня приоритетных рисков.
Используя данные о классе ИСПДн (из "приказа трех") и составленного на основе рассмотренной Методики перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» "формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн".
http://lukatsky.blogspot.com/2008/06/4.html
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#85 5611 » Чт 26 июн, 2008 14:10 »
она попросила компанию предоставить ей информацию касающуюся сбора, систематизации, накопления, хранения, использования, распространения, уничтожения ее персональных данных ...). Ответ на заявление Снопова не получила, хотя он должен быть предоставлен в течение десяти рабочих дней с момента получения запроса.
А если сейчас некоторые "просвещенные" граждане начнут спрашивать об их персональной информации у чужих операторов МГсвязи, у РЖД, АЭРОФЛОТА... ?
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#86 5611 » Вт 15 июл, 2008 12:25 »
Проект "Information Security/Информационная безопасность" совместно с компанией Perimetrix проводит исследование "Персональные данные в России, 2008", ориентированное на представителей финансовой и телекоммуникационной отраслей.
Исследование поможет выявить культуру обработки персональных данных в российских компаниях вышеназванных секторов экономики; представить уровень знаний и понимания нормативных требований, связанных с хранением, обработкой и передачей персональных данных; составить представление о трудностях, возникающих на пути реализации требований ФЗ "О персональных данных"; и понять, многие ли компании на сегодняшний день могут выполнять и выполняют требования Закона.
Результаты исследования будут представлены на конференции "Защита персональных данных", которую проект "Информационная безопасность" проводит 23 сентября, а затем опубликованы на сайте www.itsec.ru.
Чтобы принять участие в исследовании, пройдите по ссылке http://www.questionpro.com/akira/TakeSurvey?id=999334.
Среднее время заполнения анкеты исследования – 6 минут.
Нам важно участие каждого из Вас!
http://www.itsec.ru/newstext.php?news_id=46886
Исследование поможет выявить культуру обработки персональных данных в российских компаниях вышеназванных секторов экономики; представить уровень знаний и понимания нормативных требований, связанных с хранением, обработкой и передачей персональных данных; составить представление о трудностях, возникающих на пути реализации требований ФЗ "О персональных данных"; и понять, многие ли компании на сегодняшний день могут выполнять и выполняют требования Закона.
Результаты исследования будут представлены на конференции "Защита персональных данных", которую проект "Информационная безопасность" проводит 23 сентября, а затем опубликованы на сайте www.itsec.ru.
Чтобы принять участие в исследовании, пройдите по ссылке http://www.questionpro.com/akira/TakeSurvey?id=999334.
Среднее время заполнения анкеты исследования – 6 минут.
Нам важно участие каждого из Вас!
http://www.itsec.ru/newstext.php?news_id=46886
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#87 5611 » Вт 15 июл, 2008 16:09 »
Вышло постановление Правительства РФ от 6 июля 2008 г. № 512 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных” . Оно вступает в силу по истечении шести месяцев со дня официального опубликования. Постановление содержит 12 пунктов. Согласно пункту 1, содержащиеся в нём требования применяются при использовании материальных носителей, на которые записываются биометрические персональные данные, а также при хранении таких данных вне информационных систем персональных данных.
При этом (пункт 2) под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и позволяющих установить его личность.
Согласно пункту 8 постановления оператор информационной системы персональных данных (далее — просто оператор) обязан вести учёт количества экземпляров материальных носителей и присваивать каждому из них уникальный идентификационный номер, который позволит точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
Очень важен пункт 10, который гласит: “В случае, если на материальном носителе содержится дополнительная информация, имеющая отношение к записанным биометрическим персональным данным, то такая информация должна быть подписана электронной цифровой подписью и/или защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель. Использование шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации”.
В то же время (пункт 12) оператор вправе установить не противоречащие законодательству РФ дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов их защиты, применяемых этим оператором.
Комитет по законодательству Ассоциации предприятий компьютерных и информационных технологий (АП КИТ) заявил, что не имеет к подготовке постановления № 512 никакого отношения. По мнению АП КИТ, за этим документом в целом прослеживается избыточное административное регулирование. А что думают о нём участники ИТ-рынка?
“Данное постановление подготовлено с целью реализации федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”, — отмечает менеджер по маркетингу BioLink Solutions Игорь Лукашов. — Специфика закона № 152-ФЗ как нормативного акта такова, что его положения по определению носят общий характер и должны конкретизироваться в подзаконных актах. Ещё 15 августа прошлого года тогдашний глава российского правительства Михаил Фрадков подписал распоряжение № 1055-р, которым предусматривалась подготовка в общей сложности одиннадцати подзаконных актов, в том числе проекта постановления Правительства Российской Федерации об утверждении требований к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем персональных данных. Подготовка упомянутого постановления возлагалась на Мининформсвязи России (ныне — Министерство связи и массовых коммуникаций — Минкомсвязи), ФСБ, ФСТЭК (Федеральную службу по техническому и экспортному контролю), МВД и Федеральную службу миграции. В распоряжении Михаила Фрадкова был установлен и срок подготовки постановления — третий квартал 2007 г. Как вы, вероятно, знаете, в подобных документах первым упоминается ведомство-исполнитель, а затем перечисляются соисполнители и согласующие ведомства. Так что в качестве основного коллективного автора данного постановления можно назвать Минкомсвязи России”.
С ним согласен руководитель аналитического центра Perimetrix Владимир Ульянов. “Постановление правительства РФ от 6 июля 2008 г. № 512 выпущено в поддержку федерального закона “О персональных данных”, — считает он. — Этот закон, которого так долго ждали в России, оказался неполным и неработающим. И теперь он начинает обрастать “подробностями”, к которым относится и само постановление. Биометрические же данные получают все большее распространение и нуждаются в надежной защите для предотвращения фальсификаций и махинаций. В любом случае сегодня необходимы нормативы, регламентирующие процедуры хранения и обработки любых персональных данных, в том числе и биометрических… В то же время такое постановление трудно назвать революционным. Все перечисленные в нём требования предлагают в общем-то стандартные процедуры обработки конфиденциальных данных. Впрочем, стоит остановиться на некоторых его пунктах. Во-первых, чисто теоретически постановление должно было бы защищать интересы самих владельцев биометрических персональных данных, по-сути нас с вами, граждан. В пункте 4 говорится о том, что необходимо исключить несанкционированный доступ к биометрическим данным и несанкционированную запись информации. Пункт 9 гласит, что должно быть письменное согласие владельца биометрических данных на обработку его персональных сведений. Во-вторых, правительство достаточно очевидно указывает (пункт 4б) на то, что биометрические персональные данные граждан должны предоставляться в распоряжение спецслужб, а также заинтересованных государственных органов (те самые “уполномоченные лица”). Каким образом будет происходить идентификация и аутентификация уполномоченных лиц — неясно. В связи с чем возникает вопрос о безопасности данных. Будут ли процедуры достаточно хороши, чтобы обеспечить доступ уполномоченных лиц и одновременно предотвратить несанкционированный доступ к информации? Вероятно, проблема будет решаться стандартными средствами — электронными подписями и несимметричным шифрованием. Об этом, в частности, говорится в пункте 10. В-третьих, особое внимание в постановлении уделено возможности отследить утечку информации (пункт 8). Все носители персональных данных должны быть учтены и сосчитаны. Более того, на каждом носителе должны содержаться метки, позволяющие отследить, кто же записал информацию. Жаль, но этих мер будет недостаточно для выявления звена, допустившего утечку. Потому что данная информация неполна. По крайней мере на носитель следовало бы записывать и сведения о том, для кого предназначается эта копия данных. Однако правительство или спецслужбы вряд ли пойдут на то, чтобы санкционировать слежку за собой. Единственная оставшаяся зацепка — пункт 5. В данном случае в реестре оператора должна оставаться запись о том, кому, когда и почему был передан носитель информации”.
По мнению г-на Лукашова, постановление затрагивает интересы как компаний (госучреждений), которые разрабатывают и используют базы данных, хранящие отпечатки пальцев, так и тех, кто использует модели отпечатков пальцев для идентификации сотрудников предприятий или своих клиентов. “Если же не вдаваться в терминологические особенности, то ключевыми моментами для понимания сути постановления являются два обстоятельства, — подчеркивает г-н Лукашов. — Во-первых, этот нормативный акт распространяется на отношения, возникающие при обработке биометрических данных в информационных системах. А во-вторых, в нём рассматриваются вопросы, возникающие при обращении материальных носителей, содержащих персональные биометрические данные, вне этих систем. При этом специально оговорено, что требования постановления не распространяются на бумажные носители для записи и хранения упомянутых данных, и это разумно: иначе пришлось бы пересматривать, к примеру, всю практику обращения бумажных пропусков с фотографиями сотрудников. Конкретным примером носителей биометрических персональных данных могут служить карты, выдаваемые участникам программ сопровождения часто путешествующих авиапассажиров в США. В память этой карты вносятся сведения об отпечатках пальцев и радужной оболочке глаз пользователя, и когда он прибывает в аэропорт и регистрируется на рейс, биометрическая идентификация позволяет быстро, точно и надежно удостоверить его личность, что в свою очередь сокращает время прохождения предполетного контроля. Есть и российский пример: чип биометрического паспорта. При разработке этого паспортно-визового документа нового поколения сразу были учтены требования, перечисленные в рассматриваемом постановлении, и, в частности, использованы технологии электронной цифровой подписи, благодаря которым обеспечивается целостность и неизменность данных, вносимых в чип паспорта на этапе его персонализации”.
http://www.pcweek.ru/themes/detail.php?ID=112207
При этом (пункт 2) под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и позволяющих установить его личность.
Согласно пункту 8 постановления оператор информационной системы персональных данных (далее — просто оператор) обязан вести учёт количества экземпляров материальных носителей и присваивать каждому из них уникальный идентификационный номер, который позволит точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
Очень важен пункт 10, который гласит: “В случае, если на материальном носителе содержится дополнительная информация, имеющая отношение к записанным биометрическим персональным данным, то такая информация должна быть подписана электронной цифровой подписью и/или защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель. Использование шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации”.
В то же время (пункт 12) оператор вправе установить не противоречащие законодательству РФ дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов их защиты, применяемых этим оператором.
Комитет по законодательству Ассоциации предприятий компьютерных и информационных технологий (АП КИТ) заявил, что не имеет к подготовке постановления № 512 никакого отношения. По мнению АП КИТ, за этим документом в целом прослеживается избыточное административное регулирование. А что думают о нём участники ИТ-рынка?
“Данное постановление подготовлено с целью реализации федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”, — отмечает менеджер по маркетингу BioLink Solutions Игорь Лукашов. — Специфика закона № 152-ФЗ как нормативного акта такова, что его положения по определению носят общий характер и должны конкретизироваться в подзаконных актах. Ещё 15 августа прошлого года тогдашний глава российского правительства Михаил Фрадков подписал распоряжение № 1055-р, которым предусматривалась подготовка в общей сложности одиннадцати подзаконных актов, в том числе проекта постановления Правительства Российской Федерации об утверждении требований к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем персональных данных. Подготовка упомянутого постановления возлагалась на Мининформсвязи России (ныне — Министерство связи и массовых коммуникаций — Минкомсвязи), ФСБ, ФСТЭК (Федеральную службу по техническому и экспортному контролю), МВД и Федеральную службу миграции. В распоряжении Михаила Фрадкова был установлен и срок подготовки постановления — третий квартал 2007 г. Как вы, вероятно, знаете, в подобных документах первым упоминается ведомство-исполнитель, а затем перечисляются соисполнители и согласующие ведомства. Так что в качестве основного коллективного автора данного постановления можно назвать Минкомсвязи России”.
С ним согласен руководитель аналитического центра Perimetrix Владимир Ульянов. “Постановление правительства РФ от 6 июля 2008 г. № 512 выпущено в поддержку федерального закона “О персональных данных”, — считает он. — Этот закон, которого так долго ждали в России, оказался неполным и неработающим. И теперь он начинает обрастать “подробностями”, к которым относится и само постановление. Биометрические же данные получают все большее распространение и нуждаются в надежной защите для предотвращения фальсификаций и махинаций. В любом случае сегодня необходимы нормативы, регламентирующие процедуры хранения и обработки любых персональных данных, в том числе и биометрических… В то же время такое постановление трудно назвать революционным. Все перечисленные в нём требования предлагают в общем-то стандартные процедуры обработки конфиденциальных данных. Впрочем, стоит остановиться на некоторых его пунктах. Во-первых, чисто теоретически постановление должно было бы защищать интересы самих владельцев биометрических персональных данных, по-сути нас с вами, граждан. В пункте 4 говорится о том, что необходимо исключить несанкционированный доступ к биометрическим данным и несанкционированную запись информации. Пункт 9 гласит, что должно быть письменное согласие владельца биометрических данных на обработку его персональных сведений. Во-вторых, правительство достаточно очевидно указывает (пункт 4б) на то, что биометрические персональные данные граждан должны предоставляться в распоряжение спецслужб, а также заинтересованных государственных органов (те самые “уполномоченные лица”). Каким образом будет происходить идентификация и аутентификация уполномоченных лиц — неясно. В связи с чем возникает вопрос о безопасности данных. Будут ли процедуры достаточно хороши, чтобы обеспечить доступ уполномоченных лиц и одновременно предотвратить несанкционированный доступ к информации? Вероятно, проблема будет решаться стандартными средствами — электронными подписями и несимметричным шифрованием. Об этом, в частности, говорится в пункте 10. В-третьих, особое внимание в постановлении уделено возможности отследить утечку информации (пункт 8). Все носители персональных данных должны быть учтены и сосчитаны. Более того, на каждом носителе должны содержаться метки, позволяющие отследить, кто же записал информацию. Жаль, но этих мер будет недостаточно для выявления звена, допустившего утечку. Потому что данная информация неполна. По крайней мере на носитель следовало бы записывать и сведения о том, для кого предназначается эта копия данных. Однако правительство или спецслужбы вряд ли пойдут на то, чтобы санкционировать слежку за собой. Единственная оставшаяся зацепка — пункт 5. В данном случае в реестре оператора должна оставаться запись о том, кому, когда и почему был передан носитель информации”.
