Идет небольшой проект и заказчик накидывает нам порцию за порцией уже разработанные документы: свои, от вышестоящей организации, еще какие-то. Говорит, "может это поможет нам ускориться". Хорошо, открываем их, сравниваем, находим много недоработок, но и многое с иной точки зрения. В итоге работа превращается в анализ, выделение цветом и сращивание нескольких каш: заказчика, еще кого-то, нормативной и нашей Бывает просто с Консультанта или еще откуда-то с Инета надергают. И вот поди померяйся... Не могу сказать, что оно позволяет ускорить работу, но обычно до 20-30% времени проекта уходит на это.
26 июля 2017 г.
Что с новыми требованиями ФСТЭК к МЭ?
С сертификацией софтовых межсетевых экранов по требованиям ФСТЭК всё продолжает быть непросто. А ведь требования действуют окончательно уже с конца апреля. В реестре ФСТЭК пока фигурируют аппаратные межсетевые экраны типа А и Б, в т.ч. иностранные - Cisco ASA 5585 и коммутатор HP 5500. А вот по софтовым что интересно, в мае и июне ФСТЭК выдала два сертификата ПО СТАРЫМ требованиям РД: на SecretNet Studio и Виток-МЭ3. Еще есть несколько записей с мартовским и апрельским номерами, но с датой регистрации 30.11.2016. Интересно, если в марте ФСТЭК регил сертификаты МЭ по РД ноябрём 2016, а в мае уже текущей датой, то что последует за этим? Возврат РД? А иначе невозможно работать же...
5 июля 2017 г.
Согласие или несогласие
О согласии на обработку ПДн сегодня снова полемизировал с одним главным бухгалтером. "Вот везде это согласие нам дают, вот в 1С даже типовая форма есть и т.д. и т.п." Если везде - это культура. А Роскомнадзор проверяет 0,01% организаций и результаты этих проверок говорят о том, что культура должна быть другой! Однако 0,01% это же не 90%, по мнению главного бухгалтера.
Но! Согласие может быть отозвано. Поэтому есть одна единственная проверка, рекомендуемая Роскомнадзором: "Что с …вами будет, если субъект отзовет согласие?" Вы прекратите обрабатывать ПДн или нет? А если не прекратите, то значит есть причины, есть основания и согласие не нужно! Есть исключения, например видеонаблюдение - для него оснований нет и согласие нужно. Но можете ли вы без видеонаблюдения, если люди будут отзывать согласия? Если не можете, то включите эту позицию в трудовой договор и основание появится, а согласие не потребуется! Это условие труда такое, это безопасность. Но в такой договор в ряде случаев включается до 15 подобных видеонаблюдению ситуаций: охранные меры, банковские карты, медицинское обслуживание, страхование, обучение, мониторинг за пользователями в сети, привлечение аутсорсеров, передача отчетности через 3-и лица и тд и тп. Только прошерстив все договоры и соглашения, поговорив с многими представителями организации, выявляешь это.
Но! Согласие может быть отозвано. Поэтому есть одна единственная проверка, рекомендуемая Роскомнадзором: "Что с …вами будет, если субъект отзовет согласие?" Вы прекратите обрабатывать ПДн или нет? А если не прекратите, то значит есть причины, есть основания и согласие не нужно! Есть исключения, например видеонаблюдение - для него оснований нет и согласие нужно. Но можете ли вы без видеонаблюдения, если люди будут отзывать согласия? Если не можете, то включите эту позицию в трудовой договор и основание появится, а согласие не потребуется! Это условие труда такое, это безопасность. Но в такой договор в ряде случаев включается до 15 подобных видеонаблюдению ситуаций: охранные меры, банковские карты, медицинское обслуживание, страхование, обучение, мониторинг за пользователями в сети, привлечение аутсорсеров, передача отчетности через 3-и лица и тд и тп. Только прошерстив все договоры и соглашения, поговорив с многими представителями организации, выявляешь это.
В обычной жизни и её текучке людям конечно не до этого, что и подтвердилось в вышеобозначенной беседе ;(.
Политика обработки ПДн для сайта
Многие спрашивают про политику обработки ПДн на сайте. Привожу ниже шаблон. С ним мы проходили с клиентами проверки Роскомнадзора несколько раз. Она короткая, т.к. длинные политики никто не читает. Да и выверить их сложно. Часто видим копипасты, в которых есть ошибки, например включающие среди действий с ПДн их распространение. Это неправильно!
