Защита персональных данных

[bse 115]

Валерий Сентябов, спасибо за ответ.

[broker 30]

А доказывать, что обработка осуществляется без участия человека, организация как раз не обязана. При участии - и точка. Доказать, что инициируемое мною лично копирование данных 100 или 1000 человек не есть передача при непосредственном участии - невозможно. Я участвую в процессе.

Можно ли подтвердить данное суждение выдержками из нормативных документов.

[Валерий Сентябов 0]

Цитата(Валерий Сентябов @ 26.08.2009, 12:30)

А доказывать, что обработка осуществляется без участия человека, организация как раз не обязана. При участии - и точка. Доказать, что инициируемое мною лично копирование данных 100 или 1000 человек не есть передача при непосредственном участии - невозможно. Я участвую в процессе.

Можно ли подтвердить данное суждение выдержками из нормативных документов.

Увы, broker, но в ППРФ 687 сказано лишь, что

"Обработка персональных данных, содержащихся в информационной системе ... считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека

Т.е. при обработке данных каждого субъекта человек участвует непосредственно, но никак не определено, что еще при этом используется. Для меня очевидно только, что - некоторые программно-технические средства однозначно, т.к. копировать данные из ИСПДн на материальный носитель (распечатка, дискета, винчестер и т.п.) без упомянутых средств невозможно.

Что значит "данных в отношении каждого субъекта" - тоже вопрос. Просматривать каждый набор данных визуально? Иметь "движок", индицирующий каждый набор данных с возможностью прервать, отменить или просто наблюдать?

Четкого определения нет, поэтому суд, например, может попытаться оспорить непосредственное участие в отношении каждого. Однако есть доказательство от обратного. Могла ли конкретно оспариваемая операция обработки данных (копирование, например) осуществляться без непосредственного участия? Ответ может быть - нет. Причина - в ИСПДн отсутствуют недекларированные возможности, а любые действия инициируются не автоматически, а при участии человека. Следовательно сие можно рассматривать как непосредственное участие . Согласен, доказательство выглядит несколько скользким, но иного нет.

[bse 115]

"Минкомсвязи против переноса срока реализации закона «О персональных данных»"

http://www.osp.ru/news/2009/0827/9973574/

[broker 30]

Операции по обработке персональных данных в ИСПДн

1. Сбор
2. Систематизация
3. Накопление
4. Хранение
5. Уточнение (обновление, изменение)
6. Использование
7. Распространение (в том числе передача)
8. Уничтожение

Неавтоматизированная обработка ПД – следующие виды обработки, осуществляемые при непосредственном участии человека:

1. хранение
2. уточнение (обновление, изменение)
3. использование
4. распространение (в том числе передача)
5. уничтожение

Если в ИСПДн осуществляется только операция «хранение», то обработка также является неавтоматизированной.

По операциям «сбор», «систематизация», «накопление» дополнительных сведений нет.

[bse 115]

Инсайдеры 2009: кризис диктует свои условия...

Анализ подсказывает, что риски стать жертвой утечки конфиденциальных данных слабо зависят от типа оператора, обрабатывающего эти данные, будь то государственный орган, коммерческое предприятие, учебное заведение и т.п. На уровне концепции защиты отдельные решения для каждого типа вряд ли целесообразны.

http://internet.cnews.ru/reviews/index.sht.../08/25/359105_2

Здравый смысл подсказывает, что анализ подсказывает неправильный вывод.

[broker 30]

Здравый смысл подсказывает, что анализ подсказывает неправильный вывод.

Надо спросить у АВТОРА, что же он имел ввиду.. кстати сделать это очень просто.

[Валерий Сентябов 0]

Операции по обработке персональных данных в ИСПДн

Сбор

Систематизация

Накопление

Хранение

Уточнение (обновление, изменение)

Использование

Распространение (в том числе передача)

Уничтожение

Неавтоматизированная обработка ПД – следующие виды обработки, осуществляемые при непосредственном участии человека:

хранение

уточнение (обновление, изменение)

использование

распространение (в том числе передача)

уничтожение

Если в ИСПДн осуществляется только операция «хранение», то обработка также является неавтоматизированной.

Уточнение. Во-первых, давайте опреедлимся, откуда взяли определения по обработке ПД. Если из ФЗ, так он относится как к автоматизированной, так и не автоматизированной обработке.

Далее. В ПП687 сказано, что обработка считается неавтоматизированной, если при непосредственном участии человека осуществляются перечисленные вами действия. При этом не сказано, исключаются остальные (сбор, систематизация) или вне зависимости от наличия данных действий обработка все-равно неавтоматизирована, т.к. действия, перечисленные явно, относят обработку к неавтоматизированной .

Это - просто констатация по тексту документов .

[broker 30]

При этом не сказано, исключаются остальные (сбор, систематизация) или вне зависимости от наличия данных действий обработка все-равно неавтоматизирована, т.к. действия, перечисленные явно, относят обработку к неавтоматизированной

не вводите уважаемых читателей форума в заблуждение..

Применение 687 положения на практике очень неоднозначно при неавтоматизированной обработке ПД с использованием ЭВМ.. По крайней мере Вы меня не убедили, что это неавтоматизированная обработка

[dav 5]

Кто-нибудь сталкивался со способом понижения класса 1 до класса 3?

[broker 30]

класса 1

А какие у вас ПД обрабатываются в ИСПДн?

