ППРФ № 781 от 17.11.07: Обработка персональных данных

[YK]

Многое ли изменилось с момента вступления в силу федерального закона «О персональных данных» — закона долгожданного, необходимого, строгого? Первый ответ, который приходит в голову, — нет. Так же работают многочисленные компании, фиксирующие персональные данные для различных целей (в терминах закона — обрабатывающие их): операторы связи, агентства по трудоустройству, билетные кассы, турфирмы. Даже билеты на футбол в Санкт-Петербурге стали продавать по предъявлению паспорта. И ни цель, ни способ обработки данных гражданам никто не разъясняет, как и раньше. И согласия их — граждан, или субъектов персональных данных — ни на что не спрашивают. По-прежнему каждый день по электронной почте рассылается спам с предложением купить очередную «вкусненькую» базу данных. Ничего не поменялось. Может быть, пока?..

Прежде всего надо получить ответы на ряд других вопросов, решение которых не кажется совсем очевидным. Но для огромного количества специалистов, которые не хотят нарушать закон, но при этом и не хотят останавливать свою деятельность, поиск этих ответов становится головной болью. Это руководители всех уровней, поскольку персональные данные есть в отделе кадров и бухгалтерии любого предприятия и любой организации. Это сами кадровики, уже и так достаточно жестко ограниченные в работе с персональными данными собственных сотрудников требованиями Трудового кодекса. И это ИТ-директора, для которых выполнение не сформулированных пока требований по обеспечению безопасности обработки персональных данных в информационных системах и приложениях может превратиться в серьезную проблему.
Вопросы понимания

Самая большая сложность состоит в том, что в законе не содержится ответа на главный вопрос: что такое, собственно, персональные данные? Определение, данное в законе, не проясняет ровно ничего: «Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Особенно настораживают слова «другая информация». Фамилия, имя и отчество в сочетании с указанием места работы — это персональные данные? Очевидно, что любой гражданин страны на основании этой информации вполне определяем. А номер телефона вместе с ФИО? Тоже — да, потому что другого такого сочетания в стране ни у кого нет. Так что же: любой человек, получивший визитную карточку коллеги в деловых целях (на обработку персональных данных физическими лицами исключительно для личных и семейных нужд закон не распространяется), становится оператором этих самых персональных данных? Абсурд. Визитка была передана в здравом уме и по собственной воле. И целей обработки при ее передаче никто не спрашивал. И согласия на эту самую обработку в письменном виде не давал. Что же получателю с этой самой визиткой делать, чтобы не нарушить закон?

К сожалению, закон не просто не определяет персональных данных. Он еще ничего не говорит о том, что же делать с этой неопределенной категорией. Логично было бы установить, что любое юридическое или физическое лицо, которое обрабатывает персональные данные, определяет и конкретный перечень сведений, к этим данным относящихся, — применительно к особенностям своей деятельности, так, как это определено, скажем, для государственной или коммерческой тайны. Хорош этот перечень или плох, правомерен или нет — это уже при необходимости предмет разбирательства в порядке, установленном законом, а если надо, то и судом. Таким перечнем для касс по продаже билетов могли бы быть ФИО покупателя вместе с фиксируемыми для продажи паспортными данными; для отдела кадров — вся информация, содержащаяся в личных делах и базах данных автоматизированных систем и т.п.

Но, поскольку российское законодательство носит открытый характер и разрешено все, что законом прямо не запрещено, первый шаг для любой организации напрашивается сам собой — необходимо самостоятельно определить перечни персональных данных для различных направлений деятельности и утвердить их в порядке, установленном для принятия внутренних (локальных) нормативных документов организации (предприятия).

Следующая «проблема понимания» — что делать с базами персональных данных, созданными до вступления закона в силу, теми, что имеются у операторов связи, в кадровых агентствах, в компаниях, занимающихся прямым маркетингом или реализующих программы лояльности и т.п. Представляется, что действия, определенные законом, — привести ранее созданные базы в соответствие федеральному закону до 1 января 2010 года, в реальности будут весьма сложно реализуемы.

