Защита персональных данных

[broker 30]

30 января 2007 года вступил с силу Федеральный закон №152-ФЗ от 27.07.06 «О персональных данных».

В соответствии с частью 4 статьи 25 данного Закона:

Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

В соответствии с частью 3 статьи 25:

Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Таким образом, все без исключения информационные системы персональных данных должны быть приведены в соответствие с Законом в течении 2009 года.

[p2u 824]

@ broker

Как вы сами оцениваете ситуацию: норматив будет работать на практике? Почему да, почему нет?

Paul

[Андрей-001 1099]

  p2u сказал:

норматив будет работать на практике?

p2u Написано же:

  p2u сказал:

все без исключения информационные системы персональных данных должны быть приведены в соответствие с Законом в течении 2009 года.

С 2010 точно уже будет работать.

Комментарий к Федеральному закону от 27.07.06 № 152-ФЗ «О персональных данных» (что относится к персональным данным и что подразумевается под их обработкой).

[p2u 824]

Пишут много, принимают постоянно законы и проекты по всему миру, но ничего из этого на практике не работает. Фокус моего вопроса именно таким: что именно сами эксперты от этого закона ожидают? Я, например, очень скептически отношусь, и ожидаю, что утечки данных будут продолжаться.

Paul

[Царев Евгений 5]

  p2u сказал:

Пишут много, принимают постоянно законы и проекты по всему миру, но ничего из этого на практике не работает. Фокус моего вопроса именно таким: что именно сами эксперты от этого закона ожидают? Я, например, очень скептически отношусь, и ожидаю, что утечки данных будут продолжаться.

Paul

Скажу вам честно, от этого закона можно максимум ожидать только внимания к этому вопросу. На моем блоге масса материалов на эту тему http://www.tsarev.biz

[p2u 824]

  Царев Евгений сказал:

Скажу вам честно, от этого закона можно максимум ожидать только внимания к этому вопросу. На моем блоге масса материалов на эту тему http://www.tsarev.biz

Я там уже был.

В культуре, где люди только думают:

- 'Ну и что? Переустановим систему'

- 'BackUp есть если что'

- 'Продукт X умеет лечить этот тип заражения'

- 'Это данные босса, не мои'

требуется десятилетие на изменение сознания - без этого никакие хитрые системы работать не будут. Даже лень кнопки 'Windows' + 'L' нажать, когда отходят от своего компьютера.

P.S.: Таких, которые уже лет 10-15 назад начали думать о настоящей защите данных называют до сих пор 'параноиками', а тех грамотных админов (такая редкость!), которые требуют соблюдение мер безопасности - 'нацистами'...

Paul

[broker 30]

  Царев Евгений сказал:

На моем блоге масса материалов на эту тему

А у Вас есть анализ наиболее серьёзных подводных камней с которым могут столкнуться операторы персональных данных?

[broker 30]

http://www.cnews.ru/news/top/index.shtml?2009/04/22/345142

[Мальцев Тимофей 74]

Анализ...

Зачем?

Берем любой Интернет-магазин.

По ФЗ (кажется, Статья 9) необходимо получить ПИСЬМЕННОЕ добро клиента на обработку персональных данных.

То есть, использовать ПДн в целях исполнения договора можно без получения письменного согласия, а вот все дальнейшие действия, как то: рассылка новостей, звонки с предложениями (да пусть даже продление лицензии), возможно, потребует хитростей с включением этих операций в договор, иначе надо будет получать письменное подтверждение согласия клиента, что отнимет хорошее время у исполнителей, да и вообще вряд ли реализуемо... Я не уверен, что галочка в форме при этом будет зачтена за подпись.

Такой вот пессимистический взгляд.

[Сергей Ильин 1538]

  broker сказал:

http://www.cnews.ru/news/top/index.shtml?2009/04/22/345142

Там мой комментарий уже есть, но попробую пояснить свою мысль. Закон был принял уже давно, как-то все вяло раскачивались, особенно чиновники. Никаких разъяснений толком, никаких нормативов по исполнению закона для своих структур. Плюс есть противоречия с другими законами. По одном данные надо показывать, по другим надо охранять - юридические противоречия.

Что кто-то из гос. чиновников почти 2 года ничего не делал для исполнения этого закона - факт. Сейчас начинается простое прикрывание задницы. Финансисты в альянсе с ленивыми чиновниками, которых это в первую очередь касается, вместо того, чтобы работать над соответствием закону, лобируют отсрочку его вступления в силу или вообще отмену.

Ну сделают сейчас отсрочку и что это даст? Будет еще 2 года ничего неделанья. Потом глядишь власть изменится ... попытка задвинуть на защиту персональных данных вообще. А на мой взгляд закон нужен, если мы не хотим, чтобы наши перс. данные продавались на лотках на каждом углу.