По мнению г-на Лукашова, постановление затрагивает интересы как компаний (госучреждений), которые разрабатывают и используют базы данных, хранящие отпечатки пальцев, так и тех, кто использует модели отпечатков пальцев для идентификации сотрудников предприятий или своих клиентов. “Если же не вдаваться в терминологические особенности, то ключевыми моментами для понимания сути постановления являются два обстоятельства, — подчеркивает г-н Лукашов. — Во-первых, этот нормативный акт распространяется на отношения, возникающие при обработке биометрических данных в информационных системах. А во-вторых, в нём рассматриваются вопросы, возникающие при обращении материальных носителей, содержащих персональные биометрические данные, вне этих систем. При этом специально оговорено, что требования постановления не распространяются на бумажные носители для записи и хранения упомянутых данных, и это разумно: иначе пришлось бы пересматривать, к примеру, всю практику обращения бумажных пропусков с фотографиями сотрудников. Конкретным примером носителей биометрических персональных данных могут служить карты, выдаваемые участникам программ сопровождения часто путешествующих авиапассажиров в США. В память этой карты вносятся сведения об отпечатках пальцев и радужной оболочке глаз пользователя, и когда он прибывает в аэропорт и регистрируется на рейс, биометрическая идентификация позволяет быстро, точно и надежно удостоверить его личность, что в свою очередь сокращает время прохождения предполетного контроля. Есть и российский пример: чип биометрического паспорта. При разработке этого паспортно-визового документа нового поколения сразу были учтены требования, перечисленные в рассматриваемом постановлении, и, в частности, использованы технологии электронной цифровой подписи, благодаря которым обеспечивается целостность и неизменность данных, вносимых в чип паспорта на этапе его персонализации”.
http://www.pcweek.ru/themes/detail.php?ID=112207
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#88 5611 » Чт 24 июл, 2008 16:49 »
Доброго времени. Подскажите пожалуйста знающие, как выяснить какое количество штрафов на мне числится и где могут сказать достоверно, желательно с номерами протоколов и датами их вынесения для последующей оплаты. Может есть какая нибудь служба по телефону ибо повестку в суд не хочется получать ))
Начальнику ДОБДД МВД России
генерал-лейтенанту милиции Кирьянову В.Н.
от гр-на ___________ ___________ _________,
проживающего по адресу: ___________ _____
___________ ___________ ___________ ______
З А Я В Л Е Н И Е
В соответствии со статьей 14 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» прошу Вас предоставить мне в письменном виде все сведения, содержащиеся в базах данных административных правонарушений в области дорожного движения относительно меня, ___________ ___________ ___________ _ ___________ ___________ _____, «___» ___________ _ _____г.р., проживающего по адресу: ___________ ___________ ___________ ___________ ___________ ___________ ___________ .
В соответствии с требованиями пункта 3 статьи 14 вышеуказанного Федерального закона сообщаю Вам для получения запрашиваемых мною сведений реквизиты основного документа, удостоверяющего мою личность: паспорт гражданина Российской Федерации № ___________ _ выдан ___________ ___________ __________ «___» ___________ _ _____г.
В соответствии с пунктом 4 статьи 14 вышеуказанного Федерального закона прошу также предоставить мне сведения о лицах, которые имеют доступ к данным о совершенных мою правонарушениях или которым может быть предоставлен такой доступ, а также информацию о сроках хранения данных о совершенных мною правонарушениях.
В соответствии с требованиями пункта 4 статьи 8 Федерального закона Российской Федерации от 2 мая 2006 г. N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и пункта 52 Инструкции по работе с обращениями граждан в системе МВД России, утвержденной Приказом МВД РФ от 22 сентября 2006 г. N 750, в случае, если общая база данных административных правонарушений в области дорожного движения в ДОБДД МВД России не ведется, прошу направить копии моего обращения в течение семи дней со дня регистрации соответствующим должностным лицам во все регионы Российской Федерации, где такой учет ведется, о чем уведомить меня письменно.
___________ ____ /____________________/
http://www.pravorulya.com/index.php?opt ... #msg-58135
Начальнику ДОБДД МВД России
генерал-лейтенанту милиции Кирьянову В.Н.
от гр-на ___________ ___________ _________,
проживающего по адресу: ___________ _____
___________ ___________ ___________ ______
З А Я В Л Е Н И Е
В соответствии со статьей 14 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» прошу Вас предоставить мне в письменном виде все сведения, содержащиеся в базах данных административных правонарушений в области дорожного движения относительно меня, ___________ ___________ ___________ _ ___________ ___________ _____, «___» ___________ _ _____г.р., проживающего по адресу: ___________ ___________ ___________ ___________ ___________ ___________ ___________ .
В соответствии с требованиями пункта 3 статьи 14 вышеуказанного Федерального закона сообщаю Вам для получения запрашиваемых мною сведений реквизиты основного документа, удостоверяющего мою личность: паспорт гражданина Российской Федерации № ___________ _ выдан ___________ ___________ __________ «___» ___________ _ _____г.
В соответствии с пунктом 4 статьи 14 вышеуказанного Федерального закона прошу также предоставить мне сведения о лицах, которые имеют доступ к данным о совершенных мою правонарушениях или которым может быть предоставлен такой доступ, а также информацию о сроках хранения данных о совершенных мною правонарушениях.
В соответствии с требованиями пункта 4 статьи 8 Федерального закона Российской Федерации от 2 мая 2006 г. N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и пункта 52 Инструкции по работе с обращениями граждан в системе МВД России, утвержденной Приказом МВД РФ от 22 сентября 2006 г. N 750, в случае, если общая база данных административных правонарушений в области дорожного движения в ДОБДД МВД России не ведется, прошу направить копии моего обращения в течение семи дней со дня регистрации соответствующим должностным лицам во все регионы Российской Федерации, где такой учет ведется, о чем уведомить меня письменно.
___________ ____ /____________________/
http://www.pravorulya.com/index.php?opt ... #msg-58135
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#89 5611 » Вт 12 авг, 2008 13:23 »
Практически все организации и частные предприниматели обязаны направить в Россвязьохранкультуру специальные уведомления. Владельцы большинства магазинов, библиотек, аптек и даже ларьков вряд ли догадываются, что являются «операторами персональных данных». Тех, кто забудет направить письмо в надзорный орган, предупреждают об административной и даже уголовной ответственности.
Под персональными данными принятый два года назад федеральный закон подразумевает любые сведения о гражданине, начиная с его фамилии и заканчивая биометрическими параметрами. Даже список друзей считается массивом персональных данных, а составление – обработкой персональных данных. Для личных нужд это можно делать без согласий, уведомлений и т.д.
А вот организации вынуждены будут соблюдать жесткий регламент, даже если в их «массиве» всего лишь сведения о собственных сотрудниках или клиентах. Таким образом, под статус оператора подпадают практически все хозяйствующие субъекты, в том числе компании и предприниматели, которые наняли хотя бы одного работника. А также турфирмы, страховщики, банкиры, связисты, авиакомпании, аудиторы, риелтеры, адвокаты, библиотеки (карточки читателей), поликлиники — предприятия, которые собирают сведения о клиентах.
Владелец торгующего, например, фотоальбомами ларька, на первый взгляд, под статус оператора не подпадает: базу клиентов он не ведет, да и сотрудников не нанимает (сам стоит за прилавком). Но если потребитель захочет вернуть покупку (по закону в ряде случаев он вправе это сделать даже если товар качественный), то для выплаты денег нужно будет составить расходный кассовый ордер. В нем по правилам должны быть вписаны фамилия, имя, отчество и реквизиты паспорта. С этого момента ничего не подозревавший торговец становится оператором персональных данных.
Напиши мне письмо
На днях Управление Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Санкт-Петербургу и Ленобласти (Россвязьохранкультура) распространило сообщение, напоминая о вступившем в силу полтора года назад законе. В котором прописано, что все осуществляющие обработку персональных данных операторы были обязаны направить в уполномоченный орган (то есть вышеупомянутую федеральную службу) соответствующее уведомление не позднее еще 1 января 2008 года!
Вот только форму такого уведомления руководство ведомства, если верить СПС «Гарант», утвердило только 11 января, а сам приказ до сих пор официально не опубликован. Как и новый, датированный уже 13 мая, на который ссылается Россвязьохранкультура в своем предупреждении.
В распространенном сообщении ни слова нет о том, кто же все-таки должен писать достаточно пространное уведомление. Ведь, согласно закону, операторы, формирующие только базы данных работников и клиентов, его могут не направлять при условии, что информация не распространяется и не передается третьим лицам. Но ведь те же расходные ордера, контракты, ведомости, кассовые книги и все иные документы необходимо пять лет хранить и предоставлять по первому требованию налоговой службы. То есть каждая компания или предприниматель не вправе утверждать, что собранные персональные данные не будут распространяться. А, следовательно, владелец вышеописанного ларька обязан уведомить федеральную службу о планах обрабатывать персональные сведения.
Корреспондент «Фонтанки» позвонил по справочному телефону Россвязьохранкультуры, представившись руководителем компании. Вопросы явно поставили специалиста управления в тупик: «Лучше направьте уведомление, хуже не будет», – доброжелательно порекомендовали в федеральной службе.
Сведения о всех компаниях, которые выслали уведомления, будут публиковать на сайте Россвязьохранкультуры. В созданном реестре уже почти 12 тысяч записей. Об обработке персональных данных клиентов федеральную службу уведомили около ста банков, 130 страховых фирм и т.д. А вот крупнейших авиакомпаний (например, «Аэрофлот», «Трансаэро», ГТК «Россия» и др.), а также сотового оператора «Мегафон» в документе обнаружить не удалось.
Вопреки грозному предупреждению, санкции за нарушение закона вряд ли можно назвать существенными: для граждан штраф до 500 рублей; для должностных лиц – до тысячи, для организации – до 10 тысяч рублей.
Под колпаком Билла Гейтса
Обязанности российских компаний и предпринимателей (будь то авиакомпания, банк или ларек с одним наемным сотрудником) не ограничиваются направлением уведомления. Все операторы обязаны принимать «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения ..., а также от иных неправомерных действий». В том числе использовать шифровальные (криптографические) средства, введение ограничения на доступ в помещения, резервное копирование и т.д.
Методы и способы защиты информации в информационных системах будут устанавливаться Федеральной службой по техническому и экспортному контролю и ФСБ. Россвязьохранкультура, в свою очередь, должна проверять «достаточность принятых мер по обеспечению безопасности».
Логично, когда эти требования предъявляются к базам данных, например, кредитных организаций, реестродержателей, медицинских учреждений, служб безопасности и т.д., когда действия хакеров, вирусов или просто технические сбои могут привести к катастрофическим последствиям. Но эти же требования распространяются и на ООО, в котором стоит всего один обычный компьютер с «дырявой» Windows и программой бухучета типа 1С. В ней накапливаются данные по выплатам, работникам, клиентам. На том же компьютере стоит, скорее всего, Outlook Express, который, по мнению всех опрошенных программистов, «пробивается» любым вирусом.
Сложно также представить, как информационную безопасность читательской картотеки можно обеспечить в обычной районной, не говоря уже о сельской, библиотеки. Или в регистратуре поликлиники.
Хотели как лучше
А что закон гарантировал гражданам? Основным механизмом защиты персональных данных стал запрет на их сбор и обработку без четкого письменного согласия самой «персоналии». Разумеется, вводится также ряд исключений. Например, можно обрабатывать данные клиентов, но только в целях исполнения договора. Передавать их кому-либо уже нельзя.
Но, вопреки всем законом, в большинстве петербургских бизнес-центрах и иных негосударственных учреждений бравые охранники требуют от посетителей предъявить паспорт и без тени смущения записывают в журнал их реквизиты (то есть собирают персональные данные). На входе в центральный офис одного из банков стоит даже специальный сканер, который копирует паспорт посетителя (далеко не все они - клиенты банка или ими станут). «У нас такой порядок», – грубо объяснила законность своих действий «ментесса» ОВО.