И это отнюдь не все «темные места» в законе. Может быть, ключевые для понимания, но далеко не все…
Вопросы применения

Чтобы персональные данные обрабатывать и защищать в соответствии с законом (закон жестко предписывает необходимость защиты в статье 19, «Меры по обеспечению безопасности персональных данных при их обработке»), для начала их надо выявить.

А это неминуемо потребует второго шага — инвентаризации информационных систем и приложений на предмет наличия в них персональных данных. В ходе инвентаризации должны быть проанализированы все без исключения информационные ресурсы, а не только те из них, где подобные сведения есть по определению — бухгалтерские системы типа 1С, программное обеспечение для кадровиков, абонентские данные операторов связи и т.п. Вполне вероятно, что в процессе инвентаризации для ИТ-директора и других руководителей компании выявится много нового и неожиданного. Например, что эта категория сведений имеется в CRM-системах — в виде контактных данных представителей клиентов или самих клиентов, если компания работает непосредственно с физическими лицами. Или в системах поддержки функционирования и бизнес-процессов (OSS/BSS) — в виде сведений о специалистах техподдержки, ремонтных организаций, аутсорсеров и т.п. Или в службе безопасности — как сведения о посетителях служебных, административных и производственных зданий, офисов и закрытых территорий предприятия. Этот список можно продолжать долго — в каждой организации или компании своя специфика, свои особенности.

Попутно, как третий шаг, придется решить еще один вопрос — получения согласия субъектов на обработку их персональных данных. Закон определяет конечный перечень случаев, когда согласия субъекта не требуется, в частности: когда обработка персональных данных прямо предусмотрена законодательством (например, обработка работодателем сведений о работниках на основании Трудового кодекса), когда имеется договор с субъектом, для выполнения которого необходима обработка персональных данных (например, об оказании содействия в трудоустройстве кадровым агентством), когда персональные данные необходимы для доставки почтовой корреспонденции и оказания услуг связи (под эту категорию подпадают абонентские базы операторов связи и данные в их биллинговых системах).

Однако отсутствие необходимости согласия работника на обработку своих данных работодателем предполагает, во-первых, принятие работодателем за свой счет мер по защите персональных данных работника от неправомерного их использования или утраты, во-вторых, разработку и ознакомление под роспись всех работников с документами работодателя, устанавливающими порядок обработки персональных данных, а также с их правами и обязанностями в этой области (Трудовой кодекс РФ, статья 86, «Общие требования при обработке персональных данных работника и гарантии их защиты»).

Во всех остальных случаях придется или получить согласие субъектов, или уничтожить их персональные данные в автоматизированных системах. В упоминавшихся выше CRM, OSS/BSS — в том числе.

Далее необходим четвертый шаг — соотнесение сведений, хранимых и обрабатываемых на выявленных информационных ресурсах, с перечнями, сформированными в рамках первого шага, и их систематизация.

Но просто выявить информационные ресурсы с персональными данными недостаточно, нужен пятый шаг — идентификация рабочих мест, на которых с этими персональными данными непосредственно работают. И опять: всех без исключения рабочих мест, в том числе — удаленных и мобильных пользователей информационных систем.

Серверами и рабочими станциями дело тоже не ограничится. Если персональными данными обмениваются между собой различные подсистемы информационной системы предприятия, придется проанализировать и каналы передачи данных (связи), которые для этого используются. Internet в качестве транспорта или коммутируемые каналы в этом случае совсем не выглядят надежными, и требования федерального закона — «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним» явно определены именно на этот случай.

У человека, не читавшего федерального закона «О персональных данных» или читавшего невнимательно, может возникнуть на первый взгляд резонный вопрос: «А к чему все сложности?» Есть ли возможность не делать всей этой сложной и трудоемкой работы?

Но уже совсем скоро, до 1 января 2008 года, все операторы персональных данных, кроме специально перечисленных в законе, обязаны будут представить в уполномоченный орган по защите прав субъектов персональных данных уведомление, содержащее следующие сведения:

1) наименование, адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых ператором способов обработки персональных данных;

7) описание мер по безопасности персональных данных, которые оператор обязуется осуществлять при обработке персональных данных;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

А чтобы решить, является ли представление такого уведомления обязанностью организации или предприятия, и если да, то каковы ответы на поставленные в законе вопросы, как раз и надо выполнить всю эту рутинную работу.
Вопросы безопасности

Особое внимание хотелось бы обратить на пункт 7, приведенный выше.