Сорри за оффтоп, но все это похоже на планы введения Евро-норм для бензина. Должны были запретить производтсов бензина ниже Евро-3 с января этого года, в итоге из-за нефтяного лобби перенесли на 2 года. Типа отрасль не готова. А куда сверх прибыль потрачена с цен на нефть свыше 100 долларов? В итоге платить за опять за все будем мы - дышим грязным воздухом.

[Мальцев Тимофей 74]

Если честно, то я вообще считаю, что этот ФЗ должен распространяться только на госов и на организации, которые выполняют работы по этим данным для госов.

[seevbon 40]

  Мальцев Тимофей сказал:

я вообще считаю, что этот ФЗ должен распространяться только на госов и на организации, которые выполняют работы по этим данным для госов

Если Вам удастся вспомнить все организации, в которые например Вы сами передали ксерокопию своего паспорта, Ваше мнение не изменится?.. =)

  broker сказал:

есть анализ наиболее серьёзных подводных камней с которым могут столкнуться операторы персональных данных?

Помойму самая серьезная проблема -изменение менталитета персонала большинства операторов.

[Сергей Ильин 1538]

  Мальцев Тимофей сказал:

Если честно, то я вообще считаю, что этот ФЗ должен распространяться только на госов и на организации, которые выполняют работы по этим данным для госов.

А как коммерческие банки, операторы связи, частное здравоохранение, страхование и т.п.?

Не думаю, что кого-либо после обращения туда обрадует перспектива как минимум получать нежелательные звонки от конкурентов с предложениями купить у них что-то. И не потому, что вы дали им свое согласие, а потому, что туда перебежали сотрудники вместе с базой клиентов. А как максимум можно элементарно стать жертвой криминала.

Мне уже звонят из каких-то спорт-клубов, страховых, провайдеров и т.п. Откуда они берут базы? Все ходит по рукам и нет никакой ответственности. Дальше будет только хуже, информатизация уже добирается до самых отсталых слоев. Нужно защищать граждан, для этого и нужен закон, я так себе это вижу.

[Ego1st 95]

Сергей, в банках и остальных таких организация есть своя сб, и если она не справляеться о каком государственом законе может идти речь=))

[p2u 824]

  Сергей Ильин сказал:

А как коммерческие банки, операторы связи, частное здравоохранение, страхование и т.п.?

Им кажется, что у них проблемы посерьёзнее, чем это...

  Сергей Ильин сказал:

А как максимум можно элементарно стать жертвой криминала.

Как максимум, или как минимум? Как вам нравится перспективу, что со временем мы получим страховку по ценам, в зависимости от наших медицинских данных? Значит: генетическая предразполеженность к определённым болезням (можно определить по ДНК) - страховка будет намного дороже, и т.д. Естественно все эти данные не защищаются никак... Это 'узаконенный криминал' будет...

  Сергей Ильин сказал:

Мне уже звонят из каких-то спорт-клубов, страховых, провайдеров и т.п. Откуда они берут базы? Все ходит по рукам и нет никакой ответственности. Дальше будет только хуже, информатизация уже добирается до самых отсталых слоев. Нужно защищать граждан, для этого и нужен закон, я так себе это вижу.

Никому, к сожалению, до этого дело нет. Связка Интернет + мобильный телефон - ваш враг. Самый опасный игрок в этой игре - компания Google; необязательно из-за того, что она плохая, а из-за того, что все на её паразитируют. Ну и провайдеры услуг Интернета и телефона, и все рекламщики сами тоже совести не имеют. Жадность у них ключевой фактор к действию. Добавим туда все прелести настроек программ и операционной системы Windows, где всё на автомат стоит (начиная с XP и новее это вообще ужас в этом смысле), и всё. Индексирование - мощная штука... В США уже нагло домой звонят - 'а нам казалось, что вам нужно вот это или вот это', когда человек на сайте находится, где как раз предлагают такие определённые услуги. Могу ссылки, примеры и цитаты привести, но будет на английском... Говорят нам, что нельзя делать личный профиль на человека по походам его в Интернете. Не верьте тем, которые это говорят - можно запросто... Но можно минимизировать ущерб. Любопытно, что если принимать такие меры, что и риск на заражение зловредами уменьшается почти до нуля...

Paul

[seevbon 40]

  Ego1st сказал:

в банках и остальных таких организация есть своя сб

Начитавшись на этом же форуме про сертификаты и стандарты я позвонил в call-центр своего банка. На мой вопрос про наличие у банка сертификатов МПС дивчина-оператор предложила мне переадресовать этот вопрос СПЕЦИАЛИСТУ, с которым и соединила меня тут же. Тот в свою очередь ответил, что мои персональные данные могут быть выданы банком только по запросу правоохранительных органов в соответствии с действующим законодательством. Я не удержался и задал второй вопрос -если у меня сопрут со счета бабки, значит ли это, что их сперли или работники банка или работники правоохранительных огранов. После этого мы вместе со СПЕЦИАЛИСТОМ довольно долго и сладко поржали...