Сотовые компании также считают возможным распространять сведения о клиентах. Причем, законно: в договор вписывается норма, что абонент согласен на передачу сведений о нем (как общих, так о звонках, платежах и пр.) любым третьим лицам и использование их для информационно-справочного обслуживания. Подключаясь к некоторым операторам (например, «Билайн», «Мегафон» в Петербурге и др.) клиент может поставить «галочку» в специальном поле, выразив свое несогласие с распространением сведений о нем. Но другие компании (например, «Мегафон-Москва») требуют безусловного согласия.
Целью принятого два года назад закона было «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Но на практике многочисленные коммерческие структуры разными путями игнорируют установленные законом гарантии, а вот на малый бизнес и даже предпринимателей сваливаются явно несоразмерные требования.
http://www.fontanka.ru/2008/08/06/021/
Под персональными данными принятый два года назад федеральный закон подразумевает любые сведения о гражданине, начиная с его фамилии и заканчивая биометрическими параметрами. Даже список друзей считается массивом персональных данных, а составление – обработкой персональных данных. Для личных нужд это можно делать без согласий, уведомлений и т.д.
А вот организации вынуждены будут соблюдать жесткий регламент, даже если в их «массиве» всего лишь сведения о собственных сотрудниках или клиентах. Таким образом, под статус оператора подпадают практически все хозяйствующие субъекты, в том числе компании и предприниматели, которые наняли хотя бы одного работника. А также турфирмы, страховщики, банкиры, связисты, авиакомпании, аудиторы, риелтеры, адвокаты, библиотеки (карточки читателей), поликлиники — предприятия, которые собирают сведения о клиентах.
Владелец торгующего, например, фотоальбомами ларька, на первый взгляд, под статус оператора не подпадает: базу клиентов он не ведет, да и сотрудников не нанимает (сам стоит за прилавком). Но если потребитель захочет вернуть покупку (по закону в ряде случаев он вправе это сделать даже если товар качественный), то для выплаты денег нужно будет составить расходный кассовый ордер. В нем по правилам должны быть вписаны фамилия, имя, отчество и реквизиты паспорта. С этого момента ничего не подозревавший торговец становится оператором персональных данных.
Напиши мне письмо
На днях Управление Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Санкт-Петербургу и Ленобласти (Россвязьохранкультура) распространило сообщение, напоминая о вступившем в силу полтора года назад законе. В котором прописано, что все осуществляющие обработку персональных данных операторы были обязаны направить в уполномоченный орган (то есть вышеупомянутую федеральную службу) соответствующее уведомление не позднее еще 1 января 2008 года!
Вот только форму такого уведомления руководство ведомства, если верить СПС «Гарант», утвердило только 11 января, а сам приказ до сих пор официально не опубликован. Как и новый, датированный уже 13 мая, на который ссылается Россвязьохранкультура в своем предупреждении.
В распространенном сообщении ни слова нет о том, кто же все-таки должен писать достаточно пространное уведомление. Ведь, согласно закону, операторы, формирующие только базы данных работников и клиентов, его могут не направлять при условии, что информация не распространяется и не передается третьим лицам. Но ведь те же расходные ордера, контракты, ведомости, кассовые книги и все иные документы необходимо пять лет хранить и предоставлять по первому требованию налоговой службы. То есть каждая компания или предприниматель не вправе утверждать, что собранные персональные данные не будут распространяться. А, следовательно, владелец вышеописанного ларька обязан уведомить федеральную службу о планах обрабатывать персональные сведения.
Корреспондент «Фонтанки» позвонил по справочному телефону Россвязьохранкультуры, представившись руководителем компании. Вопросы явно поставили специалиста управления в тупик: «Лучше направьте уведомление, хуже не будет», – доброжелательно порекомендовали в федеральной службе.
Сведения о всех компаниях, которые выслали уведомления, будут публиковать на сайте Россвязьохранкультуры. В созданном реестре уже почти 12 тысяч записей. Об обработке персональных данных клиентов федеральную службу уведомили около ста банков, 130 страховых фирм и т.д. А вот крупнейших авиакомпаний (например, «Аэрофлот», «Трансаэро», ГТК «Россия» и др.), а также сотового оператора «Мегафон» в документе обнаружить не удалось.
Вопреки грозному предупреждению, санкции за нарушение закона вряд ли можно назвать существенными: для граждан штраф до 500 рублей; для должностных лиц – до тысячи, для организации – до 10 тысяч рублей.
Под колпаком Билла Гейтса
Обязанности российских компаний и предпринимателей (будь то авиакомпания, банк или ларек с одним наемным сотрудником) не ограничиваются направлением уведомления. Все операторы обязаны принимать «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения ..., а также от иных неправомерных действий». В том числе использовать шифровальные (криптографические) средства, введение ограничения на доступ в помещения, резервное копирование и т.д.
Методы и способы защиты информации в информационных системах будут устанавливаться Федеральной службой по техническому и экспортному контролю и ФСБ. Россвязьохранкультура, в свою очередь, должна проверять «достаточность принятых мер по обеспечению безопасности».
Логично, когда эти требования предъявляются к базам данных, например, кредитных организаций, реестродержателей, медицинских учреждений, служб безопасности и т.д., когда действия хакеров, вирусов или просто технические сбои могут привести к катастрофическим последствиям. Но эти же требования распространяются и на ООО, в котором стоит всего один обычный компьютер с «дырявой» Windows и программой бухучета типа 1С. В ней накапливаются данные по выплатам, работникам, клиентам. На том же компьютере стоит, скорее всего, Outlook Express, который, по мнению всех опрошенных программистов, «пробивается» любым вирусом.
Сложно также представить, как информационную безопасность читательской картотеки можно обеспечить в обычной районной, не говоря уже о сельской, библиотеки. Или в регистратуре поликлиники.
Хотели как лучше
А что закон гарантировал гражданам? Основным механизмом защиты персональных данных стал запрет на их сбор и обработку без четкого письменного согласия самой «персоналии». Разумеется, вводится также ряд исключений. Например, можно обрабатывать данные клиентов, но только в целях исполнения договора. Передавать их кому-либо уже нельзя.
Но, вопреки всем законом, в большинстве петербургских бизнес-центрах и иных негосударственных учреждений бравые охранники требуют от посетителей предъявить паспорт и без тени смущения записывают в журнал их реквизиты (то есть собирают персональные данные). На входе в центральный офис одного из банков стоит даже специальный сканер, который копирует паспорт посетителя (далеко не все они - клиенты банка или ими станут). «У нас такой порядок», – грубо объяснила законность своих действий «ментесса» ОВО.
Сотовые компании также считают возможным распространять сведения о клиентах. Причем, законно: в договор вписывается норма, что абонент согласен на передачу сведений о нем (как общих, так о звонках, платежах и пр.) любым третьим лицам и использование их для информационно-справочного обслуживания. Подключаясь к некоторым операторам (например, «Билайн», «Мегафон» в Петербурге и др.) клиент может поставить «галочку» в специальном поле, выразив свое несогласие с распространением сведений о нем. Но другие компании (например, «Мегафон-Москва») требуют безусловного согласия.
Целью принятого два года назад закона было «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Но на практике многочисленные коммерческие структуры разными путями игнорируют установленные законом гарантии, а вот на малый бизнес и даже предпринимателей сваливаются явно несоразмерные требования.
http://www.fontanka.ru/2008/08/06/021/
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#90 5611 » Вт 16 сен, 2008 15:58 »
Разговор с оператором справочной правительства Москвы:
— Какая структура правительства контролирует исполнение закона “О персональных данных”?
— А что такое персональные данные?
Эпиграф к этой статье взят из личного опыта менеджера по маркетингу BioLink Solutions Игоря Лукашова. Ответ сall-центра весьма характерен и наводит на мысль, что деятельность такого рода подразделений надо оценивать не по общему количеству ответов на вопросы (в том числе в единицу времени), а по количеству ответов по существу. Но это тема отдельного разговора. Сегодня же речь пойдёт о другом.
Нынешним летом исполнилось два года со дня подписания В. В. Путиным закона Российской Федерации № 152-ФЗ “О персональных данных” (www.rg.ru/2006/07/29/personaljnye-dannye-dok.html). Этим законом определяются такие важные понятия, как “персональные данные” (ПД), “субъект ПД”, “оператор ПД”, “реестр операторов ПД”, который должен вести “уполномоченный орган по защите прав субъектов персональных данных” и так далее. Своими мнениями о том, как работает этот закон и в каких усовершенствованиях он нуждается, кроме уже упомянутого Игоря Лукашова с нами поделились директор аналитического департамента ОАО “Элвис-Плюс” Сергей Вихорев, генеральный директор компании Aladdin Software Security R.D. Алексей Сабанов, руководитель аналитического центра Perimetrix Владимир Ульянов и главный аналитик компании InfoWatch Николай Федотов. Во врезках к описанию этого заочного круглого стола читатель найдёт итоги опроса читателей PC Week/RE “Кто должен отвечать за утечку персональных данных?”, проведённого редакцией в августе 2008 г.
География участников нашего опроса оказалась исключительно широка При этом общее количество ответов не намного превысило количество городов, из которых эти ответы пришли. Однопроцентный барьер перешагнула лишь Москва. В ней, судя по анкетам, проживает 8% откликнувшихся. Велик и “профессиональный разброс” респондентов: от простых программистов, инженеров и индивидуальных предпринимателей до генеральных директоров и их заместителей по различным вопросам (включая информационную безопасность). Большинство их работают в коммерческих структурах или государственных организациях, связанных с обслуживанием физических или юридических лиц. И лишь один респондент представился как “помощник депутата”. Поэтому создалось впечатление, что вопросы о том, кто и в какой степени должен отвечать за утечку персональных данных, волнуют в основном “народ”, а не представителей законодательной и исполнительной власти. Что, конечно, весьма печально и может быть описано фразой: “Верхи не хотят жить по-новому, а низы уже не могут жить по-старому”. Сразу заметим, что мнения читателей и опрошенных нами экспертов совпадают далеко не всегда. Впрочем, в данном случае и мнения экспертов зачастую весьма различны.
Прецеденты
Однако ближе к делу. Статья 24 закона № 152-ФЗ гласит: “Лица, виновные в нарушении требований настоящего федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность”. Но были ли в правоприменительной практике РФ случаи, чтобы операторы персональных данных привлекались бы к гражданской или уголовной ответственности за несоблюдение тех или иных положений Закона о персональных данных?
“Лично я о таких случаях пока не слышал, — говорит Алексей Сабанов. — Мера наказания всегда напрямую зависит от масштабов ущерба, но публично о понесённых потерях вследствие утечки ПД, насколько мне известно, до настоящего времени никто из отечественных операторов не заявлял. Однако это отнюдь не означает, что ситуация столь безоблачна”.
Впрочем, Николай Федотов в этом не видит ничего удивительного: “Пока рано говорить о правоприменительной практике. Закон ещё не начал действовать в полной мере. К настоящему времени правоохранительные органы не имеют ни методик, ни руководящих указаний, ни прецедентов. Думаю, если ответственность за нарушения в области ПД вообще будет применяться в нашей стране, то начнётся это в 2010—2011 году, не раньше”. С ним согласен и Сергей Вихорев: “Согласно ст. 25.3 этого закона информационные системы персональных данных, созданные до дня его вступления в силу, должны быть приведены в соответствие с требованиями закона не позднее 01.01.2010 г., а согласно ст. 25.4 операторы персональных данных обязаны направить в уполномоченный орган по защите прав субъектов ПД соответствующее уведомление не позднее 01.01.2008 г. Так что законодатель дал время “на раскачку”, и сейчас только отрабатываются механизмы репрессивного воздействия на нарушителей, хотя основы этого механизма уже заложены и в Кодекс РФ по административным нарущениям (КоАП РФ), и в Уголовный кодекс (УК РФ)”.
Несколько иначе оценивает ситуацию Игорь Лукашов: “На самом деле имеющиеся нормы права уже сейчас позволяют привлекать к ответственности виновников утечек ПД. Ведь эти утечки не происходят сами по себе. Они неизбежно сопровождаются другими нарушениями, и, повторюсь, проблема заключается не в отсутствии специального закона, а в нежелании и неумении использовать то, что уже имеется в наличии. Можно назвать по меньшей мере семь федеральных ведомств, которые в рамках действующего законодательства отвечают за соблюдение прав субъектов персональных данных. Это Россвязьохранкультура, Минкомсвязи, ФСБ, ФСТЭК, МВД, Генеральная прокуратура и Следственный комитет. Нельзя сказать, что данные организации бездействуют: принимаются постановления правительства, нацеленные на практическую реализацию закона О персональных данных, вышли ведомственные документы Россвязьохранкультуры и ФСТЭК. Но раз обсуждается тема специального закона об ответственности за утечку ПД, этих усилий, видимо, еще недостаточно. Беда в том, что отсутствует системный подход и, выражаясь военным языком, единоначалие. Кто же должен отвечать за судьбу и защиту персональных данных в целом, а не по кусочкам? На мой взгляд, это должен быть уполномоченный по правам человека, ведь “субъект персональных данных”, если перевести данное выражение на обычный язык, и есть человек”.