Законом определено, что требования к безопасности персональных данных при их обработке в информационных системах устанавливает Правительство Российской Федерации. Срок выхода соответствующего постановления определен распоряжением Правительства № 1055-Р от 2007 года — третий квартал текущего года. (Квартал закончился, на момент выхода номера постановления еще нет.) До настоящего времени четко не определен даже уполномоченный орган по защите прав субъектов персональных данных, а предполагаемый на роль такового недавно пережил очередную реорганизацию.

Но полагаться на то, что до выхода в свет соответствующего документа правительства можно ничего не делать, было бы легкомысленно.

К этому выводу приводят два положения рассматриваемого закона. В первой части статьи 19 конкретно сформулированы требования к обеспечению безопасности обработки персональных данных: должна обеспечиваться «защита от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». А в третьей части этой же статьи уже определены и «контролеры», следящие за выполнением этих требований, — «федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (то есть ФСБ России), и федеральный орган исполнительной власти, уполномоченный в области технической защиты информации и противодействия техническим разведкам (то есть ФСТЭК, Федеральная служба по техническому и экспортному контролю), в пределах их полномочий».

Оба указанных органа уже имеют вполне сформированный набор требований к защите конфиденциальных сведений, к которым, в соответствии с указом президента России № 188 от 6 марта 1997 года «Об утверждении перечня сведений конфиденциального характера», относятся и персональные данные.

Поэтому представляется, что шестой шаг — создание подсистемы безопасности в информационных системах, обрабатывающих персональные данные, — надо делать уже сейчас.

Какие же механизмы обеспечения информационной безопасности придется задействовать, чтобы выполнить
установленные законом требования о предотвращении неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования или распространения?

Минимально необходимый перечень этих механизмов можно определить следующим образом.

Для предотвращения неправомерного или случайного доступа к персональным данным, в том числе при передаче их по каналам связи, необходимо:

● создать систему управления идентификацией и доступом пользователей информационных систем, где персональные данные обрабатываются, исключающую получение персональных данных лицами, которым они не требуются для выполнения своих обязанностей, а также возможность работы с ними легитимных пользователей без нарушения установленных мер по обеспечению
безопасности;

● использовать криптографическую защиту данных, передаваемых по незащищенным каналам связи, в том числе Internet. Учитывая особенности российской правовой базы, определяющей условия применения криптографических средств, возможность применения при работе с персональными данными не сертифицированных ФСБ средств шифрования представляется крайне сомнительной.

Предотвращение уничтожения и изменения персональных данных, их блокирования может быть достигнуто за счет использования следующих мер.

Ограничение прав пользователей автоматизированных систем, где обрабатываются персональные данные. Особенности реализации подобных мер определяются конкретными приложениями, но можно сформулировать общее правило: права пользователей должны быть минимальны, а их расширение производится для каждого конкретного пользователя (или роли в системе) персонально, исходя из выполняемых функций.

Эффективное резервное копирование. Почему-то значимость этой очевидной меры часто недооценивается, хотя совершенно очевидно, что в большинстве случаев восстановить ценную информацию после падения сервера или системы управления базами данных, кроме как из резервной копии, невозможно. И обходится это не слишком дорого. Важно только помнить, что надежное резервное копирование подразумевает территориально разделенное хранение копий, чтобы, например, пожар в серверной комнате не привел к безвозвратным потерям всей информации. Под эффективным резервированием понимается также наличие жесткого регламента, чтобы пополнение резервной копии данными, поступившими после ее создания, можно было осуществить в приемлемое время.

Создание периметровой системы защиты от внешних вторжений, мониторинг защищенности сети, использование средств выявления и предупреждения вторжений (IDS/IPS). Эти меры должны создать барьер на пути проникновения извне (например, злоумышленников из Internet) в автоматизированные системы обработки персональных данных с целью несанкционированных модификаций, уничтожения охраняемых сведений или завладения ими.