Что нужно сделать:
1. Корректно заполнить политику, указав актуальные название Оператора, цели, действия с ними человеческим языком. Например, если нет онлайн-чата или звонков, то уберите, если есть кабинет, то добавьте и опишите его. Часто сайт используется лишь для отправки информации по открытым каналам, а далее их обработка ведется оператором у себя на ПК. В политике нужно отразить кратко физику процесса. В примере учтены провайдеры и хостинг, что есть у большинства операторов.
2. Если есть формы на сайте, то в них перед кнопкой отправки требуется организовать галочку с подписью "Согласен с политикой обработки персональных данных (ссылка на политику)".
Удачи!
---------
Политика
обработки персональных данных
с использованием официального сайта Наименование организации
г. Киров «__»__________ 201__ г.
Настоящая Политика содержит общие сведения об обработке и защите персональных данных, которые Наименование организации (далее – Оператор персональных данных или Оператор) может получить от физического лица (субъекта персональных данных, далее – Пользователя), пользующегося услугами сайта http://_______________________ и его сервисов (далее – Сайт).
Понятия «персональные данные», «субъект персональных данных», «оператор персональных данных», «обработка персональных данных» используются в соответствии с их определениями в ст. 3 закона от 26.07.2006 г. № 152-ФЗ «О персональных данных».
Целью обработки персональных данных является оказание Пользователю услуг в электронном виде с помощью форм обращений и заявок, размещенных на Сайте:
доступность услуг;
информирование;
осуществление обратной связи с целью улучшения качества обслуживания.
Персональные данные Пользователя обрабатываются в объеме, указанном в формах на сайте и предоставленном Пользователем по личной инициативе. Персональные данные, необходимость обработки которых отсутствует, удаляются и не обрабатываются.
Помимо указанных данных Оператор может собирать информацию об используемых Пользователем браузере, версии операционной системы, параметрах экрана, шрифтах с целью улучшения качества услуг, предоставляемых сайтом Оператора.
Основанием для обработки персональных данных является согласие Пользователя.
Оператор может применять персональные данные в статистических целях и для опубликования на сайте при условии их обезличивания.
Обработка персональных данных Оператором осуществляется до достижения целей обработки.
В процессе сбора и обработки персональных данных с использованием указанного Сайта производится их передача по открытым каналам связи сети Интернет через операторов связи и провайдеров услуг хостинга указанного Сайта. Помимо этого, персональные данные Пользователя могут передаваться при использовании услуг Онлайн-чата и Онлайн-звонков поставщикам таких сервисов в сети Интернет.
Оператор применяет правовые, организационные и технические меры для соблюдения конфиденциальности и обеспечения безопасности персональных данных, включающие в себя соглашения с контрагентами, установление правил доступа к персональным данным, использование средств защиты информации, а также контроль и оценку эффективности применяемых мер и их усовершенствование.
Оператор несет ответственность за обеспечение защиты прав субъектов персональных данных в соответствии с законодательством РФ.
В случае возникновения вопросов, связанных с обработкой персональных данных Оператором, запрос ответственному лицу можно направить по следующим контактным данным:
- адрес: индекс, город, улица, дом/строение, кабинет.
- тел/факс: телефон
- электронная почта: адрес электронной почты
Пользователь имеет право:
- получить информацию, касающуюся обработки его персональных данных Оператором, в том числе информацию о третьих лицах, имеющих доступ к персональным данным;
- получить доступ к своим персональным данным по запросу ответственному лицу Оператора;
- просить уточнения, блокирования и уничтожения своих персональных данных при условии подтверждения факта неточности данных либо неправомерности их обработки;
- отозвать свое согласие на обработку персональных данных, если обработка осуществлялась исключительно на его основании, и прекращение обработки не нарушает законных прав и интересов Оператора;
- отозвать свое согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг, оказываемых Оператором, путем осуществления прямых контактов с Пользователем с помощью средств связи и требовать немедленного прекращения такой обработки;
- получить разъяснение основания обработки его персональных данных без его согласия в случаях, определённых законодательством РФ;
- на защиту своих прав и интересов в отношении персональных данных.
Утвержденная редакция Политики доступна любому пользователю сети Интернет по следующему адресу: http://_____________________________.
При внесении изменений в Политику, Оператор уведомляет об этом Пользователей путем размещения новой редакции Политики на Сайтах не позднее, чем за 10 дней до вступления в силу соответствующих изменений.
