Защита персональных данных

[Андрей-001 1099]

давайте не будем оффтопить и язвительно передергивать

И не думал даже. Реальное положение вещей - не в пользу простых пациентов и работников.

Верхняя строчка Вашей газеты. Возьмём мой регион.

Инструкция для честных

http://www.rg.ru/2009/10/02/banki.html

Минжилкомхоз региона на этой неделе опубликовал приказ N 01/06-129 "О порядке уведомления министра о фактах обращения в целях склонения государственного гражданского служащего к совершению коррупционных правонарушений". В соответствии с этим документом все сотрудники данного ведомства обязаны немедленно письменно уведомить министра о поступающих им "интересных предложениях". Видимо, для того чтобы чиновники не испытывали затруднения с изложением обстоятельств покушения на их честь и достоинство, к приказу прилагается образец документа, в котором по пунктам расписаны детали факта "склонения": точное время, адрес, обстоятельства (телефон, почта, личная встреча и др.), способ (угроза, подкуп, обман и т.д.) и, разумеется, причина провокации. В отделе кадров все такие обращения будут фиксироваться в специальный журнал, все страницы которого будут пронумерованы, прошнурованы и скреплены гербовой печатью. В течение часа руководитель ведомства должен быть информирован об угрозе, нависшей над репутацией жилищно-коммунального хозяйства, и принять меры для предотвращения правонарушения.

Защита руководства от подлых взяточников - обычных людей, ищущих для себя... (не буду говорить чего).

и далее по ссылкам вплоть до новой

http://www.rg.ru/2009/09/10/reg-bashkortostan/peremena.html

В Башкирии лишь каждый десятый выпускник покидает школу абсолютно здоровым

[Mona Sax 50]

И не думал даже. Реальное положение вещей - не в пользу простых пациентов и работников.

разумеется. только мне, например, хочется выделить неточности и недоработки в законодательстве, а также узнать, прописаны ли некоторые ключевые моменты. а не обсуждать кто в таких местах работает и лечится. спасибо за понимание.

[Андрей-001 1099]

1. Законы – основа любого государства и его властьимущих.

Искать изъяны в их законах можно, но изменить их, к нашему общему сожалению и в нашу пользу, нельзя.

2. Правосудия, как такового, никогда не было, правы бывают только судья.

[Mona Sax 50]

1. Законы – основа любого государства и его властьимущих.

Искать изъяны в их законах можно, но изменить их, к нашему общему сожалению и в нашу пользу, нельзя.

2. Правосудия, как такового, никогда не было, правы бывают только судья.

но с этим надо что-то делать, не так ли ??

так или иначе, приводить свои внутренние системы в порядок, пусть даже после N-дцать поправок, придется. и придется не столько юристам, сколько ИТ(/ИБ)-персоналу. моя компания следит за изменениями в этой сфере, а Ваша ??

[broker 30]

но вполне логично, что только лишь по ФИО _или_ дате рождения невозможно определить субъект

Вопрос давно обсуждается, есть рекомендации (возможно даже общественное мнение), что надо придерживаться "системы координат" в которой рассматривается субъект персональных данных.. пример в рамках одного подъезда для идентификации достаточно иметь ФИО и номер квартиры, в рамках дома, надо иметь подъезд, ФИО, номер квартиры и т п..

Таким образом, если в рамках рассматриваемой системы этих данных достаточно для идентификации субъекта - то достаточно если нет, то нет

[Mona Sax 50]

Вопрос давно обсуждается, есть рекомендации (возможно даже общественное мнение), что надо придерживаться "системы координат" в которой рассматривается субъект персональных данных.. пример в рамках одного подъезда для идентификации достаточно иметь ФИО и номер квартиры, в рамках дома, надо иметь подъезд, ФИО, номер квартиры и т п..

Таким образом, если в рамках рассматриваемой системы этих данных достаточно для идентификации субъекта - то достаточно если нет, то нет

то есть минимальный набор определяется субъективно и может внезапно не совпасть с иным, также субъективным, мнением проверяющих уполномоченных органов ??

[Мальцев Тимофей 74]

Если перейти к конкретике.

Mona Sax, у вас в ОК ведь хранятся не только ФИО, правда?

Паспортные данные, однозначно идентифицирующие субъекта?

Данные о супругах, детях?

Так что персональные данные есть точно (как минимум).

Категорию ПД вы определяли?

[Mona Sax 50]

Категорию ПД вы определяли?

да, в совокупности под вторую подходим. но, опять же, вопрос - этой информации достаточно - для кого??и можно ли однозначно определить по ней субъекта ПД??

[Мальцев Тимофей 74]

... но, опять же, вопрос - этой информации достаточно - для кого??

и можно ли однозначно определить по ней субъекта ПД??

По ФИО и паспорту???

[Mona Sax 50]

По ФИО и паспорту???

а где определено, что паспортные данные, переданные в результате начала трудовых отношений - это тот минимум ПД, который уже нужно защищать??

вот я захожу на территорию датацентра, например - у меня охрана переписывает паспортные данные. считается ли это нарушением законодательства в области обработки ПД??

действительно крайне интересная область, потому что непонятны эти "тонкие грани"

[Мальцев Тимофей 74]

Паспортные данные однозначно позволяют идентифицировать субъекта персональных данных.

[vovan7777 95]

а такие штуки как радарикс и не спросит паспортные данные,а легко даст все,включая справку из налоговой за определенный год и номер на двигателе в вашем авто...