Контроль целостности программных средств и данных. Это наиболее эффективный и простой способ исключить модификацию как самих персональных данных, так и обрабатывающего их программного обеспечения, поскольку несанкционированное изменение программного продукта может привести к уничтожению всей или части информации, ее передаче троянскими программами на сервер злоумышленника и т.п.

Для предотвращения несанкционированного копирования и распространения персональных данных необходимо создать систему защиты от неправомерных действий инсайдеров, предоставляющую как минимум следующие возможности:

● блокирование (ограничение доступа) к устройствам ввода/вывода информации (USB, CD/DVD, принтеры и т.п.);

● контентный анализ электронной почты, в том числе WEB-почты на таких общедоступных ресурсах, как AOL.com, Mail.ru и др.

Под инсайдерами здесь понимаются штатные работники предприятия, умышленно или случайно превышающие свои полномочия при работе с информацией, следствием чего является нарушение ее целостности, доступности и/или конфиденциальности.

Проблема противодействия инсайдерам сейчас одна из наиболее обсуждаемых, на эту тему написаны сотни статей, и на актуальности предлагаемых мер останавливаться нет необходимости. Заметим лишь, что реализация механизмов защиты от «внутреннего врага» возможна только при использовании специальных программных средств, которых сейчас на рынке немало, но которые отнюдь не дешевы. А контентный анализ требует проработки не только технических, но и правовых вопросов, связанных с нарушениями права на тайну переписки работников предприятия.

Для реализации описанного выше комплекса мероприятий необходимы значительные материальные и людские ресурсы, а работы будут непросты и недешевы. Можно, конечно, продолжать жить, как раньше, надеясь, что персональных данных, интересующих злоумышленников, на вашем предприятии нет, а проверок государственных регуляторов удастся миновать. Но при этом надо помнить еще и об ответственности за нарушения закона о персональных данных.
Вопросы ответственности

Федеральный закон определяет, что лица, виновные в нарушении его требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

И возможности привлечь к ответственности уже заложены в российском законодательстве. Например, больше десяти лет действует статья 137 Уголовного кодекса «Нарушение неприкосновенности частной жизни», предусматривающая уголовное наказание за «нарушение неприкосновенности частной жизни, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации». При чем здесь неприкосновенность частной жизни? В законе «О персональных данных» прямо написано, что «целью настоящего федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

В Кодексе об административных правонарушениях есть статья 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». А Трудовой кодекс требует принятия работодателем мер по защите персональных данных работников. Неправомерное обращение с ними влечет дисциплинарную ответственность, а такое грубое нарушение, как разглашение данных других работников, является основанием для расторжения трудового договора (увольнения).

Таким образом, уже сейчас, даже при отсутствии установленных правительством правил технической защиты персональных данных, работу по обеспечению их сохранности надо начинать на каждом предприятии, в каждой организации. В преддверии финансового планирования на новый год — закладывать деньги в будущие бюджеты на построение системы информационной безопасности, перерабатывать внутренние нормативные документы, организовывать работу с персоналом и его обучение. Иначе потери будут значительными и, если закон заработает в полную силу, — не только имиджевыми.

И, наконец, до 1 января нового года надо сделать седьмой шаг — составить и отослать в уполномоченный орган по защите прав физических лиц уведомление об обработке персональных данных, часть содержания которого будет готовить именно ИТ-служба http://www.directum-journal.ru/card.asp ... ID=2092111

[5611]

Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия /Россвязьохранкультура/ планирует в январе-феврале 2008 г завершить формирование реестра операторов, осуществляющих обработку персональных данных. Об этом говорится в сообщении Россвязьохранкультуры.
26.11.2007 18:12

Россвязьохранкультура приступила к формированию единого реестра операторов, осуществляющих сбор персональных данных, сообщают «Новые известия». В этот список попадут все обладатели конфиденциальных сведений – государственные органы, банки, страховые компании. Таким способом чиновники хотят побороть незаконное распространение личных сведений о гражданах. Но по мнению экспертов подобные шаги вряд ли помогут справиться с утечкой конфиденциальной информации.

