23 декабря прошел семинар "Живые встречи", на котором прозвучало 3 доклада: о защите персональных данных, о сетевых атаках с точки зрения нарушителя, а также о сетевых атаках с точки зрения специалиста по защите.
Наибольший интерес для меня представлял доклад О.В. Костынюк, представителя Роскомнадзора по Красноярскому краю. Хочу поделиться с вами заметками на полях, при создании системы защиты персональных данных знать мнение Роскомнадзора может быть очень полезным :-)
1. В первой половине 2012 года планируется выход 4 документов:
- Первый будет определять обязательные требования для муниципальных и госорганов.
- Второй документ определит уровни защищенности в зависимости от угроз.
- Третий документ определяет требования к защите.
- Последний устанавливает порядок согласования с ФСБ и ФСТЭК по определению дополнительных угроз безопасности.
2. Оператором является также юр лицо, которому поручили обработку ПДн.
3. № квартиры, сумма долга на подъезде - персональные данные, а следовательно их разглашение - нарушение.
4. Общедоступный источник - перечни, справочники и информация на сайте. А общедоступные ПДн - определяет субъект для общедоступного размещения.
5. ПДн ни в коем случае не должны быть избыточными! Нельзя собирать сведения о родственниках сотрудников без их согласия. А также запрещено собирать сведения о судимости.
6. При обработке на основании договора согласия на обработку можно не брать, исключение для трудовых отношений - банковские карты, для перечисления зарплаты необходимо брать согласие.
7. Проиграно дело по факту незаконной передачи оператором ПДн абонентов третьему лицу для печати и рассылки квитанций.
8. Взыскать долг с привлечением коллектором незаконно без согласия субъекта.
9. "Судим" и "не судим", "здоров" и "не здоров" - не Пдн специальной категории.
10 По родственникам можно брать только ФИО и контакты (по форме Т2).
11. Неавтоматизированная обработка ПДн - обработка с применением систематизации и классификации.
12. Телефонная книга на компьютере = обработка ПДн.
13. Хорошая практика: прописать в локальном акте, как заполнять форму по учету кадров.
14. Необходимо обязательно размещать для общедоступного пользования политику по защите ПДн.
15. Для официальных запросов ПДн: запрос должен содержать конкретные лица - на кого передавать ПДн, цель, статью законодательства.
16. Электронные пропуска = биометрия.
17. Биометрия - только если используем для идентификации, ксерокопии паспорта не являются биометрией.
18. Обращения граждан о нарушениях: 2009 год - 146 обращений, 2011 - более 1700.
19. Необходимо указывать сведения о СЗИ в уведомлении.
Основные нарушения:
1. Неподача уведомления.
2. Обработка без согласия субъекта, несоответствие письменной формы согласия требованиям законодательства.
3. В договоре отсутствует перечень действий, целей обработки.
4. Сотрудники допущены к неавтоматизированной обработке ПДн без подписи.
Семинар на мой взгляд был очень полезным и позволил узнать мнение контролирующего органа (в нашем регионе) по некоторым спорным вопросам.
