Персональные данные

[Alexam]

Закон о персональных данных  изменён (почти)  - готов к 3-му чтению ЭРК и текст ТУТ. Пока сам не разбирался, что изменено - много статей исправлено.

[Operator]

Alexam написал:
Закон о персональных данных  изменён (почти)  - готов к 3-му чтению ЭРК и текст ТУТ. Пока сам не разбирался, что изменено - много статей исправлено.

Считай что уже рассмотрен и подписан гарантом. Вступает в действие с 01.07.2011.
Бегло обнаружил, что требуется обязательное письменное согласие субъекта, вне зависимости от заключенного договора.

[1076]

Кто- нибудь  в  курсе  ,  не  собираются  ли  еще  раз  перенести вступление  в  действие требований  к  ИСПДН ?

[Operator]

1076 написал:
Кто- нибудь  в  курсе  ,  не  собираются  ли  еще  раз  перенести вступление  в  действие требований  к  ИСПДН ?

В ст. 25 "Заключительные положения" вот эту часть 152-го признать утратившим силу:

3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.

и появилось:

...Операторы, которые осуществляют обработку персональных данных до 1 июля 2011 года, обязаны принять решение, предусмотренное частью 8 статьи 19 настоящего Федерального закона и представить в уполномоченный орган по защите прав субъектов персональных данных, сведения, предусмотренные пунктами 5, 71, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
...Операторы, которые осуществляют обработку персональных данных до 1 июля 2011 года, обеспечившие безопасность персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации, вправе не принимать решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных. Об обеспечении безопасности безопасность персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации, оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных не позднее 1 января 2012 года.»;

[1076]

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя отчество, адрес представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
7) срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральными законами;
подпись субъекта персональных данных.

при  вступлении в  силу  поправок  в  этой  редакции, все  старые  соглсия на  обработку  станут  недействительными ??

[1076]

8. Оператор обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев, предусмотренных частью 22 статьи 25 настоящего Федерального закона. В случае, если необходимый стандарт обеспечения обработки персональных данных отсутствует, оператор вправе издать стандарт обеспечения безопасности персональных данных. Решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных оператор принимает самостоятельно, если иное не установлено федеральным законом или международным договором Российской Федерации.

Если я  правильно понял,  то  можно все  угрозы признать не  актуальными  и  не  заморачиваться  техническими мероприятиями. :|

[1076]

Вот этот   http://www.altlinux.ru/products/altlinux-spt-fstec/
 сертифицированный  ФСТЭК  продукт не запускается  на интеловской серверной  платформе .
На запрос HCL для  этого  продукта ( на  чем  ее  можно  запускать)  был  получен  кАнкретный  ответ  -
продолжение в закрытом разделе

:@

[Operator]

1076 написал:
при  вступлении в  силу  поправок  в  этой  редакции, все  старые  соглсия на  обработку  станут  недействительными ??

Предполагается вступление ЗП в силу с 01.07.2011, Закон обратной силы не имеет.

[Operator]

1076 написал:
Если я  правильно понял,  то  можно все  угрозы признать не  актуальными  и  не  заморачиваться  техническими мероприятиями. :|

Как сказать!

5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.

[Operator]

1076 написал:
Вот этот   http://www.altlinux.ru/products/altlinux-spt-fstec/
 сертифицированный  ФСТЭК  продукт не запускается  на интеловской серверной  платформе .
На запрос HCL для  этого  продукта ( на  чем  ее  можно  запускать)  был  получен  кАнкретный  ответ  -
продолжение в закрытом разделе

:@

А что вы сертификацией заморачиваетесь http://www.buh.ru/document-1729

в случае если в ИСПДн содержатся сведения в отношении персональных данных, имеющих отношение только к одной организации (сотрудники, покупатели, учредители, потенциальные клиенты и т. п.), при этом информации, касающейся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни не содержится, такой ИСПДн может быть присвоен 3-й класс, для которого применение сертифицированного программного продукта необязательно.