Гласность и ответственность
Как мы уже отмечали, согласно закону “О персональных данных” в нашей стране должен быть “уполномоченный орган по защите прав субъектов персональных данных”, который отвечает за ведение реестра операторов ПД. По словам Сергея Вихорева, первоначально функции такого уполномоченного органа были возложены на Россвязьохранкультуру, которая своим приказом № 3 от 11.01.2008 г. определила форму уведомления о намерении обрабатывать персональные данные. Но в мае нынешнего года Дмитрий Медведев подписал указ о передаче этих функций вновь созданной структуре Россвязькомнадзор. Именно она в настоящее время отвечает за реестр операторов ПД, который ведется по административно-территориальным образованиям и очень обширен. Судя по информации, представленной на специально созданном сайте http://pd.rsoc.ru, к середине сентября в отечественном “Реестре операторов персональных данных” было уже более 16 тыс. записей. Списка операторов ПД там нет, но возможен их поиск по названию организации. Иными словами, с помощью этого сайта можно узнать, причислена ли та или иная организация (если, конечно, вы знаете её точное наименование) к лику операторов ПД или не причислена. Не очень-то всё это информативно, но, как говорится, и на том спасибо.
В условиях такого информационного “полумрака” неизбежно возникает вопрос: подпадают ли под статьи Закона о персональных данных и связанных с ним подзаконных актов предприятия и учреждения, отсутствующие в реестре операторов ПД?
“Закон один для всех, — подчёркивает Алексей Сабанов. — Незнание закона не освобождает от ответственности. Заявительный характер процедуры занесения в реестр, конечно, предполагает некоторую свободу для нечестных манёвров: ты можешь не заявлять о себе, но это не значит, что в твоей информационной системе не обрабатываются персональные данные. Однако согласно закону любая компания, которая получает, передаёт, хранит, обрабатывает персональные данные, является оператором ПД и, следовательно, обладает как всеми правами, так и всеми обязанностями такого оператора”.
Но есть и исключения. “Часть 2 статьи 22 закона № 152-ФЗ описывает восемь случаев, когда уведомление уполномоченного органа (и соответственно включение его в реестр) не требуется, — отмечает Николай Федотов. — Работа некоторых предприятий специально выведена из-под этого закона, сюда относятся, например, почта и операторы электросвязи, архивный фонд РФ, правоохранительные органы. Предусмотрены и некоторые другие послабления для государственных органов. Чиновники не любят сами себя обременять дополнительными обязанностями”.
Интересно отметить, что в законе ничего не говорится об ответственности операторов ПД за утечку персональных данных, возникшую в результате злого умысла или по причине халатности персонала. Поэтому многих волнует вопрос: “Существуют ли законодательные акты, устанавливающие такую ответственность”?
“Да, существуют, — говорит Николай Федотов. — Такая ответственность установлена. Но не в ФЗ “О персональных данных”, а в “Кодексе об административных правонарушениях” (ст. 13.11). Правда, ответственность наступает не из-за утечки, а за нарушение установленного порядка обработки ПД. Всякому понятно, что не любое нарушение установленного порядка ведёт к утечке. И не каждая утечка происходит из-за такого нарушения ”. При этом, отмечает Алексей Сабанов, никакого разграничения ответственности по причине утечки (злой умысел или халатность) на данный момент закон не предусматривает.
В западных странах ответственность наступает не за утечку персональных данных, а за нарушение прав граждан вследствие такой утечки.
Между тем Сергей Вихорев не уверен, что законодательные акты, устанавливающие ответственность за утечку ПД, вообще нужны. “Законы писать надо тогда, когда без них уже никак нельзя. Утечка персональных данных по халатности, превышению полномочий или по какой другой аналогичной причине должна оцениваться не только как факт собственно нарушения режима обработки персональных данных, но и как неправомочное деяние, предусмотренное одной из статей УК РФ. Мне эта ситуация напоминает дискуссию конца 90-х годов, когда правоведы рассматривали вопрос о том, как правильно квалифицировать извлечение хакерскими методами информации из их информационной системы: как кражу со взломом (ст. 158 УК РФ) и с отягощающими последствиями или как мошенничество (ст. 159 УК РФ). Мне кажется, это дело следственных органов и судей. Наша задача научить их правильно квалифицировать противоправные действия”.
Зарубежный опыт
Бытует мнение, что в США и некоторых других информационно-развитых странах уже давно принят некий закон об ответственности за утечку персональных данных (дело не в названии, а в сути). Почему же у нас ещё нет такого закона?
“В данном случае важно понимать причинно-следственные связи, — утверждает Алексей Сабанов. — Обладателем большинства самых обширных баз данных является государство. Понятно, что такие БД необходимо защищать. До недавнего времени ответ на вопрос “как именно?” повисал в воздухе. Только сейчас ФСТЭК выпустила свой четырёхтомник, а ФСБ завершила работу над документами с методическими указаниями. Данные материалы рассылаются лицензиатам, причем каналы распространения ФСТЭК и ФСБ никак не пересекаются: каждый рассылает по своим. Отчасти в этих материалах даются ответы на многие вопросы, без которых базовые основы системы защиты государственных БД ранее оставались весьма туманными. Так, описываются меры, необходимые к принятию для обеспечения должного уровня информационной безопасности, условия, процедуры. Разумеется, на всё это нужны средства, а о госбюджете на обеспечение защиты ПД я пока не слышал. Процессуальная, правовая и техническая неготовность государства объясняется отсутствием единого мощного института, который занимался бы исключительно вопросами, связанными с персональными данными граждан и их защитой. Нам нужно, условно говоря, своё агентство национальной безопасности, как в США. А у нас проблемой data privacy системно не занимается никто, вся научная, правовая и организационная работа по защите ПД организована “лоскутно-кусочным” методом”.
Похожую позицию занимает Владимир Ульянов: “Вероятно, за разработку документа об ответственности никто попросту не хочет браться. Мало кто ясно представляет, какой эта ответственность вообще должна быть. Впрочем, помочь тут может опыт зарубежных коллег. Отсрочка работы над законом об ответственности за компрометацию персональных данных крайне негативно отражается на ФЗ “О персональных данных”, который банально не работает. Объяснить причину такого положения сложно”.
Иного мнения придерживается Николай Федотов: “Мне такой зарубежный закон не известен. В так называемых “некоторых” странах ответственность наступает не за утечку персональных данных, а за нарушение прав граждан вследствие такой утечки. И дело, как правило, разрешается в порядке гражданского производства. В России подобная возможность тоже имеется: любое нарушенное право человек может защитить в гражданском порядке (ст.11 ГК РФ). На мой взгляд, в нашей стране специальный закон об ответственности за утечку ПД не нужен, поскольку на сегодняшний день отсутствует общественная опасность таких утечек. Персональные данные российских граждан пока невозможно использовать для мошенничества или иного извлечения дохода. Как следствие злоумышленники ими особо и не интересуются. Таким образом, утечки ПД вряд ли причинят какой-либо вред, кроме морального. И, конечно, не приходится говорить о массовых убытках. Следовательно, пока нет необходимости переносить эти отношения в область публичного права. Вполне достаточно частного”.
С ним соглашается Сергей Вихорев: “Целесообразнее идти по пути внесения дополнений и изменений в действующий УК РФ. Это правильнее и в конце концов прагматичнее”.
Как видим, у наших экспертов нет единого мнения о том, нужен ли России специальный закон об ответственности за утечку данных. Но если такой закон нужен, то кто должен инициировать его обсуждение и принятие?
“Это дело общественных организаций, ассоциаций, альянсов, именно они должны отстаивать права и свободы граждан государства и подвигать власть к тому, чтоб эти права и свободы защищались, — говорит Алексей Сабанов. — Такая роль должна принадлежать независимой третьей стороне, которая а) выступит с инициативой по созданию вышеупомянутого института; б) добьётся его создания и с) инициирует от имени этого института принятие необходимых дополнительных законов, подзаконных актов, указов, поправок, словом, совершит ряд действий, чтобы обозначить правила игры и создать здоровую среду для работы Закона о персональных данных”.
А вот мнение Владимира Ульянова: “Закон об ответственности за утечку ПД должен быть непосредственным спутником ФЗ “О персональных данных”. Таким образом, разработкой законопроекта должен заниматься тот же орган, что несёт ответственность за исполнение ФЗ № 152”.
О том, кто должен инициировать обсуждение и принятие закона об ответственности за утечку персональных данных, мы спрашивали и участников нашего онлайн-опроса. Ответы на него (в порядке убывания голосов) распределились следующим образом: Госдума (30,85%), Президент РФ (18,05%), Председатель Правительства РФ (15,40%), правоохранительные органы (13,55%), некоммерческие общественные организации (10,15%), “иные ответы” (12%). В данном случае из “иных ответов”, то есть тех, что не “запрограммированы” инициаторами опроса, нам больше всего понравился такой: “Всё равно, кто инициирует. Важнее “консенсус” в обществе — надо, чтобы все этого захотели, а уж кто со знаменем из окопа выскочит, не так важно”.
Очень много (21,38%) “иных ответов” вызвал также вопрос “Почему в некоторых странах есть закон об ответственности за утечку персональных данных, а у нас нет?”. Эти ответы можно разделить на две основные примерно равные (по количеству высказываний) категории. Одна группа респондентов во всём винит “верхи” (“Власть любит заниматься не правами граждан, а их обязанностями”; “В таком законе не заинтересована ни одна организация, ни государство, поэтому ничего и не будет”; “Несовершенство законодательства в целом и области ИТ в частности”; “В нашей стране на первом месте стоит государство — люди ничто, когда же мы поймем, что во главе угла находится человек, то и не заметим, как соответствующие законы появятся” и т. д.). Вторая группа корень зла видит в пассивности основной массы рядовых граждан (“Невысокий общий уровень социального сознания, особенно в области защиты прав личности”; “Слишком низкий уровень правосознания общества” и т. д.). Особняком стоят немногочисленные “иные ответы” типа “В России отсутствовали серьезные прецеденты”. В то же время некоторые респонденты отмечают, что соответствующие законы у нас тоже есть (“Ст. 90 в Трудовом кодексе и ст. 13.11 в Административном кодексе”; “КоАП (глава 13), УК (ст. 272)”.
Но ещё больше “иных ответов” (23,10%) вызвал вопрос “Кто должен отвечать за утечку персональных данных?”. Вот лишь некоторые из особых мнений: “Все сразу, каждый в меру своей личной ответственности, ведь утечка обычно не происходит по вине только одного лица”. “Организация в целом, иначе всегда найдётся стрелочник”; “Лицо, ставшее причиной того, что организация располагает “утекшими” данными, т. е. лицо, принявшее решение собирать данные и решившее, какие именно данные следует собирать”. В каждом из этих и других “иных ответов” есть доля истины, но практика показывает, что если должны отвечать все, то обычно не отвечает никто.
Молчание ягнят
Игорь Лукашов раскрывает некоторые философские аспекты проблемы “Быть или не быть в нашей стране закону об ответственности за утечку персональных данных?”. Он говорит: “Будем откровенны — тема защиты прав субъектов персональных данных интересует незначительную часть этих самых субъектов: квалифицированных пользователей, профессиональную ИТ-прессу, административно-управленческий аппарат, производителей и (в меньшей степени) поставщиков ИТ-систем, провайдеров телекоммуникационных услуг и т. п. Абсолютное большинство тех, кого напрямую касается закон “О персональных данных” (а он по сути затрагивает интересы всего взрослого населения страны), остаются в блаженном неведении и потому — в бездействии. Можно сколь угодно долго обсуждать, какому ведомству следует инициировать принятие закона об ответственности за утечку ПД, кто из должностных лиц организации должен отвечать за такую утечку и нужно ли об этой утечке публично оповещать. Но даже если такой закон будет принят, он рискует разделить судьбу множества других неработающих нормативных актов — до тех пор, пока “субъекты персональных данных” не заставят чиновников применять правовые нормы на практике. Есть ли надежда на активизацию массового общественного мнения? Есть. Стоило людям проникнуться законом “О защите прав потребителей”, и мало кому известный Роспотребнадзор превратился чуть ли не в силовую структуру, до недавнего времени “строившую” даже банки. Что может всколыхнуть общественное мнение? Есть два варианта ответа. Первый: просвещение и образование принесут свои плоды, и в этом плане опрос PC Week/RE — хорошая, правильная идея. И второй вариант (менее оптимистичный, но, увы, более вероятный): закон об ответственности за утечку персональных данных появится и заработает только тогда, когда подобная утечка затронет либо кого-то из власть предержащих, либо проявится в массовом масштабе и выйдет за все мыслимые рамки приличия. Почему второй вариант более реален? Да потому, что в этом убеждает вся наша история. Зададимся вопросом: конфиденциальность каких данных важнее для обычного человека — государственной тайны, коммерческой тайны или ПД? А в каком порядке были приняты законы, специально посвященные этим видам тайн? В совершенно обратном — закон “О государственной тайне” (1993), “О коммерческой тайне” (2004), “О персональных данных” (2006). Можно, конечно, сокрушаться по поводу нерасторопности депутатов или системы приоритетов их законотворческой деятельности. Но кто выбирает самих депутатов?”
Однако вернёмся с философских небес на прагматичную землю и рассмотрим ещё некоторые исторически сложившиеся реалии. Согласно статье 19.2 закона о ПД “…Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”. А кто должен устанавливать степень ответственности за утечку данных из информационных систем ПД?
“Законодательная власть, — считает Алексей Сабанов. — Но при этом правила игры должны быть определены институтом, занимающимся всем кругом вопросов, которые связаны с персональными данными”. А вот мнение Сергея Вихорева: “Степень ответственности должен устанавливать суд и только суд”. Интересен взгляд Владимира Ульянова: “Степень ответственности за утечку персональных данных должен устанавливать орган, ответственный за исполнение самого закона. Потому что ответственность должна быть не только и даже не столько карающим фактором, сколько мотивирующим”. С этим утверждением трудно не согласиться.
Отчёт перед субъектами ПД
Согласно итогам нашего опроса среди респондентов не было единодушия в вопросе: “Должна ли коммерческая компания (или госучреждение) публично объявлять об утечках персональных данных из своих информационных систем?”. Как нет его и среди экспертов.
Владимир Ульянов говорит: “Обязательно должна. Подобная мера исключительно хороша в качестве дисциплинирующего и мотивирующего фактора. Лучшие зарубежные практики показывают, что уведомления об утечках заставляют компании внимательнее относиться к защите персональных данных. Да, публично признаться в утечке означает серьёзно подорвать свою репутацию. Данное утверждение особенно актуально для компаний финансовой сферы, а также для рынков с хорошей конкуренцией. И именно поэтому организации не стремятся сообщать о случившихся инцидентах. В условиях же, когда рапортовать об утечке надо будет обязательно, у компаний не останется другого способа сохранить свою репутацию, кроме как не допускать утечек. Более того, если компания всерьез займется защитой персональных данных, наверняка будет повышена и безопасность всех информационных ресурсов в целом. Что может быть чрезвычайно полезно для бизнеса”.
С ним не согласен Николай Федотов. Он говорит: “Публично — не должна. Мне не удаётся придумать ситуацию, когда публичное объявление об утечке принесло бы пользу. Другое дело, что для некоторых утечек (подчёркиваю — некоторых) было бы полезно уведомлять субъектов персональных данных, чтобы они могли принять защитные меры против мошенничества. Именно такая обязанность введена местными законами в большинстве штатов США; аналогичный законопроект рассматривается в Великобритании. Массовое уведомление субъектов ПД на практике приводит к публикации факта утечки в прессе, но это лишь следствие, а не обязанность. Для других типов утечек даже уведомление потенциальных потерпевших противопоказано. Например, в тех случаях, когда меры противодействия и меры по нейтрализации последствий утечки не находятся в компетенции субъекта ПД”.
Более осторожен в своих высказываниях Алексей Сабанов: “На этот вопрос сложно ответить однозначно. Согласно законодательству, если субъект ПД собственноручной подписью разрешает использовать свои персональные данные оператору, то далее вопрос о том, как ими распорядиться, полностью лежит на совести этого оператора. И здесь уже ничего не попишешь. Фактически нигде не прописано, что компания, допустившая утечку ПД, обязана публично об этом заявить. Однако мы считаем, что честная компания должна оставаться честной даже в такой критической ситуации. Иначе ни о каком доверии не может быть и речи ”.
Аналогичной позиции придерживается Сергей Вихорев: “С точки зрения обладателя персональных данных (то есть с точки зрения обывателя) такую информацию надо немедленно и в полном объеме объявлять. С точки зрения самого оператора — нет. И тому много причин, в том числе такая, что объявление об утечке спровоцирует активизацию хакеров и приведет к ещё худшим последствиям. Думаю, что в каждом конкретном случае к этой теме надо подходить индивидуально”.
А вот при ответе на вопрос: “Должна ли коммерческая компания (или госучреждение) объявлять об утечках персональных данных тем лицам, чьи данные утекли?” — наши эксперты были практически единодушны: “Безусловно и безоговорочно — да!” (Сергей Вихорев); “Непременно должна. Это делается во всех цивилизованных странах. Однако даже когда есть довольно много прецедентов, понятно, что далеко не все они доходят до СМИ” (Алексей Сабанов); “Обязательно должна. Уведомление об утечке ПД — это не пустая формальность, а первейшая и самая необходимая помощь потенциальным жертвам. Соглашусь с мнением, что сегодня проблема кражи личных данных не стоит в России слишком остро. Но распространение потребительского кредитования и ведение всевозможных электронных реестров наверняка будет способствовать эскалации проблемы. В России уже известны случаи, когда преступники брали кредиты, используя чужие персональные данные. Кроме того, если отталкиваться от опыта развитых западных стран, прошедших по данному пути чуть раньше России, то можно ожидать, что подобного рода мошенничества станет больше” (Владимир Ульянов).
Международное право
В Законе о персональных данных есть интересный пункт. Он имеет номер 4.4 и гласит: “Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора”. Но существуют ли международные договоры, касающиеся прав субъектов персональных данных, которые обязана соблюдать Россия?
“Да, существуют, — отмечает Николай Федотов. — Это “Конвенция о защите физических лиц при автоматизированной обработке персональных данных” 1981 г. (с изменениями от 1999-го). Но требования данной конвенции значительно более мягкие и менее конкретные, чем в ФЗ “О персональных данных”. Поэтому применять её положения напрямую затруднительно”.
“В Государственной думе в начале этого года рассматривался предложенный российским правительством законопроект “«О внесении изменений в некоторые законодательные акты РФ в связи с принятием федерального закона “О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и закона “О персональных данных»”, — добавляет Сергей Вихорев. — Предлагаемые изменения предусматривают реализацию следующих принципов: обязательное согласие субъекта персональных данных на предоставление или обработку ПД; установление повышенных мер охраны и защиты особых категорий ПД; право доступа субъекта ПД к персональных данным о себе по запросу; право субъекта персональных данных на возражение против их обработки; регистрация ИС персональных данных; возможность обжалования действий оператора информационной системы персональных данных в уполномоченный орган по защите ПД”.
Моральный ущерб
Однако в практическом плане более интересны и понятны местные порядки. В пункте 17.2 Закона о персональных данных говорится: “Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке”. C возмещением прямых убытков всё более или менее ясно. Но по какому принципу в данном случае производится компенсация за моральный ущерб?
“Чётких норм и критериев оценки, по которым рассчитывается сумма морального ущерба, нет, — говорит Алексей Сабанов. — О практике ведения таких дел с позиции закона “О персональных данных” слышать не доводилось. Наиболее разумным представляется подробное, детализированное слушание по каждому делу с фиксацией последствий, в основе которых лежит утечка персональных данных. Есть и некоторые исходные позиции, например, статус пострадавшего: предположим, актриса по разным причинам имеет моральное право скрывать свой возраст или число пластических операций. Понятно, что если подобная информация станет предметом всеобщего достояния, это может самым негативным образом отразиться на её карьере, здоровье, а возможно, и жизни”.
“Оценка проводится по принципам гражданского права, — отмечает Николай Федотов. — Упрощённо говоря, истец представляет суду свои требования по компенсации морального вреда и их обоснования. Суд их рассматривает и определяет размер компенсации (ст. 151 ГК РФ). Кстати, субъект персональных данных имел бы право на компенсацию морального вреда, даже если бы об этом и не говорилось в законе напрямую“.
“Принципы оценки компенсации за моральный ущерб известны и применяются на практике судебными органами при оценке морального ущерба в любых других ситуациях, — добавляет Сергей Вихорев. — Не вижу препятствий, чтобы данные принципы применить и к проблеме персональных данных”.
Владимир Ульянов резюмирует: “К сожалению, моральный вред — субстанция крайне неопределенная. И на данный момент определять её каким-либо иным путем, кроме судебного, не представляется возможным. Как мне думается, в каждом конкретном случае именно судьи должны определять размер материальной компенсации за нематериальный ущерб. То есть накладывать штрафы исходя из обстоятельств и последствий (возможных или случившихся) конкретной утечки. Разумеется, моральный вред для различных граждан из одной скомпрометированной базы данных существенно различается, но на первых порах можно ограничиться усредненным ущербом для одного человека. Одно только это обстоятельство заставит компании охранять персональные данные более бдительно”.
Резюме
На этой позитивной ноте мы заканчиваем “затравочное” обсуждение вопроса, который так или иначе касается всех нас. Надеемся, что в итоге состоявшегося разговора “субъекты ПД” (то есть практически все физические лица страны) станут более активно отстаивать свои права, а “операторы ПД” (которых только в соответствующем официальном реестре уже насчитывается около 15 тыс.) станут несколько ответственнее относиться к тем сведениям, которые хранятся в их базах данных.
http://www.pcweek.ru/themes/detail.php?ID=113918
— Какая структура правительства контролирует исполнение закона “О персональных данных”?
— А что такое персональные данные?
Эпиграф к этой статье взят из личного опыта менеджера по маркетингу BioLink Solutions Игоря Лукашова. Ответ сall-центра весьма характерен и наводит на мысль, что деятельность такого рода подразделений надо оценивать не по общему количеству ответов на вопросы (в том числе в единицу времени), а по количеству ответов по существу. Но это тема отдельного разговора. Сегодня же речь пойдёт о другом.
Нынешним летом исполнилось два года со дня подписания В. В. Путиным закона Российской Федерации № 152-ФЗ “О персональных данных” (www.rg.ru/2006/07/29/personaljnye-dannye-dok.html). Этим законом определяются такие важные понятия, как “персональные данные” (ПД), “субъект ПД”, “оператор ПД”, “реестр операторов ПД”, который должен вести “уполномоченный орган по защите прав субъектов персональных данных” и так далее. Своими мнениями о том, как работает этот закон и в каких усовершенствованиях он нуждается, кроме уже упомянутого Игоря Лукашова с нами поделились директор аналитического департамента ОАО “Элвис-Плюс” Сергей Вихорев, генеральный директор компании Aladdin Software Security R.D. Алексей Сабанов, руководитель аналитического центра Perimetrix Владимир Ульянов и главный аналитик компании InfoWatch Николай Федотов. Во врезках к описанию этого заочного круглого стола читатель найдёт итоги опроса читателей PC Week/RE “Кто должен отвечать за утечку персональных данных?”, проведённого редакцией в августе 2008 г.
География участников нашего опроса оказалась исключительно широка При этом общее количество ответов не намного превысило количество городов, из которых эти ответы пришли. Однопроцентный барьер перешагнула лишь Москва. В ней, судя по анкетам, проживает 8% откликнувшихся. Велик и “профессиональный разброс” респондентов: от простых программистов, инженеров и индивидуальных предпринимателей до генеральных директоров и их заместителей по различным вопросам (включая информационную безопасность). Большинство их работают в коммерческих структурах или государственных организациях, связанных с обслуживанием физических или юридических лиц. И лишь один респондент представился как “помощник депутата”. Поэтому создалось впечатление, что вопросы о том, кто и в какой степени должен отвечать за утечку персональных данных, волнуют в основном “народ”, а не представителей законодательной и исполнительной власти. Что, конечно, весьма печально и может быть описано фразой: “Верхи не хотят жить по-новому, а низы уже не могут жить по-старому”. Сразу заметим, что мнения читателей и опрошенных нами экспертов совпадают далеко не всегда. Впрочем, в данном случае и мнения экспертов зачастую весьма различны.
Прецеденты
Однако ближе к делу. Статья 24 закона № 152-ФЗ гласит: “Лица, виновные в нарушении требований настоящего федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность”. Но были ли в правоприменительной практике РФ случаи, чтобы операторы персональных данных привлекались бы к гражданской или уголовной ответственности за несоблюдение тех или иных положений Закона о персональных данных?
“Лично я о таких случаях пока не слышал, — говорит Алексей Сабанов. — Мера наказания всегда напрямую зависит от масштабов ущерба, но публично о понесённых потерях вследствие утечки ПД, насколько мне известно, до настоящего времени никто из отечественных операторов не заявлял. Однако это отнюдь не означает, что ситуация столь безоблачна”.
Впрочем, Николай Федотов в этом не видит ничего удивительного: “Пока рано говорить о правоприменительной практике. Закон ещё не начал действовать в полной мере. К настоящему времени правоохранительные органы не имеют ни методик, ни руководящих указаний, ни прецедентов. Думаю, если ответственность за нарушения в области ПД вообще будет применяться в нашей стране, то начнётся это в 2010—2011 году, не раньше”. С ним согласен и Сергей Вихорев: “Согласно ст. 25.3 этого закона информационные системы персональных данных, созданные до дня его вступления в силу, должны быть приведены в соответствие с требованиями закона не позднее 01.01.2010 г., а согласно ст. 25.4 операторы персональных данных обязаны направить в уполномоченный орган по защите прав субъектов ПД соответствующее уведомление не позднее 01.01.2008 г. Так что законодатель дал время “на раскачку”, и сейчас только отрабатываются механизмы репрессивного воздействия на нарушителей, хотя основы этого механизма уже заложены и в Кодекс РФ по административным нарущениям (КоАП РФ), и в Уголовный кодекс (УК РФ)”.
