ЭЛВИС-ПЛЮС : на защите ваших интересов


 
Добавить в ИзбранноеПоиск по сайтуКарта сервераВид для печати

Новости

О компании

Решения

Услуги

Продукты

Персональные данные

Партнёры

Контакты

Вакансии

Для прессы

Информаториум

Главная страница


Защита персональных данных

Экономические аспекты

Экспресс-аудит

FAQ по защите ПДн

Материалы семинаров и конференций

Полезные ссылки

Оглавление

Антикризисные решения



Антикризисные решения


Антикризисные решения

Защита персональных данных - Часто задаваемые вопросы


Материалы семинаров и конференций

ВНИМАНИЕ!
Уважаемые посетители!

Благодарим Вас за проявленный интерес к нашему разделу, посвященному проблематике персональных данных, а также за все Ваши вопросы по данной теме.
Со своей стороны мы стараемся отвечать на все вопросы, какие бы они ни были и каким бы образом не были адресованы нам: по электронной почте, телефону, в ходе личных встреч. Мы также стараемся сохранить "авторскую" стилистику и орфографию, т.к. вопросы, возможно, будут более понятны тем или иным группам специалистов. Однако, поэтому мы не несем никакой ответственности за содержание и корректность вопросов, но при этом всецело отвечаем за содержание ответов!

На Ваши вопросы отвечают наши эксперты.


