Re: Приказ ФСТЭК № 58 от 05.02.2010
УВЫ! требования которые в настоящий момент нарушаются изменениями не закроются - у закона нет обратной силы-)))
Клуб специалистов информационной безопасности
Клуб неформального общения специалистов в области информационной безопасности
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Клуб специалистов информационной безопасности → Технические вопросы построения защиты ИСПДн → Приказ ФСТЭК № 58 от 05.02.2010
Чтобы отправить ответ, вы должны войти или зарегистрироваться
УВЫ! требования которые в настоящий момент нарушаются изменениями не закроются - у закона нет обратной силы-)))
УВЫ! требования которые в настоящий момент нарушаются изменениями не закроются - у закона нет обратной силы-)))
Я уже просил Вас это обосновать. Так и не дождался...
См. ст. 54 Конституции, ст.10 УК РФ и ч.2 ст.1.7 КоАП
Смягчающий Закон имеет обратную силу. Устанавливающий и ужесточающий - не имеет.
Dmitry Leviev пишет:УВЫ! требования которые в настоящий момент нарушаются изменениями не закроются - у закона нет обратной силы-)))
Я уже просил Вас это обосновать. Так и не дождался...
См. ст. 54 Конституции, ст.10 УК РФ и ч.2 ст.1.7 КоАП
Смягчающий Закон имеет обратную силу. Устанавливающий и ужесточающий - не имеет.
Любые изменения закона о персональных данных будут смягчающий для оператора, но уменьшать меры по защите для субъекта. Соответственно, внесение таких изменений будет с даты принятия поправок. В качестве примера посмотрите 363-ФЗ - для внесения изменения в сроки приведения в соответствия технических систем изменили определение старых систем, при этом требования по правовому обеспечению не вносились!!
Любые изменения закона о персональных данных будут смягчающий для оператора, но уменьшать меры по защите для субъекта. Соответственно, внесение таких изменений будет с даты принятия поправок.
Не-а
Надеюсь, что будет смягчение в вопросе "защиты от регулятора" и установление в вопросе защиты прав субъекта (ибо последнего пока нет).
защита от регулятора - 294-ФЗ
защита интересов субъекта - это вопрос постановлений правительства - на уровне ФЗ все прописано в соответствии с конституцией
на уровне ФЗ все прописано в соответствии с конституцией
Неужели?
Тогда объясните мне:
- нафига Закон требует предоставления паспортных данных при предоставлении согласие на обработку ПДн в целях продвижения товаров и услуг (дисконты, оповещение о новых товарах и услугах и т.п.) и политической агитации?
- почему коммерческая организация не имеет права спросить потенциального клиента/работника о наличии судимости?
- почему вместо "презупции добросовестности" оператора в ЗоПД заложена "презумпция виновности"?
- почему для обеспечения доверенности инсайдеров/секретносителей, из числа собственного персонала, работодателю (не гос/муниципальной структуре и не работающего с ГТ) требуется нарушать Закон?
- почему, в нарушение п.3 ст.17 Конституции, право субъекта абсолютизировано
- и т.д. и т.п.
Тогда объясните мне:
- нафига Закон требует предоставления паспортных данных при предоставлении согласие на обработку ПДн в целях продвижения товаров и услуг (дисконты, оповещение о новых товарах и услугах и т.п.) и политической агитации?
Для продвижения товаров и услуг нет необходимости спрашивать паспортные данные. Есть требование спросить согласие, но не в письменной форме. На практике - все партнеры, с которыми я работаю по ПДн в части ретайла, не собираются брать данные, больше необходимого в части ФИО, телефон, эл.почта и для рассылки каталога - адрес почтовой доставки. РКН это все согласовал-))
toparenko пишет:Тогда объясните мне:
- нафига Закон требует предоставления паспортных данных при предоставлении согласие на обработку ПДн в целях продвижения товаров и услуг (дисконты, оповещение о новых товарах и услугах и т.п.) и политической агитации?Для продвижения товаров и услуг нет необходимости спрашивать паспортные данные. Есть требование спросить согласие, но не в письменной форме. На практике - все партнеры, с которыми я работаю по ПДн в части ретайла, не собираются брать данные, больше необходимого в части ФИО, телефон, эл.почта и для рассылки каталога - адрес почтовой доставки. РКН это все согласовал-))
То, что РКН это согласовал еще не значит, что нет "косяка" в ЗоПД:
1. Необходимость доказательства согласия вынуждает брать его письменно
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Ну а далее смотрим, что там должно сдержаться
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
Согласие берется на бумаге, но не по форме письменного согласия - конституция выше.
Согласие берется на бумаге, но не по форме письменного согласия - конституция выше.
Конституции как раз эта избыточность не противоречит (раз указали в согласии эти данные - значит согласны). Это противоречит Евроконвенции:
Статья 5. Требования, предъявляемые к данным
Персональные данные, проходящие автоматическую обработку:
с. должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
если брать 152-ФЗ - то минимально необходимые для достижения цели.
если брать 152-ФЗ - то минимально необходимые для достижения цели.
По выделенному красным - ткните пальцем, хде это в 152-ФЗ.
Статья 5. Принципы обработки персональных данных
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
Статья 5. Принципы обработки персональных данных
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
Та же статья:
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
Закон требует... Хотя клиенты "шарахаются" от такого...
Кстати "оператор" в данном случае не определяет ни цели, ни объем обрабатываемых ПДн.
Коллеги - объясните тупому: после 58 Приказа операторам ПДн (т.е. конфиденциалки) по-прежнему надо получать лиценизю на ТЗКИ - или это требование осталось для компаний, привлекаемых операторами по аутсорсингу (т.е. оказывающих услуги по ТЗКИ сторонним организациям на коммерческой основе)? Ведь если для собственных нужд ставим МСЭ, это не будет "деятельностью" в понимании ГК, и не будет "услугой в области ИБ" в понимании ОКВЭД (услуга предполагает наличие 2 сторон и возмездность в отношениях между ними).
Коллеги - объясните тупому: после 58 Приказа операторам ПДн (т.е. конфиденциалки) по-прежнему надо получать лиценизю на ТЗКИ - или это требование осталось для компаний, привлекаемых операторами по аутсорсингу (т.е. оказывающих услуги по ТЗКИ сторонним организациям на коммерческой основе)? Ведь если для собственных нужд ставим МСЭ, это не будет "деятельностью" в понимании ГК, и не будет "услугой в области ИБ" в понимании ОКВЭД (услуга предполагает наличие 2 сторон и возмездность в отношениях между ними).
Коллеги - объясните тупому: после 58 Приказа операторам ПДн (т.е. конфиденциалки) по-прежнему надо получать лиценизю на ТЗКИ - или это требование осталось для компаний, привлекаемых операторами по аутсорсингу (т.е. оказывающих услуги по ТЗКИ сторонним организациям на коммерческой основе)? Ведь если для собственных нужд ставим МСЭ, это не будет "деятельностью" в понимании ГК, и не будет "услугой в области ИБ" в понимании ОКВЭД (услуга предполагает наличие 2 сторон и возмездность в отношениях между ними).
Если за оказание услуги вы берете деньги, а в услугу согласно договора входит техническая защита персональных данных - то надо получать лицензию.
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Клуб специалистов информационной безопасности → Технические вопросы построения защиты ИСПДн → Приказ ФСТЭК № 58 от 05.02.2010
Currently installed 2 official extensions. Copyright © 2003–2009 PunBB.