Несколько иначе оценивает ситуацию Игорь Лукашов: “На самом деле имеющиеся нормы права уже сейчас позволяют привлекать к ответственности виновников утечек ПД. Ведь эти утечки не происходят сами по себе. Они неизбежно сопровождаются другими нарушениями, и, повторюсь, проблема заключается не в отсутствии специального закона, а в нежелании и неумении использовать то, что уже имеется в наличии. Можно назвать по меньшей мере семь федеральных ведомств, которые в рамках действующего законодательства отвечают за соблюдение прав субъектов персональных данных. Это Россвязьохранкультура, Минкомсвязи, ФСБ, ФСТЭК, МВД, Генеральная прокуратура и Следственный комитет. Нельзя сказать, что данные организации бездействуют: принимаются постановления правительства, нацеленные на практическую реализацию закона О персональных данных, вышли ведомственные документы Россвязьохранкультуры и ФСТЭК. Но раз обсуждается тема специального закона об ответственности за утечку ПД, этих усилий, видимо, еще недостаточно. Беда в том, что отсутствует системный подход и, выражаясь военным языком, единоначалие. Кто же должен отвечать за судьбу и защиту персональных данных в целом, а не по кусочкам? На мой взгляд, это должен быть уполномоченный по правам человека, ведь “субъект персональных данных”, если перевести данное выражение на обычный язык, и есть человек”.
Гласность и ответственность
Как мы уже отмечали, согласно закону “О персональных данных” в нашей стране должен быть “уполномоченный орган по защите прав субъектов персональных данных”, который отвечает за ведение реестра операторов ПД. По словам Сергея Вихорева, первоначально функции такого уполномоченного органа были возложены на Россвязьохранкультуру, которая своим приказом № 3 от 11.01.2008 г. определила форму уведомления о намерении обрабатывать персональные данные. Но в мае нынешнего года Дмитрий Медведев подписал указ о передаче этих функций вновь созданной структуре Россвязькомнадзор. Именно она в настоящее время отвечает за реестр операторов ПД, который ведется по административно-территориальным образованиям и очень обширен. Судя по информации, представленной на специально созданном сайте http://pd.rsoc.ru, к середине сентября в отечественном “Реестре операторов персональных данных” было уже более 16 тыс. записей. Списка операторов ПД там нет, но возможен их поиск по названию организации. Иными словами, с помощью этого сайта можно узнать, причислена ли та или иная организация (если, конечно, вы знаете её точное наименование) к лику операторов ПД или не причислена. Не очень-то всё это информативно, но, как говорится, и на том спасибо.
В условиях такого информационного “полумрака” неизбежно возникает вопрос: подпадают ли под статьи Закона о персональных данных и связанных с ним подзаконных актов предприятия и учреждения, отсутствующие в реестре операторов ПД?
“Закон один для всех, — подчёркивает Алексей Сабанов. — Незнание закона не освобождает от ответственности. Заявительный характер процедуры занесения в реестр, конечно, предполагает некоторую свободу для нечестных манёвров: ты можешь не заявлять о себе, но это не значит, что в твоей информационной системе не обрабатываются персональные данные. Однако согласно закону любая компания, которая получает, передаёт, хранит, обрабатывает персональные данные, является оператором ПД и, следовательно, обладает как всеми правами, так и всеми обязанностями такого оператора”.
Но есть и исключения. “Часть 2 статьи 22 закона № 152-ФЗ описывает восемь случаев, когда уведомление уполномоченного органа (и соответственно включение его в реестр) не требуется, — отмечает Николай Федотов. — Работа некоторых предприятий специально выведена из-под этого закона, сюда относятся, например, почта и операторы электросвязи, архивный фонд РФ, правоохранительные органы. Предусмотрены и некоторые другие послабления для государственных органов. Чиновники не любят сами себя обременять дополнительными обязанностями”.
Интересно отметить, что в законе ничего не говорится об ответственности операторов ПД за утечку персональных данных, возникшую в результате злого умысла или по причине халатности персонала. Поэтому многих волнует вопрос: “Существуют ли законодательные акты, устанавливающие такую ответственность”?
“Да, существуют, — говорит Николай Федотов. — Такая ответственность установлена. Но не в ФЗ “О персональных данных”, а в “Кодексе об административных правонарушениях” (ст. 13.11). Правда, ответственность наступает не из-за утечки, а за нарушение установленного порядка обработки ПД. Всякому понятно, что не любое нарушение установленного порядка ведёт к утечке. И не каждая утечка происходит из-за такого нарушения ”. При этом, отмечает Алексей Сабанов, никакого разграничения ответственности по причине утечки (злой умысел или халатность) на данный момент закон не предусматривает.
В западных странах ответственность наступает не за утечку персональных данных, а за нарушение прав граждан вследствие такой утечки.
Между тем Сергей Вихорев не уверен, что законодательные акты, устанавливающие ответственность за утечку ПД, вообще нужны. “Законы писать надо тогда, когда без них уже никак нельзя. Утечка персональных данных по халатности, превышению полномочий или по какой другой аналогичной причине должна оцениваться не только как факт собственно нарушения режима обработки персональных данных, но и как неправомочное деяние, предусмотренное одной из статей УК РФ. Мне эта ситуация напоминает дискуссию конца 90-х годов, когда правоведы рассматривали вопрос о том, как правильно квалифицировать извлечение хакерскими методами информации из их информационной системы: как кражу со взломом (ст. 158 УК РФ) и с отягощающими последствиями или как мошенничество (ст. 159 УК РФ). Мне кажется, это дело следственных органов и судей. Наша задача научить их правильно квалифицировать противоправные действия”.
Зарубежный опыт
Бытует мнение, что в США и некоторых других информационно-развитых странах уже давно принят некий закон об ответственности за утечку персональных данных (дело не в названии, а в сути). Почему же у нас ещё нет такого закона?
“В данном случае важно понимать причинно-следственные связи, — утверждает Алексей Сабанов. — Обладателем большинства самых обширных баз данных является государство. Понятно, что такие БД необходимо защищать. До недавнего времени ответ на вопрос “как именно?” повисал в воздухе. Только сейчас ФСТЭК выпустила свой четырёхтомник, а ФСБ завершила работу над документами с методическими указаниями. Данные материалы рассылаются лицензиатам, причем каналы распространения ФСТЭК и ФСБ никак не пересекаются: каждый рассылает по своим. Отчасти в этих материалах даются ответы на многие вопросы, без которых базовые основы системы защиты государственных БД ранее оставались весьма туманными. Так, описываются меры, необходимые к принятию для обеспечения должного уровня информационной безопасности, условия, процедуры. Разумеется, на всё это нужны средства, а о госбюджете на обеспечение защиты ПД я пока не слышал. Процессуальная, правовая и техническая неготовность государства объясняется отсутствием единого мощного института, который занимался бы исключительно вопросами, связанными с персональными данными граждан и их защитой. Нам нужно, условно говоря, своё агентство национальной безопасности, как в США. А у нас проблемой data privacy системно не занимается никто, вся научная, правовая и организационная работа по защите ПД организована “лоскутно-кусочным” методом”.
Похожую позицию занимает Владимир Ульянов: “Вероятно, за разработку документа об ответственности никто попросту не хочет браться. Мало кто ясно представляет, какой эта ответственность вообще должна быть. Впрочем, помочь тут может опыт зарубежных коллег. Отсрочка работы над законом об ответственности за компрометацию персональных данных крайне негативно отражается на ФЗ “О персональных данных”, который банально не работает. Объяснить причину такого положения сложно”.
Иного мнения придерживается Николай Федотов: “Мне такой зарубежный закон не известен. В так называемых “некоторых” странах ответственность наступает не за утечку персональных данных, а за нарушение прав граждан вследствие такой утечки. И дело, как правило, разрешается в порядке гражданского производства. В России подобная возможность тоже имеется: любое нарушенное право человек может защитить в гражданском порядке (ст.11 ГК РФ). На мой взгляд, в нашей стране специальный закон об ответственности за утечку ПД не нужен, поскольку на сегодняшний день отсутствует общественная опасность таких утечек. Персональные данные российских граждан пока невозможно использовать для мошенничества или иного извлечения дохода. Как следствие злоумышленники ими особо и не интересуются. Таким образом, утечки ПД вряд ли причинят какой-либо вред, кроме морального. И, конечно, не приходится говорить о массовых убытках. Следовательно, пока нет необходимости переносить эти отношения в область публичного права. Вполне достаточно частного”.
С ним соглашается Сергей Вихорев: “Целесообразнее идти по пути внесения дополнений и изменений в действующий УК РФ. Это правильнее и в конце концов прагматичнее”.
Как видим, у наших экспертов нет единого мнения о том, нужен ли России специальный закон об ответственности за утечку данных. Но если такой закон нужен, то кто должен инициировать его обсуждение и принятие?
“Это дело общественных организаций, ассоциаций, альянсов, именно они должны отстаивать права и свободы граждан государства и подвигать власть к тому, чтоб эти права и свободы защищались, — говорит Алексей Сабанов. — Такая роль должна принадлежать независимой третьей стороне, которая а) выступит с инициативой по созданию вышеупомянутого института; б) добьётся его создания и с) инициирует от имени этого института принятие необходимых дополнительных законов, подзаконных актов, указов, поправок, словом, совершит ряд действий, чтобы обозначить правила игры и создать здоровую среду для работы Закона о персональных данных”.
А вот мнение Владимира Ульянова: “Закон об ответственности за утечку ПД должен быть непосредственным спутником ФЗ “О персональных данных”. Таким образом, разработкой законопроекта должен заниматься тот же орган, что несёт ответственность за исполнение ФЗ № 152”.
О том, кто должен инициировать обсуждение и принятие закона об ответственности за утечку персональных данных, мы спрашивали и участников нашего онлайн-опроса. Ответы на него (в порядке убывания голосов) распределились следующим образом: Госдума (30,85%), Президент РФ (18,05%), Председатель Правительства РФ (15,40%), правоохранительные органы (13,55%), некоммерческие общественные организации (10,15%), “иные ответы” (12%). В данном случае из “иных ответов”, то есть тех, что не “запрограммированы” инициаторами опроса, нам больше всего понравился такой: “Всё равно, кто инициирует. Важнее “консенсус” в обществе — надо, чтобы все этого захотели, а уж кто со знаменем из окопа выскочит, не так важно”.
Очень много (21,38%) “иных ответов” вызвал также вопрос “Почему в некоторых странах есть закон об ответственности за утечку персональных данных, а у нас нет?”. Эти ответы можно разделить на две основные примерно равные (по количеству высказываний) категории. Одна группа респондентов во всём винит “верхи” (“Власть любит заниматься не правами граждан, а их обязанностями”; “В таком законе не заинтересована ни одна организация, ни государство, поэтому ничего и не будет”; “Несовершенство законодательства в целом и области ИТ в частности”; “В нашей стране на первом месте стоит государство — люди ничто, когда же мы поймем, что во главе угла находится человек, то и не заметим, как соответствующие законы появятся” и т. д.). Вторая группа корень зла видит в пассивности основной массы рядовых граждан (“Невысокий общий уровень социального сознания, особенно в области защиты прав личности”; “Слишком низкий уровень правосознания общества” и т. д.). Особняком стоят немногочисленные “иные ответы” типа “В России отсутствовали серьезные прецеденты”. В то же время некоторые респонденты отмечают, что соответствующие законы у нас тоже есть (“Ст. 90 в Трудовом кодексе и ст. 13.11 в Административном кодексе”; “КоАП (глава 13), УК (ст. 272)”.
Но ещё больше “иных ответов” (23,10%) вызвал вопрос “Кто должен отвечать за утечку персональных данных?”. Вот лишь некоторые из особых мнений: “Все сразу, каждый в меру своей личной ответственности, ведь утечка обычно не происходит по вине только одного лица”. “Организация в целом, иначе всегда найдётся стрелочник”; “Лицо, ставшее причиной того, что организация располагает “утекшими” данными, т. е. лицо, принявшее решение собирать данные и решившее, какие именно данные следует собирать”. В каждом из этих и других “иных ответов” есть доля истины, но практика показывает, что если должны отвечать все, то обычно не отвечает никто.
Молчание ягнят
Игорь Лукашов раскрывает некоторые философские аспекты проблемы “Быть или не быть в нашей стране закону об ответственности за утечку персональных данных?”. Он говорит: “Будем откровенны — тема защиты прав субъектов персональных данных интересует незначительную часть этих самых субъектов: квалифицированных пользователей, профессиональную ИТ-прессу, административно-управленческий аппарат, производителей и (в меньшей степени) поставщиков ИТ-систем, провайдеров телекоммуникационных услуг и т. п. Абсолютное большинство тех, кого напрямую касается закон “О персональных данных” (а он по сути затрагивает интересы всего взрослого населения страны), остаются в блаженном неведении и потому — в бездействии. Можно сколь угодно долго обсуждать, какому ведомству следует инициировать принятие закона об ответственности за утечку ПД, кто из должностных лиц организации должен отвечать за такую утечку и нужно ли об этой утечке публично оповещать. Но даже если такой закон будет принят, он рискует разделить судьбу множества других неработающих нормативных актов — до тех пор, пока “субъекты персональных данных” не заставят чиновников применять правовые нормы на практике. Есть ли надежда на активизацию массового общественного мнения? Есть. Стоило людям проникнуться законом “О защите прав потребителей”, и мало кому известный Роспотребнадзор превратился чуть ли не в силовую структуру, до недавнего времени “строившую” даже банки. Что может всколыхнуть общественное мнение? Есть два варианта ответа. Первый: просвещение и образование принесут свои плоды, и в этом плане опрос PC Week/RE — хорошая, правильная идея. И второй вариант (менее оптимистичный, но, увы, более вероятный): закон об ответственности за утечку персональных данных появится и заработает только тогда, когда подобная утечка затронет либо кого-то из власть предержащих, либо проявится в массовом масштабе и выйдет за все мыслимые рамки приличия. Почему второй вариант более реален? Да потому, что в этом убеждает вся наша история. Зададимся вопросом: конфиденциальность каких данных важнее для обычного человека — государственной тайны, коммерческой тайны или ПД? А в каком порядке были приняты законы, специально посвященные этим видам тайн? В совершенно обратном — закон “О государственной тайне” (1993), “О коммерческой тайне” (2004), “О персональных данных” (2006). Можно, конечно, сокрушаться по поводу нерасторопности депутатов или системы приоритетов их законотворческой деятельности. Но кто выбирает самих депутатов?”