Сами обладатели конфиденциальной информации, со стороны коммерческих структур, к нововведению отнеслись спокойно, высказавшись в том плане, что они сами не заинтересованы в распространение подобного рода информации. При этом они напомнили, что согласно распространенному мнению, 99% утечек информации о конфиденциальных данных идет именно из правоохранительных органов и служб безопасности.

Между тем сейчас в свободной продаже можно найти базы данных ГИБДД, налоговой службы, операторов сотовой связи. Личные данные граждан размещены и в Интернете. По словам члена комитета Госдумы по безопасности Алексея Розувана для борьбы с утечкой личных данных граждан «необходимо установить наказание для их распространителей», а не создавать какие-то общие реестры. К тому же, вряд ли силовые ведомства будут предоставлять свои данные Россвязьохранкультуре («Ушел на базу данных»). http://www.zagolovki.ru/daytheme/utechka/29Apr2008

[5611]

Выбор средств защиты персональных данных


После выхода в свет постановления Правительства РФ № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 г. и совместного приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» (далее «Порядок…») перед службами разработки и эксплуатации информационных систем (ИС), обрабатывающих персональные данные, возникло два почти гамлетовских вопроса:

? как классифицировать ИС, предназначенные для защиты персональных данных;

? как выбрать средства защиты информации для защиты персональных данных в этих системах.

«Порядок…» утверждает, что «классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных». Это означает, что персональные данные (ПД) классифицирует их владелец, что является серьезным подспорьем для объективного выбора методов и средств защиты ПД и создает объективную базу для диалога с проверяющими органами о достаточности принятых в организации мер защиты персональных данных.... http://directum-journal.ru//docs/Vybor- ... nnykh.aspx

непонятно - органы классифицируют системы, а ПД оператор ...?

[Nikolas]

Классифицирует систему сам оператор и это правильно, т.к. никому стороннему не будет соблазна "накрутить" лишние баллы, что автоматически повлечет увеличение расходов на обеспечение безопастности ИСПД. А так все правильно - сам определяй класс своей системы и уже потом нанимай лицензированную организацию для обеспечения мер безопастности.

[Связной (С)]

Нормативную базу к «Закону о персональных данных» будут разрабатывать ФСБ И ФСТЭК

Нормотворческая работа должна быть завершена в трехмесячный срок, и 18 февраля 2008 г. весь пакет актов к «Закону о персональных данных» будет написан и утвержден.

И где же База?

Есть такое мнение:

...Передача персональных данных третьим лицам как способ распространения таких данных признается обработкой персональных данных (часть вторая ст. 85 ТК РФ (Трудовой кодекс РФ), п. 3 и п. 4 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных").
Перечень случаев, когда обработка персональных данных может осуществляться без согласия субъектов персональных данных, содержится в ч. 1 ст. 6 Федерального закона "О персональных данных". Одним из таких случаев является обработка персональных данных, осуществляемая на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
...
Персональные данные

[5611]

В ФСБ России ведется работа над документами, разработанными в соответствии с Постановлением правительства от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных":

- "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (http://zki.infosec.ru/law/personal/doc/140/);
- "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" (http://zki.infosec.ru/law/personal/doc/139/).
Основа разработки нормативных документов ФСБ России – определение системы защиты персональных данных, данное в п..2 вышеупомянутого Положения:
"…Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе".
Представители ФСБ России и редакция журнала "Information Security/Информационная безопасность" приглашают специалистов по информационной безопасности принять участие в работе по усовершенствованию данных документов.
Свои конкретные и аргументированные предложения и замечания просьба направлять Юрию Владимировичу Тачкову (8 Центр ФСБ России): uvt4@mail.ru.http://information-security.ru/newstext ... s_id=57335

[Связной (С)]

Персональные данные под защитой
Новый федеральный закон подогреет рынок информационной безопасности
Необходимость к январю 2010 года привести свои информационные системы в соответствие с законом «О защите персональных данных» будет способствовать бурному росту сегмента информационной безопасности (ИБ), считает исполнительный директор Leta IT-company Андрей Конусов. Участники рынка прогнозируют рост доли ИБ в структуре IT-рынка с 5 до 10% за счет падения других сегментов.
... http://www.rbcdaily.ru/print.shtml?2009 ... dia/417575