Директор _______________________ /______________________
Что нужно сделать:
1. Корректно заполнить политику, указав актуальные название Оператора, цели, действия с ними человеческим языком. Например, если нет онлайн-чата или звонков, то уберите, если есть кабинет, то добавьте и опишите его. Часто сайт используется лишь для отправки информации по открытым каналам, а далее их обработка ведется оператором у себя на ПК. В политике нужно отразить кратко физику процесса. В примере учтены провайдеры и хостинг, что есть у большинства операторов.
2. Если есть формы на сайте, то в них перед кнопкой отправки требуется организовать галочку с подписью "Согласен с политикой обработки персональных данных (ссылка на политику)".
Удачи!
---------
Политика
обработки персональных данных
с использованием официального сайта Наименование организации
г. Киров «__»__________ 201__ г.
Настоящая Политика содержит общие сведения об обработке и защите персональных данных, которые Наименование организации (далее – Оператор персональных данных или Оператор) может получить от физического лица (субъекта персональных данных, далее – Пользователя), пользующегося услугами сайта http://_______________________ и его сервисов (далее – Сайт).
Понятия «персональные данные», «субъект персональных данных», «оператор персональных данных», «обработка персональных данных» используются в соответствии с их определениями в ст. 3 закона от 26.07.2006 г. № 152-ФЗ «О персональных данных».
Целью обработки персональных данных является оказание Пользователю услуг в электронном виде с помощью форм обращений и заявок, размещенных на Сайте:
доступность услуг;
информирование;
осуществление обратной связи с целью улучшения качества обслуживания.
Персональные данные Пользователя обрабатываются в объеме, указанном в формах на сайте и предоставленном Пользователем по личной инициативе. Персональные данные, необходимость обработки которых отсутствует, удаляются и не обрабатываются.
Помимо указанных данных Оператор может собирать информацию об используемых Пользователем браузере, версии операционной системы, параметрах экрана, шрифтах с целью улучшения качества услуг, предоставляемых сайтом Оператора.
Основанием для обработки персональных данных является согласие Пользователя.
Оператор может применять персональные данные в статистических целях и для опубликования на сайте при условии их обезличивания.
Обработка персональных данных Оператором осуществляется до достижения целей обработки.
В процессе сбора и обработки персональных данных с использованием указанного Сайта производится их передача по открытым каналам связи сети Интернет через операторов связи и провайдеров услуг хостинга указанного Сайта. Помимо этого, персональные данные Пользователя могут передаваться при использовании услуг Онлайн-чата и Онлайн-звонков поставщикам таких сервисов в сети Интернет.
Оператор применяет правовые, организационные и технические меры для соблюдения конфиденциальности и обеспечения безопасности персональных данных, включающие в себя соглашения с контрагентами, установление правил доступа к персональным данным, использование средств защиты информации, а также контроль и оценку эффективности применяемых мер и их усовершенствование.
Оператор несет ответственность за обеспечение защиты прав субъектов персональных данных в соответствии с законодательством РФ.
В случае возникновения вопросов, связанных с обработкой персональных данных Оператором, запрос ответственному лицу можно направить по следующим контактным данным:
- адрес: индекс, город, улица, дом/строение, кабинет.
- тел/факс: телефон
- электронная почта: адрес электронной почты
Пользователь имеет право:
- получить информацию, касающуюся обработки его персональных данных Оператором, в том числе информацию о третьих лицах, имеющих доступ к персональным данным;
- получить доступ к своим персональным данным по запросу ответственному лицу Оператора;
- просить уточнения, блокирования и уничтожения своих персональных данных при условии подтверждения факта неточности данных либо неправомерности их обработки;
- отозвать свое согласие на обработку персональных данных, если обработка осуществлялась исключительно на его основании, и прекращение обработки не нарушает законных прав и интересов Оператора;
- отозвать свое согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг, оказываемых Оператором, путем осуществления прямых контактов с Пользователем с помощью средств связи и требовать немедленного прекращения такой обработки;
- получить разъяснение основания обработки его персональных данных без его согласия в случаях, определённых законодательством РФ;
- на защиту своих прав и интересов в отношении персональных данных.
Утвержденная редакция Политики доступна любому пользователю сети Интернет по следующему адресу: http://_____________________________.
При внесении изменений в Политику, Оператор уведомляет об этом Пользователей путем размещения новой редакции Политики на Сайтах не позднее, чем за 10 дней до вступления в силу соответствующих изменений.
Директор _______________________ /______________________
Подписаться на:
Сообщения (Atom)