Mona Sax,

а как совмещается последняя строка из вашей подписи с зелененьким значком?

[Mona Sax 50]

Паспортные данные однозначно позволяют идентифицировать субъекта персональных данных.

не вижу в законе строчку про однозначность.

Mona Sax,

а как совмещается последняя строка из вашей подписи с зелененьким значком

нормально совмещается. корпоративно, а не персонально.

[dav 5]

Комитет по безопасности, Комитет по конституционному законодательству и государственному строительству и Комитет по финансовому рынку провели 20 октября 2009 года Парламентские слушания на тему: "Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных"

ссылка

Комплект док-ов, который выдавался для слушания

Проект рекомендаций по слушаниям

не вижу в законе строчку про однозначность.

нормально совмещается. корпоративно, а не персонально.

У вас в компании очень сильные юристы, которые готовы создать прецедент и выиграть суд у государства.

[Mona Sax 50]

У вас в компании очень сильные юристы, которые готовы создать прецедент и выиграть суд у государства.

а я где-то сказала, что мы не будем защищать наши данные??отнюдь, этим вопросом мы сейчас занимаемся достаточно подробно.

а в данной теме я привела неоднозначность трактования текущего законодательства с сухой юридической точки зрения и пытаюсь выяснить, что с этим вопросом делать и где искать.

[broker 30]

На сайте ФСТЭК опубликованы документы:

1) Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

2) Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных

http://www.fstec.ru/_razd/_ispo.htm

[Мальцев Тимофей 74]

не вижу в законе строчку про однозначность

Так это не из закона, это из меня.

[dav 5]

Если в ИСПДн хранящиеся записи маскированы, а только реально отображаются непосредственно на оконечном узле. в этом случае вероятно не потребуется защита сертифицированными средствами серверного оборудования. Как думаете?

[broker 30]

Персональные данные: отсрочка проверок все ближе

http://cnews.ru/news/top/index.shtml?2009/12/11/373063

[Сергей Ильин 1538]

Персональные данные: отсрочка проверок все ближе

Все таки пролобируют я чувствую ... Но за одно еще и поправки внесут, так что мало не покажется никому.

Кстати, немного в другую сторону мысль. Сегодня перечитывал в очередной раз ФЗ-152 и некоторые документы ФСТЭК. На что обратил внимание. Платежные данные, а именно номера кредитных карт не фигурируют в качестве персональных данных. Это действительно так или я плохо искал?

Уж более персональные данные придумать сложно. Фиг с ней с информацией о состоянии здоровья, вероисповедании и т.п., это мало кому нужно, воруют то именно номера кредиток в основном!

[dav 5]

Все таки пролобируют я чувствую ... Но за одно еще и поправки внесут, так что мало не покажется никому.

Кстати, немного в другую сторону мысль. Сегодня перечитывал в очередной раз ФЗ-152 и некоторые документы ФСТЭК. На что обратил внимание. Платежные данные, а именно номера кредитных карт не фигурируют в качестве персональных данных. Это действительно так или я плохо искал?

Уж более персональные данные придумать сложно. Фиг с ней с информацией о состоянии здоровья, вероисповедании и т.п., это мало кому нужно, воруют то именно номера кредиток в основном!

по фамилии, имени и номеру кредитной карточки за пределами оператора ПДн (организации, банка) трудно идентифицировать личность. Я думаю что это больше подходит к банковской тайне. Хотя текущая формулировка термина ПДн позволяет туда отнести все подряд. Моя организация, как оператор ПДн, считает номера кредитных карточек персональными данными. Лучше перебдить, чем недобдить.

[alexgr 556]

Согласно PCI DSS номер платежной карты является минимальной информацией кардхолдера, подлежащей защите. То есть - подлежит обязательной защите, если эта карта брендирована МПС (международными платежными системами)

[Сергей Ильин 1538]

по фамилии, имени и номеру кредитной карточки за пределами оператора ПДн (организации, банка) трудно идентифицировать личность.

Согласен, личность установить по данным банковской карты почти нереально. Штука в том, что по факту для большинства людей - это самая что ни есть персональная информация и очень важная. Получается какой-то конфуз.

Хотя текущая формулировка термина ПДн позволяет туда отнести все подряд.

Можно отнести, но что это будет класс К4?

Согласно PCI DSS номер платежной карты является минимальной информацией кардхолдера, подлежащей защите. То есть - подлежит обязательной защите, если эта карта брендирована МПС (международными платежными системами)

Да, вот PCI DSS затыкает эту дыру и, что интересно, без всякого на то участия государства.

[dav 5]

Да, вот PCI DSS затыкает эту дыру и, что интересно, без всякого на то участия государства.

PCI DSS -- это требование иностранное, которое необязательно для исполнения в России. Выполнять требования PCI DSS только начали сейчас в основном крупные банки, процессинги, торговые сети. До мелких и средних мерчантов дело в ближайшее будущее вряд ли дойдет.

[Сергей Ильин 1538]

Давайте посмотрим, а что там у них. Вот свежий пример из законодательства США.

Federal Data Breach Bill (H.R. 2221)

H.R. 2221 defines personal information as, "an individual's first name or initial and last name, or address, or phone number, in combination with any 1 or more of the following data elements for that individual:

* (i) Social Security number

* (ii) Driver's license number or other State identification number

* (iii) Financial account number, or credit or debit card number, and any required security code, access code, or password that is necessary to permit access to an individual's financial account."

Четко и ясно.