В федеральном законе «О персональных данных» дано толкование термина «персональные данные», из которого, вроде бы, следует, что любая информация является персональными данными. Следует ли понимать все буквально или все же учитывать цель обработки и характер данных? Существует ли минимальный набор данных о физическом лице, после которого они становятся персональными?NEW!!!
Каково толкование понятия «оператор персональных данных?» Оператором признается лицо, которое только организует и (или) осуществляет обработку персональных данных, или лицо, которое в дополнение к указанному ранее, обязательно определяет цели и содержание обработки персональных данных? Каков статус лица, которому оператор на основании договора поручает обработку персональных данных (п.4 ст. 6 Закона). Является ли лицо, которому оператор поручил обработку персональных данных, оператором этих данных?NEW!!!
Во всех ли случаях, когда необходимо получение согласия субъекта персональных данных на их обработку, требуется получение письменного согласия? Возможно ли получение «молчаливого» согласия субъекта персональных данных на передачу своих персональных данных оператору, а также согласия, выраженного конклюдентными действиями субъекта (например, передачей паспорта уполномоченному лицу оператора)?NEW!!!
Можно ли фотографию отнести к числу персональных данных и возможно ли признать ее биометрическими данными?NEW!!!
Нужно ли получать согласие на трансграничную передачу персональных данных, являющихся общераспространенными в силу закона?NEW!!!
Работник нашей зарубежной организации не является гражданином РФ, его данные обрабатываются в наших информационных системах, в частности, в электронных справочниках. Обязаны ли мы получить у него согласие на обработку?NEW!!!
Когда необходимо получать согласие субъекта ПДн на их обработку?
Как поступать в том случае, когда взять личное согласие субъекта на обработку ПДн проблематично (коллективные договора страхования и пр.)?
Каково распределение ответственности при передаче ПДн третьим лицам?
Последовательность действий Оператора ПДн в рамках выполнения закона?
Чем отличаются требования по защите АС класса 1Г и требования по защите персональных данных?
Что такое аттестация, а что - оценка соответствия? В чем разница?
Какой объект подлежит оценке соответствия - объект информатизации или прикладная система, обрабатывающая ПДн?
Что такое сертификация? Речь идет о сертификации СЗИ или информационной системы, обрабатывающей ПДн?
Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2?
Последовательность шагов оператора ПДн по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»?
Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников?
Кто ответственен за разглашение переданных ПДн 3-ей стороне, Оператор ПДн или 3-я сторона, где и как это должно быть определено?
Каков порядок действий компании (организации) при проведении проверки уполномоченным органом на соответствие требованиям по защите ПДн, возможные варианты развития событий?
Обязательно ли использовать в ИСПДн общесистемное ПО, сертифицированное по требованиям ФСТЭК России?
Каким образом должны удаляться персональные данные после их использования?
Что будет если класс выбран неверно и проверка надзорных органов это выявит? Есть ли отличие последствий для К1, К2, К3 классов?
В соответствии со статьей 22 пункт 2 оператор ПДн не обязан уведомлять надзорные органы, следовательно он не подлежит проверкам?
Верно ли, что если 3-е лицо, которому передаются ПДн, это госорганизация (например, поток ПДн из негосударственных ПФ в ПФРФ), то, в соответствии со статьей 22 и обязательными для госорганизации требованиями по защите информации, уведомлять надзорные органы не нужно?
Какие санкции и в соответствии с каким нормативным документом будут применяться, если требования закона не будут выполнены?
Сертификация и аттестация ИСПДн 1-ой категории.
Если ИС ПДн содержит ПО иностранных производителей (не проходивших сертификацию в РФ), при аттестации подобной ИС ПДн не потребуется сертификация данного иностранного ПО? Если потребуется, то какая, каковы ориентировочные временные затраты на сертификацию? Нужно ли будет предоставлять исходные коды ПО?
Как определяется необходимость получения лицензий ФСБ на разные виды деятельности, в том числе на использование ПО криптографической защиты передаваемых данных?
Оператор ПДн хотел бы реализовать требования ФСТЭК России в основном за счет средств имеющейся у него АИС, не используя при этом сторонние СЗИ. Нужна ли в этом случае лицензия на доработку или разработку?
Необходимо ли наличие лицензии, если оператор ПДн самостоятельно проводит работы по установке СКЗИ?
Что это за лицензия по ПДн, которую выдает Россвязьнадзор и когда её надо получать?
Соотношение требований в области персональных данных, установленных Трудовым кодексом Российской Федерации (ТК РФ) и Законом о персональных данных?NEW!!!
В статье 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне без его письменного согласия. Однако требований к содержанию указанного письменного согласия в ТК РФ нет. Как следует оформлять письменное согласие работника на передачу его персональных данных третьей стороне?NEW!!!
Нужен или нет для соблюдения требования ст. 88 ТК РФ о доступе к персональным данным работников только специально уполномоченных лиц утвержденный локальным нормативным актом список лиц, имеющих доступ к персональным данным работников?NEW!!!
Учитывая необходимость соблюдения указанного выше требования статьи 88 ТК РФ, правомочно ли в Организации существование телефонных справочников, содержащих Фамилию И.О., место работы с указанием должности, № рабочего телефона? При этом, к примеру, в таких справочниках содержатся как телефоны работников собственно Организации, так и телефоны работников других организации, например дочерних?NEW!!!
По приказу ФСТЭК РФ № 55/ ФСБ РФ № 86/Мининформсвязи РФ № 20: что есть «дополнительная информация» о субъекте персональных данных, в связи с наличием которой информационной системе присваивается 2 категория? «Дополнительная информация» может быть любой или должна быть существенной для субъекта?NEW!!!
В соответствии с Федеральным законом от 26.12.1995 № 208-ФЗ «Об акционерных обществах» мы должны предоставить акционерам протоколы заседаний Совета директоров. При этом, в указанном Федеральном законе нет положения о том, что акционерное общество должно предоставлять акционерам персональные данные. Но в указанных протоколах содержатся персональные данные работников. У нас нет уверенности в том, что получатель будет соблюдать конфиденциальность переданных данных. Мы считаем, что этом случае, протоколы, содержащие персональные данные работников, не должны быть представлены акционеру. Правы ли мы?NEW!!!