[Связной (С)]

Приказ ФСБ России от 16 марта 2009 года N 104 Административный регламент, который определяет сроки и последовательность действий (административных процедур) при исполнении государственной функции по лицензированию деятельности по предоставлению услуг в области шифрования информации
Приказ Федеральной службы безопасности Российской Федерации от 16 марта 2009 г. N 105 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по техническому обслуживанию шифровальных (криптографических) средств»

[Связной (С)]

Роскомнадзор запустил портал для защиты персональных данных. На сайте, располагающемся по адресу pd.rsoc.ru, опубликованы данные, посвященные деятельности ведомства в области защиты прав субъектов персональных данных - новости, аналитические материалы, нормативно-распорядительные документы, рекомендации для операторов персональных данных и так далее...
Роскомнадзор открыл Интернет-портал о защите персональных да

[5611]

Уже более одной тысячи операторов персональных данных воспользовались услугой по электронному заполнению уведомления о намерении осуществлять обработку персональных данных.

Услуга, которая предоставляется на Интернет-портале персональных данных ( www.pd.rsoc.ru ), введенном в эксплуатацию 2 октября, подтверждает свою востребованность. Уведомления заполняются в размещенной на Портале электронной форме с нарастающей динамикой: если в первую неделю работы Интернет-портала было заполнено 64 уведомления, то в последние семь дней - уже 368.
Согласно закону о персональных данных, любое юридическое лицо, осуществляющее обработку персональных данных, обязано направить соответствующее уведомление в письменной форме в Роскомнадзор (является Уполномоченным органом по защите прав субъектов персональных данных).
На Портале персональных данных размещена электронная форма данного уведомления, которую можно заполнить и распечатать для последующей отправки по почте в Роскомнадзор.
С начала эксплуатации Интернет-портал персональных данных посетили уже около 50 тыс. пользователей. В общей сложности они открыли почти 300 тыс. страниц. С нарастающей активностью пополняется сообщениями форум. Опубликовано более 250 сообщений по различным темам, связанным с деятельностью Роскомнадзора как Уполномоченного органа по защите прав субъектов персональных данных.

http://www.rsoc.ru/news/rsoc/news11269.htm

[Andrei]

Согласно закону о персональных данных, любое юридическое лицо, осуществляющее обработку персональных данных, обязано направить соответствующее уведомление в письменной форме в Роскомнадзор (является Уполномоченным органом по защите прав субъектов персональных данных).

Вот интересно - уведомление в надзор я в письменном виде направлял (из надзора письмо-запрос приходило в конце 2007 года). А в этой базе моей организации нет. Надо еще раз заполнить?

Вернее написали типа этого

".......Дело в том, что указанные Вами статьи содержат перечень случаев, когда оператор не обязан предоставлять такую информацию. В частности, п.п.2 п.2 ст.22 указывает, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются и используются оператором исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных. Аналогичная норма содержится в п.2.2. п.2 ст. 6 Закона, а п.2.5 п.2 ст. 6 дополняет это положение указанием, что согласия субъекта на обработку его персональных данных не требуется, если обработка персональных данных необходима для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.........."

[stm67]

В ТО Роскомнадзора мне ответили: мы еще ни одного оператора, подпадающего под пункт 2 статьи 22, не видели. И даже в случае обработки ПДн отделом кадров необходимо уведомлять, потому как при подаче в вашу организацию физлицом резюме - вы обрабатываете ПДн этого физлица, который в свою очередь не является работником вашей организации.

В таком случае, кому-нибудь можно не уведомлять?

[Andrei]

В ТО Роскомнадзора мне ответили:

Пояснили, что если предприятие передает например в соцстрах или пенсионный фонд какие-либо сведения (даже номер диплома о высшем образовании), то все - обработка персональных данных в полный рост.
Т.о. у нас ВСЕ предприятия в стране без исключения занимаются обработкой перс.данных, т.к. с соцстрахом и ПФ общаются все. И отделы кадров тоже имеют все предприятия.