[dav 5]

А какие у вас ПД обрабатываются в ИСПДн?

кадровая информация в максимальном объеме, включая национальность

производственная база с миллионами записей о ПДн не работников организации

[Mona Sax 50]

а подскажите, пожалуйста, оговорен ли где-либо 'минимальный набор' сведений??

то есть:

в 152-ФЗ есть такой пункт

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

но вполне логично, что только лишь по ФИО _или_ дате рождения невозможно определить субъект.

[Кирилл Керценбаум 671]

а подскажите, пожалуйста, оговорен ли где-либо 'минимальный набор' сведений??

к сожалению не оговорен, и никто из ответственных органов четкого ответа на этот вопрос дать не может, и поэтому, например, даже непонятно, являются ли Фамилия+Имя+Отчество прямо идентифицирующими субъект персональных данных или нет

[Mona Sax 50]

то есть формально получается, что даже при наличии в организации отдела кадров, в котором совокупно содержатся ФИО, дата рождения, прописка и иные ПД, определенные законодательством - необязательно аттестовывать любую систему обработки ПД, ссылаясь на то, что это не есть необходимый минимум, для того чтобы данную совокупность защищать, насколько я поняла??

просто к чему это я...разбирала данный вопрос с юристом, ответ был именно таков: при отсутствии в законодательстве четко описанного минимума мы можем трактовать данный закон 'с нашей точки зрения', то есть не соблюдать его требования ввиду того, что у нас нет в обработке этого требуемого минимума, с которого этот закон начинает применяться.

[Андрей-001 1099]

мы можем трактовать данный закон 'с нашей точки зрения', то есть не соблюдать его...

Если так, то вопрос в том, кто эти "мы, не соблюдающие его..."

Юристы? Отдел кадров? Или кто-то ещё?

Простой работник в таком случае вообще прав не имеет сказать что-то в ответ, когда от него требуют предоставление информации о себе. Кроме того ему подсовывают анкету (аля соц. исследование), где он должен указать ещё и доп. сведения о себе.

[Mona Sax 50]

Если так, то вопрос в том, кто эти "мы, не соблюдающие его..."

Юристы? Отдел кадров? Или кто-то ещё?

Открываем закон и смотрим:

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

ну вот мы в данном случае - юрлицо. организация, у которой есть отдел кадров и бухгалтерия, например.

[Андрей-001 1099]

юрлицо. организация, у которой есть отдел кадров и бухгалтерия, например.

+ КПП и вооруж. хор. оплач. охрана с правом ношения оружия и др. СФВ (средств физ. воздействия)?

В таком случае работник может отмахиваться от них только паспортом.

Я это к тому, что:

Никакое государство никогда не выпустит закон, реально защищающий персональные данные класса обычных подчинённых граждан, т.к. тогда оно перестанет быть государством со всеми вытекающими отсюда последствиями.

Потому, любой закон "о защите персональных данных" – это лишь фикция и показушничество, прикрытые законодательным актом как фиговым листом. Увы...

[Mona Sax 50]

+ КПП и вооруж. хор. оплач. охрана с правом ношения оружия и др. СФВ (средств физ. воздействия)?

В таком случае работник может отмахиваться только паспортом.

не поняла, при чем тут это и от кого работник должен отмахиваться паспортом??

[Андрей-001 1099]

и от кого работник должен отмахиваться паспортом??

от описанного выше юрлица, которое может

трактовать данный закон 'с нашей точки зрения', то есть не соблюдать его...

[Mona Sax 50]

от этого немного защитит прописанная минимальная совокупность.

кстати, медучереждения вобще отдельная невеселая статья. медданные должны защищаться по классу почти как гостайна(причем я имею в виду комплексную ИБ, а не только компьютерную часть), а по факту...

[Андрей-001 1099]

медданные должны защищаться по классу почти как гостайна(причем я имею в виду комплексную ИБ, а не только компьютерную часть), а по факту...

Это как, интересно узнать? Регистратура зачастую всегда навиду и даже не охраняется.

[Mona Sax 50]

Это как, интересно узнать? Регистратура зачастую всегда навиду и даже не охраняется.

ПЭМИН там всякие, криптосредства, вибродатчики на стекла...для коммерческих структур это описано в СТР-К, для государственных всё несколько посуровее.

[Андрей-001 1099]

вибродатчики на стекла...

О, это наверное должна быть очень крутейшая клиника, с дорогостоящим лазерным оборудованием и довольными высокоплачиваемыми мед.работниками и 100%-но выздоравливающими по факту пациентами, которым, кроме того есть, что скрывать от публики... ПЭМИНи и СТР-Ки работают именно на них.

Верю, где-то такая есть, потому что "этих пациентов" мы день изо дня наблюдаем по тв-ящику, если когда-то его и смотрим.

[Mona Sax 50]

О, это наверное должна быть очень крутейшая клиника, с дорогостоящим лазерным оборудованием и довольными высокоплачиваемыми мед.работниками и 100%-но выздоравливающими по факту пациентами, которым, кроме того есть, что скрывать от публики... ПЭМИНи и СТР-Ки работают именно на них.

Верю, где-то такая есть, потому что "этих пациентов" мы день изо дня наблюдаем по тв-ящику, если когда-то его и смотрим.

http://www.rg.ru/2008/04/12/informaciya-doc.html и так далее.

давайте не будем оффтопить и язвительно передергивать, и все же ознакомимся с чем-то за рамками ФЗ-152??