Что считать установленным законодательством требованием персональных данных, не требующим согласия субъекта персональных данных. (Например, ФАС имеет право запрашивать у организаций любые необходимые материалы. Но ни в одном документе, касающемся деятельности ФАС, нет указания на то, что она может запрашивать у организаций персональные данные работников, участников, акционеров и т.д. Можем ли мы на основании лишь записи о том, что ФАС имеет право запрашивать у организаций любые необходимые материалы, предоставлять туда персональные данные, не получив на то согласие субъектов персональных данных)? NEW!!!
В нормативных документах РФ, имеющих отношение к обработке ПД, а также близких к ним документах всплывают термины: Информационная система, Подсистема, Автоматизированная система, Информационный ресурс. Причем в некоторых документах есть определения этих терминов, некоторые не определяются никак, но встречаются по тексту, также есть и противоречивые определения этих терминов в разных документах. Хотелось бы узнать ваше мнение, что есть что и что под чем понимается? NEW!!!
Распространяется ли закон №152-ФЗ на персональные данные иностранных граждан? NEW!!!
Существуют ли какие-либо дополнительные аспекты в отношении персональных данных граждан иностранных государств, отличных от требований, предъявляемых в отношении российских граждан? NEW!!!
Как закон №152-ФЗ соотносится с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных Евросоюза ETS N 108? NEW!!!
Урегулирование вопросов с обработкой ПДн в правовой плоскости?
Как получить нормативные документы ФСТЭК России по защите персональных данных?
Что такое модель угроз?
Как правильно передавать ПДн 3-ей стороне из компании, какие документы должны регламентировать этот порядок?
Есть ли какой-либо прогресс в отношении подготовки нормативной документации по сертификации АС и ПО на работу с персональными данными? Документы ФСТЭК России данный вопрос не освещают и используются старые РД.
Каким образом уполномочивать лиц, имеющих доступ к персональным данным работников - просто указать на должностных лиц какого-либо отдела организации или издать приказ о том, кто имеет доступ? Надо ли вводить журналы, в которых отмечается кто и когда пользовался персональными данными, или что-то еще?
Какие документы по защите ПДн и каким надзорным органом согласуются, в каких случаях, порядок согласования (акт классификации, модель и т.д.)?
Что будет написано в аттестате на ИСПДн?
Критерии отнесения информационной системы к числу систем, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы?NEW!!!
Если информационную систему администрируют работники другого юридического лица, без допуска к самим данным, это юрлицо все равно является оператором?NEW!!!
Кто должен проводить классификацию ИС, в случае если правообладателем системы является одно юрлицо (головная компания), а осуществляет обработку персональных данных – другое юрлицо (дочерняя компания). В п.6 Положения об обеспечении безопасности персональных данных… (утв. Пост. Правительства от 17.11.2007 № 781), эти юрлица перечислены - И (ИЛИ). Отсюда вопрос – обе организации или какая-то одна. Если одна – то кто?NEW!!!
Информационный ресурс, содержащий персональные данные, принадлежит одной Компании, а компьютеры, серверы, сети и иное оборудование – другому юридическому лицу. Как в этом случае должен оформляться акт классификации информационной системы? И чьи подписи должны стоять в этом случае в акте?NEW!!!
Как правильно создать систему защиты ПДн?
Всегда ли необходимо применять криптосредства при передаче персональных данных по каналам связи?
Способы передачи ПДн, осуществляемые в рамках одной компании, но между различными филиалами?
Вопросы по классификации. Чем отличаются классы защищённости ИС ПДн К1 и К2?
Каков должен быть уровень внедрения защиты ПДн, к примеру на рабочие станции - средства доверенной загрузки, аутентификации, доступа непосредственно к приложениям, чем определяется данный уровень (моделью угроз, классом ИС ПДн)?
Как можно оптимизировать затраты на построение СЗПДн, исходя из задачи закрытия требований документов ФСТЭК и аттестации ИС ПДн, в частности, как можно аттестовать ядро ИС ПДн, без аттестации отдельно каждого удаленного рабочего места (если их, например, тысячи), использование технологий без непосредственной обработки ПДн на удаленных АРМ, использование корпоративного портала?
Какие общие требования по защите правильно закладывать для только проектируемых ИС ПДн, в каких документах это прописано (до проведения этапов обследования и тех.проектирования СЗПДн)?
Возможно ли, теоретически и практически, снижение категории ИСПДн для систем, обрабатывающих медицинские данные?
ИС нашей больницы и поликлиники построена на базе терминального сервера с подключенными к нему "тонкими клиентами", на которые по сети загружается клиентское ПО. Как при такой схеме ИС нужно защищать ПДн 1 категории? Есть ли принципиальные особенности и отличия от «обычной» сборки ИС?
Наша организация располагает несколькими удаленными филиалами, между которыми постоянно осуществляется обмен данными, в т.ч. персональными. Закон о персональных данных, как мы понимаем, обязывает шифровать такую информацию, но можно ли обойтись без установки СКЗИ и при этом не нарушить закон?
Комментарий к вопросам о взаимосвязи биометрии и персональных данных. (внесено 21.04.10)
Наш комментарий в связи с опубликованием «Положения о методах и способах защиты информации в информационных системах персональных данных» и отменой «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» и «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». (внесено 16.03.10)
К вопросу об изменениях к Федеральному закону «О персональных данных» и дальнейших перспективах
Наш комментарий по этому вопросу. (внесено 25.01.10)
К вопросу о переносе сроков реализации Федерального закона «О персональных данных»
В последнее время в средствах массовой информации появились сообщения следующего содержания:
«Минкомсвязи приняло решение о предоставлении до 2012 года отсрочки российским компаниям, деятельность которых подпадает под закон «О персональных данных», вступающий в силу с нового года» или
«на совещании в Аппарате Правительства с участием АРБ и Сбербанка, было принято решение о переносе срока по ст.25 Федерального закона «О персональных данных» на один год», и т.п.
Даём комментарий по этому вопросу. (внесено 17.11.09)
Раздел в стадии наполнения
 

подняться вверх

Все права защищены.
ЭЛВИС-ПЛЮС © 2003-2010
webmaster@elvis.ru

ЗАСТАВА - продукты для информационной безопасности


Техническая поддержка