[seevbon 40]

  p2u сказал:

Связка Интернет + мобильный телефон - ваш враг.

Связка пластиковая карта + мобильный телефон = мой друг. Я нахожусь под защитой стандарта PCI DSS при пополнении счета мобилы со счета карты... =)))

[broker 30]

  seevbon сказал:

Начитавшись на этом же форуме про сертификаты и стандарты я позвонил в call-центр своего банка.

для начала можно поискать название банка в реестре http://pd.rsoc.ru/ и изучить свои права Глава 3 Закона о персональных данных

Затем почитать договор с банком и поискать признаки выполнения банком своих обязанностей как оператора Глава 4, статья 18 Закона о персональных данных.

[seevbon 40]

  broker сказал:

для начала можно

Можно...

Только для начала вовсе не обязательно сразу рассказывать оператору про свои знания.

  broker сказал:

поискать признаки выполнения

Можно...

Только помойму интереснее наоборот -поискать признаки невыполнения.

  Сергей Ильин сказал:

звонят из каких-то спорт-клубов, страховых, провайдеров и т.п. Откуда они берут базы?

Например по запросу на поиск в реестре операторов "ГИБДД" -есть ли там ГИБДД Вашего ГУВД?

Если аудиторы и "продавцы решений" заставят операторов выполнять требования Закона -это только на пользу гражданам. А как будут преодолены в установленный срок разногласия и разночтения -пусть думают те, кому положено. Не перетрудились и не перетрудятся ИМХО.

[p2u 824]

  seevbon сказал:

Если аудиторы и "продавцы решений" заставят операторов выполнять требования Закона -это только на пользу гражданам. А как будут преодолены в установленный срок разногласия и разночтения -пусть думают те, кому положено. Не перетрудились и не перетрудятся ИМХО.

А как их заставить-то? Закон с другой стороны требует, чтобы Провайдер выдал отчёты журналов органам по требованию. Раз журналы и данные есть, как их контролировать? Кризис идёт, понимаете - всем кушать надо. О, у нас права, вы хотите сказать? Права есть - но попробуйте их осуществить сначала. Фиг покажут. На все случаи готов механизм защиты - причём придираться никак...

И ещё не забудем, как ОС работает. Как это всё урегулировать? Открыли ящик пандора; теперь придётся терпеть. Защита персональных данных - это иллюзия. Читаем, например, здесь.

Paul

[seevbon 40]

  p2u сказал:

А как их заставить-то? ... На все случаи готов механизм защиты - причём придираться никак...

В Законе прописана ответственность...

Если операторы не хотят минимизировать свои репутационные и финансовые риски путем соответствия законам стандартам и т.д. тогда эти риски нужно максимализировать всеми доступными законными средствами. И пиар на троянах в банкоматах -это правильно и полезно. И нечего стесняться называть эти банки http://bankir.ru/news/experts/lukatsky/1856999 Или показывать крупным планом по ТВ поддельные пластиковые карты даже не называя банка - на картах он хорошо читается. Или поддельные SIM-карты опсосов -тож на вид не перепутаете.

[p2u 824]

  seevbon сказал:

В Законе прописана ответственность...

Прописана, да. В УК РФ тоже много всего прописано, но только тот, кто не знает процессуальный кодекс, кто не имеет деньги на адвоката, и кто не выдерживает 'допрос' жёстко наказывается. В конституции даже прописаны наши с вами права, а как они каждый день нарушаются! Попробуйте доказывать, что определённый ФЗ не соответствует конституции - вас так пошлют, что всю жизнь не забудете...

Потом есть ещё одна проблема: как обнаружить нарушение? Например: на западе некоторые рекламщики уже устанавливают девайс для Deep Packet Inspection от компании Phorm прямо в сети провайдера. За это они оплачивают провайдерам крупные суммы. Это делается для того, чтобы более эффективно подать клиенту рекламу. Клиентов, естественно, ни о чём не спрашивают. Это значит, что КАЖДЫЙ пакет от вас и обратно обслеживается до того, как дойдёт до точки назначения. Как это доказывать?

Обычно проверки по законности делаются через оформление бланков. Умеете выполнить бланк, значит у вас всё в порядке. В стране, где через компанию ведётся двойная бухгалтерия это вам должно быть знакомо. Так как речь идёт об области, в котором судья вообще не разбирается, обвиняемый (или ответчик) вызывает эксперта, который говорит то, что требуется. Вы всегда будете оказаться дураком, даже если у вас 3 высших образования.

В США уже давно строгие законы по охранению персональной информации. Однако, и в этой стране количество случаев Identity Theft ('Кража Личности') в он-лайне наиболее высоким. Всегда как банкир можно ссылаться на дыры в ПО (особенно в том ПО, что у юзера).