Однако вернёмся с философских небес на прагматичную землю и рассмотрим ещё некоторые исторически сложившиеся реалии. Согласно статье 19.2 закона о ПД “…Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”. А кто должен устанавливать степень ответственности за утечку данных из информационных систем ПД?
“Законодательная власть, — считает Алексей Сабанов. — Но при этом правила игры должны быть определены институтом, занимающимся всем кругом вопросов, которые связаны с персональными данными”. А вот мнение Сергея Вихорева: “Степень ответственности должен устанавливать суд и только суд”. Интересен взгляд Владимира Ульянова: “Степень ответственности за утечку персональных данных должен устанавливать орган, ответственный за исполнение самого закона. Потому что ответственность должна быть не только и даже не столько карающим фактором, сколько мотивирующим”. С этим утверждением трудно не согласиться.
Отчёт перед субъектами ПД
Согласно итогам нашего опроса среди респондентов не было единодушия в вопросе: “Должна ли коммерческая компания (или госучреждение) публично объявлять об утечках персональных данных из своих информационных систем?”. Как нет его и среди экспертов.
Владимир Ульянов говорит: “Обязательно должна. Подобная мера исключительно хороша в качестве дисциплинирующего и мотивирующего фактора. Лучшие зарубежные практики показывают, что уведомления об утечках заставляют компании внимательнее относиться к защите персональных данных. Да, публично признаться в утечке означает серьёзно подорвать свою репутацию. Данное утверждение особенно актуально для компаний финансовой сферы, а также для рынков с хорошей конкуренцией. И именно поэтому организации не стремятся сообщать о случившихся инцидентах. В условиях же, когда рапортовать об утечке надо будет обязательно, у компаний не останется другого способа сохранить свою репутацию, кроме как не допускать утечек. Более того, если компания всерьез займется защитой персональных данных, наверняка будет повышена и безопасность всех информационных ресурсов в целом. Что может быть чрезвычайно полезно для бизнеса”.
С ним не согласен Николай Федотов. Он говорит: “Публично — не должна. Мне не удаётся придумать ситуацию, когда публичное объявление об утечке принесло бы пользу. Другое дело, что для некоторых утечек (подчёркиваю — некоторых) было бы полезно уведомлять субъектов персональных данных, чтобы они могли принять защитные меры против мошенничества. Именно такая обязанность введена местными законами в большинстве штатов США; аналогичный законопроект рассматривается в Великобритании. Массовое уведомление субъектов ПД на практике приводит к публикации факта утечки в прессе, но это лишь следствие, а не обязанность. Для других типов утечек даже уведомление потенциальных потерпевших противопоказано. Например, в тех случаях, когда меры противодействия и меры по нейтрализации последствий утечки не находятся в компетенции субъекта ПД”.
Более осторожен в своих высказываниях Алексей Сабанов: “На этот вопрос сложно ответить однозначно. Согласно законодательству, если субъект ПД собственноручной подписью разрешает использовать свои персональные данные оператору, то далее вопрос о том, как ими распорядиться, полностью лежит на совести этого оператора. И здесь уже ничего не попишешь. Фактически нигде не прописано, что компания, допустившая утечку ПД, обязана публично об этом заявить. Однако мы считаем, что честная компания должна оставаться честной даже в такой критической ситуации. Иначе ни о каком доверии не может быть и речи ”.
Аналогичной позиции придерживается Сергей Вихорев: “С точки зрения обладателя персональных данных (то есть с точки зрения обывателя) такую информацию надо немедленно и в полном объеме объявлять. С точки зрения самого оператора — нет. И тому много причин, в том числе такая, что объявление об утечке спровоцирует активизацию хакеров и приведет к ещё худшим последствиям. Думаю, что в каждом конкретном случае к этой теме надо подходить индивидуально”.
А вот при ответе на вопрос: “Должна ли коммерческая компания (или госучреждение) объявлять об утечках персональных данных тем лицам, чьи данные утекли?” — наши эксперты были практически единодушны: “Безусловно и безоговорочно — да!” (Сергей Вихорев); “Непременно должна. Это делается во всех цивилизованных странах. Однако даже когда есть довольно много прецедентов, понятно, что далеко не все они доходят до СМИ” (Алексей Сабанов); “Обязательно должна. Уведомление об утечке ПД — это не пустая формальность, а первейшая и самая необходимая помощь потенциальным жертвам. Соглашусь с мнением, что сегодня проблема кражи личных данных не стоит в России слишком остро. Но распространение потребительского кредитования и ведение всевозможных электронных реестров наверняка будет способствовать эскалации проблемы. В России уже известны случаи, когда преступники брали кредиты, используя чужие персональные данные. Кроме того, если отталкиваться от опыта развитых западных стран, прошедших по данному пути чуть раньше России, то можно ожидать, что подобного рода мошенничества станет больше” (Владимир Ульянов).
Международное право
В Законе о персональных данных есть интересный пункт. Он имеет номер 4.4 и гласит: “Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора”. Но существуют ли международные договоры, касающиеся прав субъектов персональных данных, которые обязана соблюдать Россия?
“Да, существуют, — отмечает Николай Федотов. — Это “Конвенция о защите физических лиц при автоматизированной обработке персональных данных” 1981 г. (с изменениями от 1999-го). Но требования данной конвенции значительно более мягкие и менее конкретные, чем в ФЗ “О персональных данных”. Поэтому применять её положения напрямую затруднительно”.
“В Государственной думе в начале этого года рассматривался предложенный российским правительством законопроект “«О внесении изменений в некоторые законодательные акты РФ в связи с принятием федерального закона “О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и закона “О персональных данных»”, — добавляет Сергей Вихорев. — Предлагаемые изменения предусматривают реализацию следующих принципов: обязательное согласие субъекта персональных данных на предоставление или обработку ПД; установление повышенных мер охраны и защиты особых категорий ПД; право доступа субъекта ПД к персональных данным о себе по запросу; право субъекта персональных данных на возражение против их обработки; регистрация ИС персональных данных; возможность обжалования действий оператора информационной системы персональных данных в уполномоченный орган по защите ПД”.
Моральный ущерб
Однако в практическом плане более интересны и понятны местные порядки. В пункте 17.2 Закона о персональных данных говорится: “Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке”. C возмещением прямых убытков всё более или менее ясно. Но по какому принципу в данном случае производится компенсация за моральный ущерб?
“Чётких норм и критериев оценки, по которым рассчитывается сумма морального ущерба, нет, — говорит Алексей Сабанов. — О практике ведения таких дел с позиции закона “О персональных данных” слышать не доводилось. Наиболее разумным представляется подробное, детализированное слушание по каждому делу с фиксацией последствий, в основе которых лежит утечка персональных данных. Есть и некоторые исходные позиции, например, статус пострадавшего: предположим, актриса по разным причинам имеет моральное право скрывать свой возраст или число пластических операций. Понятно, что если подобная информация станет предметом всеобщего достояния, это может самым негативным образом отразиться на её карьере, здоровье, а возможно, и жизни”.
“Оценка проводится по принципам гражданского права, — отмечает Николай Федотов. — Упрощённо говоря, истец представляет суду свои требования по компенсации морального вреда и их обоснования. Суд их рассматривает и определяет размер компенсации (ст. 151 ГК РФ). Кстати, субъект персональных данных имел бы право на компенсацию морального вреда, даже если бы об этом и не говорилось в законе напрямую“.
“Принципы оценки компенсации за моральный ущерб известны и применяются на практике судебными органами при оценке морального ущерба в любых других ситуациях, — добавляет Сергей Вихорев. — Не вижу препятствий, чтобы данные принципы применить и к проблеме персональных данных”.
Владимир Ульянов резюмирует: “К сожалению, моральный вред — субстанция крайне неопределенная. И на данный момент определять её каким-либо иным путем, кроме судебного, не представляется возможным. Как мне думается, в каждом конкретном случае именно судьи должны определять размер материальной компенсации за нематериальный ущерб. То есть накладывать штрафы исходя из обстоятельств и последствий (возможных или случившихся) конкретной утечки. Разумеется, моральный вред для различных граждан из одной скомпрометированной базы данных существенно различается, но на первых порах можно ограничиться усредненным ущербом для одного человека. Одно только это обстоятельство заставит компании охранять персональные данные более бдительно”.
Резюме
На этой позитивной ноте мы заканчиваем “затравочное” обсуждение вопроса, который так или иначе касается всех нас. Надеемся, что в итоге состоявшегося разговора “субъекты ПД” (то есть практически все физические лица страны) станут более активно отстаивать свои права, а “операторы ПД” (которых только в соответствующем официальном реестре уже насчитывается около 15 тыс.) станут несколько ответственнее относиться к тем сведениям, которые хранятся в их базах данных.
http://www.pcweek.ru/themes/detail.php?ID=113918
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
ФЗ "О персональных данных" от 27.07.06 г. N 152-ФЗ
Сообщение:#91 Связной (С) » Ср 24 сен, 2008 11:24 »
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#92 5611 » Чт 25 сен, 2008 08:54 »
Требовать от человека персональные данные не могут организации, которые не имеют возможности защитить подобную информацию.
Но даже если с защитой все в порядке, “сборщики” обязаны получить письменное разрешение от гражданина. Это предусмотрено соответствующим постановлением российского правительства.
Как сообщили “МК” в аппарате Белого дома, правительство утвердило порядок хранения досье с персональными данными граждан, собранными без использования средств автоматизации. То есть в тетрадке, журнале или на компьютере, не соединенном в общую сеть. И это касается в основном коммерческих организаций. Дело в том, что сегодня знать о человеке чуточку больше хотят не только в милиции, налоговых органах и банках, но даже в обычных магазинах и частных клиниках. Оформляя заказ или карту постоянного клиента, его просят сообщить фамилию, адрес места жительства, телефон, е-мэйл и т.д. Между тем всегда есть опасность, что эти данные могут попасть в чужие руки. В итоге о том, что вы покупаете, чем болеете, в состоянии узнать кто угодно.
Новый документ подробно рассказывает, как именно надо обрабатывать личную информацию о гражданах, чтобы этого не произошло. Согласно постановлению персональные данные надо отделять от других. Скажем, не писать на одном листе ФИО и телефон человека и тут же какую-нибудь постороннюю информацию. В документе, куда записывают данные, должно быть специальное место для подписи гражданина. Она будет свидетельствовать о том, что он согласен на сбор его персональных данных. При этом человек должен иметь возможность ознакомиться с документом, чтобы убедиться, что в нем нет ничего ложного, лишнего и компрометирующего. Процедура обработки данных должна быть такой, чтобы в любой момент можно было установить, кто, когда и зачем брал информацию из базы.
КСТАТИ
По закону каждый гражданин России имеет право не рассказывать о себе лишнего, даже если этого настойчиво требуют различные организации. Человек также вправе требовать, чтобы нежелательные сведения были удалены из баз данных, включая телефонные справочники
http://www.mk.ru/blogs/MK/2008/09/24/srochno/372561/
Но даже если с защитой все в порядке, “сборщики” обязаны получить письменное разрешение от гражданина. Это предусмотрено соответствующим постановлением российского правительства.
Как сообщили “МК” в аппарате Белого дома, правительство утвердило порядок хранения досье с персональными данными граждан, собранными без использования средств автоматизации. То есть в тетрадке, журнале или на компьютере, не соединенном в общую сеть. И это касается в основном коммерческих организаций. Дело в том, что сегодня знать о человеке чуточку больше хотят не только в милиции, налоговых органах и банках, но даже в обычных магазинах и частных клиниках. Оформляя заказ или карту постоянного клиента, его просят сообщить фамилию, адрес места жительства, телефон, е-мэйл и т.д. Между тем всегда есть опасность, что эти данные могут попасть в чужие руки. В итоге о том, что вы покупаете, чем болеете, в состоянии узнать кто угодно.
