Под катом моя личная подборка Топ-5.
Показаны сообщения с ярлыком РКН. Показать все сообщения
Показаны сообщения с ярлыком РКН. Показать все сообщения
Любопытные, забавные и пугающие прецеденты проверок по персональным данным
Под катом моя личная подборка Топ-5.
Тяжело в учении, легко в бою. Готовимся к проверке Роскомнадзора
Как мы все с вами прекрасно знаем, проверки Роскомнадзора по персональным данным первым апреля не ограничиваются. Попасть под такую проверку более чем реально, а выйти из неё сухим из воды не так уж просто.
Даже если в план проверок на 201Х год ваша организация не попала, а внеплановых проверок вы не боитесь, то полезно бывает время от времени устраивать учения, которые, кстати, являются обязательными в соответствие с п.1 ч.4 ст. 22.1 152-ФЗ.
Далее небольшой гайд по самопроверке
Обезличиваем "по-роскомнадзоровски"
Роскомнадзор выпустил методические рекомендации по обезличиванию персональных данных. На данный момент документ с сайта Роскомнадзора исчез по неизвестной причине, но почитать его можно здесь, а скачать распознанную версию тут (спасибо Алексею Комарову!).
Просмотреть хитрый многостраничный TIFF можно во встроенном обозревателе Windows Photo Viewer.
Как обезличить миллион
─────█─▄▀█──█▀▄─█─────
────▐▌──────────▐▌────
────█▌▀▄──▄▄──▄▀▐█────
───▐██──▀▀──▀▀──██▌───
──▄████▄──▐▌──▄████▄──
На днях в открытый доступ был выложен проект приказа Роскомнадзора "Об утверждении требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ".
Эти рекомендации по обезличиванию были разработаны в рамках ПП211, устанавливающего перечень мер по обеспечению безопасности персональных данных в гос.организациях.
С этим документом связана одна интересная история
Помогаем Роскомнадзору защищать права граждан
Когда я писал статью про паспорт, то наткнулся на один гуглозапрос, который вывел меня на базу данных Ространснадзора по Краснодарскому краю.
База содержала свыше 3000 уникальных записей физлиц, получивших лицензию на перевозку людей.
В базе было ФИО, телефон, адрес, серия и номер паспорта, кем и когда выдан.
Изюминкой утечки было то, что сведения эти располагались на сайте надзорного органа, что гарантировало 100% точность, актуальность и постоянное обновление базы.
База содержала свыше 3000 уникальных записей физлиц, получивших лицензию на перевозку людей.
Изюминкой утечки было то, что сведения эти располагались на сайте надзорного органа, что гарантировало 100% точность, актуальность и постоянное обновление базы.
РЖД и ПДн
Не так давно на Хабре поднималась тема про персональные данные и РЖД (пост прикрыли, но вот зеркало). Так вот, помимо кучи дыр, меня заинтересовали "замечательные" условия обработки персональных данных, размещенные на сайте rzd.ru .
Все достало, или сейчас умру от смеха!
Стандартные грабли при проверке РКН по ПДн
Попалось мне на глаза одно предписание об устранении выявленного нарушения, и, т.к. нарушения в нем достаточно типовые, я решил его опубликовать.
Как передавать ПДн по открытым каналам связи без шифрования
Одной из сложностей реализации 152-ФЗ "О персональных данных" является организация защищенного вебсайта, собирающего персональные данные, т.к. передаваемые персональные данные сайту необходимо скрывать от посторонних (т.е. шифровать).
Повалило или письма счастья от РКН - 2
Я раньше уже писал о такой стратегии Роскомнадзора, однако масштабы рассылки писем заставляют меня повторить эту тему снова.
Роскомандзор рассылает письма операторам с требованием представить уведомление или справку о причинах не уведомления (см. ст. 22 152-ФЗ) + документы из ч.1 ст.18.1 152-ФЗ.
Если оператор не предоставляет эти сведения в двухнедельный срок - ему выписывают протокол об административном нарушении, дают 90 дней на "устранение выявленных недостатков" и он становится кандидатом на внеплановую проверку.
За первый квартал 2012 года Краснодарский РКН уже выписал 178 (!) протоколов на общую сумму почти 200 000 рублей!
и это только начало!
Отправлены тысячи (!) писем.
Роскомандзор рассылает письма операторам с требованием представить уведомление или справку о причинах не уведомления (см. ст. 22 152-ФЗ) + документы из ч.1 ст.18.1 152-ФЗ.
Если оператор не предоставляет эти сведения в двухнедельный срок - ему выписывают протокол об административном нарушении, дают 90 дней на "устранение выявленных недостатков" и он становится кандидатом на внеплановую проверку.
За первый квартал 2012 года Краснодарский РКН уже выписал 178 (!) протоколов на общую сумму почти 200 000 рублей!
и это только начало!
Отправлены тысячи (!) писем.
Правильное уведомление РКН: Сведения о родственниках
Собственно первый этап любой проверки РКН - это анализ вашего уведомления. И тут есть пару интересных моментов, на которые стоит обратить внимание.
Одним из таких моментов является обработка сведений о ближайших родственниках...
Анализ вреда субъекту ПДн
Как мы знаем, согласно 5) ч. 1 ст. 18.1 152-ФЗ, оператор "может разработать" но "обязан представить" документ по оценке вреда субъекту ПДн в случае нарушения требований ФЗ (занятно, что вред субъекту уже наносит сам факт нарушения требований ФЗ, а не, к примеру, неправомерные действия с его ПДн), а так же по соотношению вреда и предпринимаемых оператором мер.
Вот об этом документе я бы и хотел сегодня поговорить.
"Письма счастья" от Роскомнадзора
Как нарваться на внеплановую проверку?
Очень просто. Достаточно не ответить на письмо Роскомнадзора, которые он рассылает операторам с требованием:
1) уведомить или предоставить справку о причинах не уведомления;
2) предоставить документы из ч.1 ст.18.1 152-ФЗ (ч.4 данной статьи как раз даёт им право на подобные запросы).
Если письмо вы проигнорировали и ни уведомление ни справку не послали - получите постановление о нарушении ст. 19.7 КоАП.
В результате вы сидите со штрафом и предписанием все исправить к повторной проверке, а Роскомнадзор выполнил свою государственную функцию не вставая со стула. Зверски эффективно!
РКН против ДСЗН, или что же все-таки такое "инвалидность".
Считать ли инвалидность информацией о здоровье или не считать?
Этот вопрос, зачастую, ведет к следующему - "К1 или К2?". А этот, в свою очередь, приводит к вопросу "нужен сертификат по НДВ или не нужен?". Последний напрямую влияет на бюджет создаваемой подсистемы ИБ за счёт выбора более дорогих в основном отечественных СЗИ.
Поэтому важность первоначального вопроса нельзя переоценить. Классическая позиция Роскомнадзора заключается в трактовке инвалидности как "сведений о здоровье", тогда как многие операторы считают инвалидность категорией трудоспособности субъекта, что обычно и является целью сбора подобных сведений, ведь не каждую работу инвалид физически способен выполнить.
Оставив за бортом тонкости этой дискуссии, приведу пример постановления суда.
Дело было так. РКН произвел проверку и выявил обработку "сведений о состоянии здоровья". Написал предписание, которое оспорил в суде один из Центров занятости Краснодарского края.
Суд они выграли. Хотя право в нашей стране и не прецедентное, однако подобное решение суда может кому-нибудь очень пригодиться.
Если нужен оригинал - пишите, пожалуйста, в комментариях.
Подписаться на:
Сообщения (Atom)