Paul

[seevbon 40]

  p2u сказал:

Прописана, да. В УК РФ тоже много всего прописано, но только тот, который не знает процессуальный кодекс, кто не имеет деньги на адвоката, и кто не выдерживает 'допрос' жёстко наказывается.

Юридическая грамотность населения растет. Разве нет?..

  p2u сказал:

Потом есть ещё одна проблема: как обнаружить нарушение?

1.Найти свои ПДн в базе налоговой или ГИБДД, находящиеся в нелегальном но свободном доступе?

2.SMS-уведомления клиента банка о несуществующих транзакциях по карте и как следствие -неправильном платежном лимите карты -несанкционированное внесение изменений? Или нет? Это же прямая угроза здоровью разнервничавшего неслабо клиента -сам наблюдал однажды. Корвалол и Скорая -а бабки никто не крал. Только это выясняется позже.

3.Доставка курьером счетов за услуги телефонной компании и втыкание им этих счетов даже без конвертов в щели на дверях квартир в подъезде, после чего эти счета по всему подъезду валяются?

4.Вывешивание для всеобщего порицания на дверях подъездов списков должников по квартплате и оплате коммунальных услуг?

5.Выкладывание в сети скана известного паспорта?

С 1 вроде понятно. С 2 -нет. С 3-5 вроде нарушения не Закона а Постановления от 15 сентября 2008 №687

"Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Юристы, а вот интересно -реально будет отбить бабки за долги у ЖЭКа -они развесили пристыдили и иск в суд. А им в ответ встречный за разглашение? И мировая? =)))

[p2u 824]

  seevbon сказал:

Юридическая грамотность населения растет. Разве нет?..

Боюсь, что нет. Наоборот - неграмотность стала модой.

  seevbon сказал:

1.Найти свои ПДн в базе налоговой или ГИБДД, находящиеся в нелегальном но свободном доступе?

Вы имеете в виду на компакт-дисках на Горбушке в Москве? Там целые базы милиции можно даже найти с адресами и телефонами...

  seevbon сказал:

2.SMS-уведомления клиента банка о несуществующих транзакциях по карте и как следствие -неправильном платежном лимите карты -несанкционированное внесение изменений? Или нет? Это же прямая угроза здоровью разнервничавшего неслабо клиента -сам наблюдал однажды. Корвалол и Скорая -а бабки никто не крал. Только это выясняется позже.

Не представляю вообще, как такие вещи будут приниматься в качестве доказательства против банка на суде. Кто-то иницировал соединение. Кто? Не сам банк же? Одни анонимы в сети, знаете...

  seevbon сказал:

3.Доставка курьером счетов за услуги телефонной компании и втыкание им этих счетов даже без конвертов в щели на дверях квартир в подъезде, после чего эти счета по всему подъезду валяются?

Уже годами норма, кажется. Можно естественно обжаловать это. Сам почтамт не наказывается никогда, а уволняют того неудобного лица, от которого всё равно уже давно хотели избавиться. Или переносят его/её на другой отдел (моя жена работала в таких структурах; она мне рассказывала).

  seevbon сказал:

4.Вывешивание для всеобщего порицания на дверях подъездов списков должников по квартплате и оплате коммунальных услуг?

Тоже вижу регулярно. Пытаюсь туда не попасть. Желаю удачи обжаловать это в суд. В каждом законе есть оговорка 'если иное не предусмотрено федеральным законом' и т.д. Естественно сам ЖЕК здесь не причём - в лучшем случае вину свалится всё на того, кто наклеил список (на вахтёршу, допустим).

  seevbon сказал:

5.Выкладывание в сети скана известного паспорта?

Мерзко, да. Но как доказать кто это сделал в среде, где одни анонимы?

  seevbon сказал:

"Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Бла-бла-бла это всё пока нет нормального механизма проверки.

Paul

[seevbon 40]

  p2u сказал:

на Горбушке

Административная ответственность на юридическом лице. А уголовная -на физическом. Ведь так? Ну суд - не суд. А по жалобам проводить проверки любители всегда найдутся. И механизмы у них есть. Особобенно -если плановой проверки не предвидится но очень хочется чего нибудь проверить. Все равно стремиться к улучшению ситуации надо. Я на это надеюсь =)

  p2u сказал:

Не представляю вообще, как такие вещи будут приниматься в качестве доказательства против банка на суде. Кто-то иницировал соединение. Кто? Не сам банк же?

Вот это интересно. Я почитывал некоторые публичные договора. Банк не несет ответственности при недоступности сервиса по причине "отказ в обслуживании". Но отправляет клиенту ложные данные при каком то сбое. Разве такая информационная система банка может считаться безопасной? Очевидно -нет. Это для банка только репутационный риск?