Новый документ подробно рассказывает, как именно надо обрабатывать личную информацию о гражданах, чтобы этого не произошло. Согласно постановлению персональные данные надо отделять от других. Скажем, не писать на одном листе ФИО и телефон человека и тут же какую-нибудь постороннюю информацию. В документе, куда записывают данные, должно быть специальное место для подписи гражданина. Она будет свидетельствовать о том, что он согласен на сбор его персональных данных. При этом человек должен иметь возможность ознакомиться с документом, чтобы убедиться, что в нем нет ничего ложного, лишнего и компрометирующего. Процедура обработки данных должна быть такой, чтобы в любой момент можно было установить, кто, когда и зачем брал информацию из базы.
КСТАТИ
По закону каждый гражданин России имеет право не рассказывать о себе лишнего, даже если этого настойчиво требуют различные организации. Человек также вправе требовать, чтобы нежелательные сведения были удалены из баз данных, включая телефонные справочники
http://www.mk.ru/blogs/MK/2008/09/24/srochno/372561/
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#93 5611 » Ср 29 окт, 2008 18:00 »
За неправомерный отказ в выдаче гражданину справки о месте жительства директор астраханского ЖЭКа привлечен к административной ответственности. Как сообщили корреспонденту ИА "Высота 102" в пресс-службе региональной прокуратуры, прокуратурой Советского района города Астрахани проведена проверка по обращению гражданина, которому муниципальное учреждение бюджетная некоммерческая организация «ЖЭК маневренного фонда» отказало в выдаче справки о месте жительства. В ходе проверки деятельности МУ БНО «ЖЭК маневренного фонда» выявлено нарушение законодательства о персональных данных. Установлено, что обратившийся в прокуратуру гражданин проживает в одном из общежитий маневренного фонда по адресу г. Астрахань ул. Ляхова д. 8. В связи с необходимостью обращения в органы социальной защиты заявителю потребовалась справка о месте жительства, которая выдается ЖЭКом. Однако в связи с наличием задолженности по оплате коммунальных услуг в выдаче такой справки ему было отказано. Статьей 24 Конституции РФ закреплено, что органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. В соответствии с п. 4 ст. 29 Конституции РФ каждый имеет право свободно искать, получать информацию любым законным способом. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами и муниципальными учреждениями с использованием средств автоматизации или без использования таких средств, регулируются Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных». Пунктами 2 и 3 статьи 14 указанного закона определено, что сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, доступ к своим персональным данным предоставляется субъекту персональных данных оператором при обращении либо при получении запроса субъекта персональных данных, или его законного представителя. Ограничения по доступу к персональным данным установлены п. 5 ст. 14 вышеназванного Федерального закона. В перечень таких ограничений не входит наличие задолженности перед третьими лицами у субъекта персональных данных, в связи с чем отказ в предоставлении справки с места жительства является незаконнымhttp://v102.ru/astrahan/7088.html
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#94 5611 » Ср 05 ноя, 2008 17:49 »
Управление Россвязькомнадзора по Республике Башкортостан провело внеплановую проверку соблюдения законодательства в области обработки персональных данных организациями ООО "Мэтр-Вояж", ООО "Алмаз", ООО "Региональный представитель". В результате проведенных рейдов были выявлены нарушения действующего законодательства в области защиты прав субъектов персональных данных.
Как сообщил агентству "Башинформ" начальник отдела Управления Россвязькомнадзора по РБ Ильдар Абдуллин, данные организации производили обработку персональных данных своих клиентов (сбор, хранение, использование, передачу и т. д.) без уведомления уполномоченного органа по защите прав субъектов персональных данных (в данном случае - Управления Россвязькомнадзора по Республике Башкортостан). Тем самым была нарушена статья 22 Федерального закона "О персональных данных".
Также данными организациями была несвоевременно представлена информация уполномоченному органу, необходимая для осуществления им деятельности.
По факту выявленных нарушений Управлением Россвязькомнадзора по РБ на руководителей этих организаций составлены три протокола по статье 19.7 Кодекса об административных правонарушениях. Протоколы направлены в судебные органы.
http://www.bashinform.ru/index.php?id=72368
Как сообщил агентству "Башинформ" начальник отдела Управления Россвязькомнадзора по РБ Ильдар Абдуллин, данные организации производили обработку персональных данных своих клиентов (сбор, хранение, использование, передачу и т. д.) без уведомления уполномоченного органа по защите прав субъектов персональных данных (в данном случае - Управления Россвязькомнадзора по Республике Башкортостан). Тем самым была нарушена статья 22 Федерального закона "О персональных данных".
Также данными организациями была несвоевременно представлена информация уполномоченному органу, необходимая для осуществления им деятельности.
По факту выявленных нарушений Управлением Россвязькомнадзора по РБ на руководителей этих организаций составлены три протокола по статье 19.7 Кодекса об административных правонарушениях. Протоколы направлены в судебные органы.
http://www.bashinform.ru/index.php?id=72368
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#95 5611 » Чт 13 ноя, 2008 16:27 »
Целое милицейское подразделение, призванное противостоять организованной преступности, фактически исчезло как таковое одним росчерком президентского пера.
УБОП разогнал Указ президента РФ от 6 сентября 2008 г. № 1316 «О некоторых вопросах Министерства внутренних дел РФ», официально опубликованный 10 сентября. Согласно этому нормативному акту, борьба с общеуголовной преступностью теперь возлагается на уголовный розыск, а борьба с коррупцией и организованной преступностью экономической направленности – на подразделения по борьбе с экономическими преступлениями.
Все это было сделано, как отмечено в указе, «в целях совершенствования руководства деятельностью МВД РФ и органов внутренних дел РФ по обеспечению экономической безопасности, борьбе с коррупцией, организованной преступностью и экстремизмом, усиления гарантий защиты прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора)». Формулировка, прямо скажем, более чем расплывчатая. ... http://gorod48.ru/association/news-8847.html
Расформирование антимафиозных подразделений нашей милиции грозит обернуться довольно пикантным скандалом. Не прошло и двух месяцев со дня указа Президента РФ №1316 “О некоторых вопросах Министерства внутренних дел” (проще говоря — о разгоне УБОПов), как на столичных радиорынках появились… обновленные базы данных оставшихся не у дел сыщиков/www.compromat.ru http://manhoso.livejournal.com/10502.html
УБОП разогнал Указ президента РФ от 6 сентября 2008 г. № 1316 «О некоторых вопросах Министерства внутренних дел РФ», официально опубликованный 10 сентября. Согласно этому нормативному акту, борьба с общеуголовной преступностью теперь возлагается на уголовный розыск, а борьба с коррупцией и организованной преступностью экономической направленности – на подразделения по борьбе с экономическими преступлениями.
Все это было сделано, как отмечено в указе, «в целях совершенствования руководства деятельностью МВД РФ и органов внутренних дел РФ по обеспечению экономической безопасности, борьбе с коррупцией, организованной преступностью и экстремизмом, усиления гарантий защиты прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора)». Формулировка, прямо скажем, более чем расплывчатая. ... http://gorod48.ru/association/news-8847.html
Расформирование антимафиозных подразделений нашей милиции грозит обернуться довольно пикантным скандалом. Не прошло и двух месяцев со дня указа Президента РФ №1316 “О некоторых вопросах Министерства внутренних дел” (проще говоря — о разгоне УБОПов), как на столичных радиорынках появились… обновленные базы данных оставшихся не у дел сыщиков/www.compromat.ru http://manhoso.livejournal.com/10502.html
- Andrei
- Форумчанин
- Сообщения:
6781 - Зарегистрирован:
14 окт 2003 - Благодарил (а): 31 раз.
- Поблагодарили: 345 раз.
ФЗ "О персональных данных" от 27.07.06 г. N 152-ФЗ
Сообщение:#96 Andrei » Пт 14 ноя, 2008 09:05 »
5611 писал(а):Но даже если с защитой все в порядке, “сборщики” обязаны получить письменное разрешение от гражданина.
В договор с абонентом надо вписывать такое положение?
- Andrei
- Форумчанин
- Сообщения:
6781 - Зарегистрирован:
14 окт 2003 - Благодарил (а): 31 раз.
- Поблагодарили: 345 раз.
ФЗ "О персональных данных" от 27.07.06 г. N 152-ФЗ
Сообщение:#97 Andrei » Пн 01 дек, 2008 19:25 »
У нас МРК начал рассылку счетов за услуги местной телефонной связи в "конвертированном виде". В конвертах то есть... Как утверждается - в целях защиты персональных данных.
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных":
Что именно защищается при рассылке счетов в конвертах по сравнению с прежней рассылкой счетов в виде простых листков, раскладываемых в почтовые ящики? ФИО и адрес все равно есть на конверте - так что тут защиты данных не получается. "Другая информация"? Т.е. данные о потребленных абонентом услугах и их стоимости? Так под термин "другая информация" можно подогнать что угодно. Реально теперь надо рассылать счета в конвертах?
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных":
персональные данные - любая информация, относящаяся к
определенному или определяемому на основании такой информации физическому
лицу (субъекту персональных данных), в том числе его фамилия, имя,
отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация;
Что именно защищается при рассылке счетов в конвертах по сравнению с прежней рассылкой счетов в виде простых листков, раскладываемых в почтовые ящики? ФИО и адрес все равно есть на конверте - так что тут защиты данных не получается. "Другая информация"? Т.е. данные о потребленных абонентом услугах и их стоимости? Так под термин "другая информация" можно подогнать что угодно. Реально теперь надо рассылать счета в конвертах?
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#98 5611 » Вт 02 дек, 2008 16:21 »
В Челябинской области состоялась первая проверка соблюдения крупнейшим оператором связи в Уральском регионе ОАО «Уралсвязьинформ» обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.
Проверка проводилась на основании Приказа руководителя Управления Россвязькомнадзора по Челябинской области от 30.09.2008 № 704.
В ходе проведения проверки были выявлены нарушения Федерального закона №152 от 27.07.2006 «О персональных данных». Все замечания и нарушения были устранены в течение срока проведения планового мероприятия по контролю. По результатам проверки был составлен акт от 17.10.2008 № 74ПД-04/0508Т.
http://74.rsoc.ru/news/?id_news=51
Управление Россвязькомнадзора по Пермскому краю начало проведение плановых мероприятий по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Первая проверка осуществлена в отношении филиалов ОАО «Уралсвязьинформ» – Пермского филиала электросвязи и Межрегионального филиала сотовой связи. При проведении мероприятия по контролю нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных не выявлены. Проверенным филиалам ОАО «Уралсвязьинформ» указано на необходимость доработки содержания соответствующих локальных правовых актов о защите персональных данных своих сотрудников в свете новых требований законодательства в области персональных данных. http://59.rsoc.ru/news/?id_news=73
Проверка проводилась на основании Приказа руководителя Управления Россвязькомнадзора по Челябинской области от 30.09.2008 № 704.
В ходе проведения проверки были выявлены нарушения Федерального закона №152 от 27.07.2006 «О персональных данных». Все замечания и нарушения были устранены в течение срока проведения планового мероприятия по контролю. По результатам проверки был составлен акт от 17.10.2008 № 74ПД-04/0508Т.
http://74.rsoc.ru/news/?id_news=51
Управление Россвязькомнадзора по Пермскому краю начало проведение плановых мероприятий по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Первая проверка осуществлена в отношении филиалов ОАО «Уралсвязьинформ» – Пермского филиала электросвязи и Межрегионального филиала сотовой связи. При проведении мероприятия по контролю нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных не выявлены. Проверенным филиалам ОАО «Уралсвязьинформ» указано на необходимость доработки содержания соответствующих локальных правовых актов о защите персональных данных своих сотрудников в свете новых требований законодательства в области персональных данных. http://59.rsoc.ru/news/?id_news=73
- Andrei
- Форумчанин
- Сообщения:
6781 - Зарегистрирован:
14 окт 2003 - Благодарил (а): 31 раз.
- Поблагодарили: 345 раз.
ФЗ "О персональных данных" от 27.07.06 г. N 152-ФЗ
Сообщение:#99 Andrei » Ср 03 дек, 2008 07:20 »
5611 писал(а):В ходе проведения проверки были выявлены нарушения Федерального закона №152 от 27.07.2006 «О персональных данных».
Интересно - что за нарушения?
5611 писал(а):Все замечания и нарушения были устранены в течение срока проведения планового мероприятия по контролю.
Хм. Обычно составляют акт об адм.правонарушении, штраф, предписание и срок устранения. "в течение срока проведения" - это что-то новое.
Andrei писал(а):Что именно защищается при рассылке счетов в конвертах по сравнению с прежней рассылкой счетов в виде простых листков, раскладываемых в почтовые ящики? ФИО и адрес все равно есть на конверте - так что тут защиты данных не получается. "Другая информация"? Т.е. данные о потребленных абонентом услугах и их стоимости? Так под термин "другая информация" можно подогнать что угодно. Реально теперь надо рассылать счета в конвертах?
Есть мнения?
- Nikolas
- Форумчанин
- Сообщения:
354 - Зарегистрирован:
17 авг 2006 - Откуда:
Россия - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#100 Nikolas » Ср 03 дек, 2008 08:49 »
Все замечания и нарушения были устранены в течение срока проведения планового мероприятия по контролю.
Рискуют накликать на себя внимание прокуратуры. Прямой путь к взятке.
Вернуться в Последние новости отрасли
Кто сейчас на конференции
Сейчас этот форум просматривают: Bing [bot] и гости: 14