Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Персональные данные

    Можно ли фотографию отнести к числу персональных данных и возможно ли признать её биометрическими данными?

    Безусловно, фотография относится и к персональным данным и к биометрическим персональным данным, то есть данные, которые содержат биологические свойства, психологические характеристики, черты жизни или повторяющиеся действия, являющиеся уникальными для субъекта и измеряемыми, даже если образцы, используемые для измерения вносят определенную степень вероятности (неопределенности). Специфика биометрических данных состоит в том, что их можно рассматривать и как информацию о субъекте, и как «идентификатор». В самом деле, в силу уникальности их связи с определенным лицом, биометрические данные могут быть использованы для идентификации этого лица.

    Нужно ли получать согласие на трансграничную передачу персональных данных, являющихся общераспространенными в силу закона?

    Статья 12 Закона не делает исключений для общедоступных персональных данных. Следовательно такое согласие требуется.

    Работник нашей зарубежной организации не является гражданином РФ, его данные обрабатываются в наших информационных системах, в частности, в электронных справочниках. Обязаны ли мы получить у него согласие на обработку?

    Если оператор персональных данных и его информационная система размещается на территории Российской Федерации, то он полностью подпадает под юрисдикцию законов Российской Федерации. Согласно ст. 2.1 ГК РФ правила, установленные гражданским законодательством, применяются к отношениям с участием иностранных граждан, лиц без гражданства и иностранных юридических лиц, если иное не предусмотрено федеральным законом. Законом «О персональных данных» иное не предусмотрено, следовательно, на работников зарубежной организации распространяются требования этого Закона.

    Когда необходимо получать согласие субъекта персональных данных на их обработку?

    К сожалению, Роскомнадзор практически всегда понимает, что согласие на обработку персональных данных должно быть получено исключительно в письменном виде.

    Хотя сам закон предполагает лишь 5 случаев получения письменного согласия в случае:

    1. обработки специальных категорий персональных данных (данные о здоровье, расовой и национальной принадлежности и т.д.);
    2. обработки биометрических ПДн;
    3. включения ПДн в общедоступные источники (справочники, адресные книги и т.д.);
    4. необходимости трансграничной передачи персональных данных, в случае, когда принимающая сторона не обеспечивает адекватного уровня защиты;
    5. принятия решений, порождающих юридические последствия для субъектов ПДн при исключительно автоматизированной обработке ПДн.

    В остальных случаях согласие может быть получено другим образом.

    Как поступать в том случае, когда взять личное согласие субъекта на обработку персональных данных проблематично (коллективные договора страхования и пр.)?

    Во-первых, закон не дает жесткого требования по получению согласия. Есть целый ряд изъятий, когда оно не требуется, например, при работе в рамках заключенного договора. В данном случае коллективный договор страхования и есть тот самый договор, на основании которого проводится дальнейшая обработка ПДн, а значит получать отдельно согласие субъектов не нужно.

    Чтобы обезопасить себя полностью, в договоре коллективного страхования необходимо зафиксировать, что «работодатель на основании согласия своих работников передает …», т.е. ответственность по получению согласия на обработку ПДн от субъектов фиксируется на другой Стороне договора.

    Каково распределение ответственности при передаче персональных данных третьим лицам?

    Ответственность по получению согласия субъектов на обработку ПДн в данном случае лежит на Операторе. А в договоре с третьим лицом, при передаче ему в обработку ПДн, должно быть отдельным пунктом предусмотрено выполнение (ответственность за выполнение) таким третьим лицом требований Оператора по защите персональных данных.

    Что такое сертификация? Речь идет о сертификации СЗИ (средств защиты информации) или информационной системы, обрабатывающей персональные данные?

    1. Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров (а также требованиям, устанавливаемых уполномоченными органами государственной власти).

    В соответствии с п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) средства защиты информации (СЗИ), применяемые в информационных системах обработки персональных данных, в должны проходить в установленном порядке процедуру оценки соответствия.

    Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» установлены два метода оценки соответствия: сертификация и декларирование соответствия.

    В настоящее время порядок сертификации СЗИ в системе сертификации ФСТЭК России установлен «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199). Процедура оценки соответствия методом декларирования ФСТЭК России будет разработана и введена в действие ориентировочно в конце 2008 г.

    2. В РД по защите персональных данных речь идёт о:

    • оценке соответствия СЗИ (или путём сертификации или декларирования о соответствии);
    • сертификации системы защиты информационной системы, обрабатывающей ПДн, на соответствие заданию по безопасности или профилю защиты (в случае если ЗБ или ПЗ для ИС разрабатывались в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-2002 и соответствующих РД ФСТЭК России).

    Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2?

    Так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме (см. ответ по п. 9) (т.е. система защиты будет более сложной), то и её стоимость будет выше.

    Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз.

    Последовательность шагов Оператора персональных данных по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»?

    Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:

    1. провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн;
    2. урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
    3. оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
    4. разработать модель угроз (на основании результатов обследования ИС);
    5. провести классификацию ИС с оформлением соответствующего акта;
    6. получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
    7. определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и результатами моделирования;
    8. осуществить проектирование СОБИ;
    9. реализовать проект на создание СОБИ;
    10. провести оценку соответствия ИС ПДн требованиям безопасности согласно присвоенному классу.
    11. организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.

    Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников?

    Руководящие документы ФСТЭК России распространяются только на вопросы технической защиты персональных данных при их автоматизированной обработке в ИСПДн.

    Поэтому правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу.