ФЗ-152. Требования к сайту?

Question

[LavTeam]

Добрый день.
Скоро открытия проекта с открытой регистрацией, где пользователи могут оставлять свои персональные данные.
Вот очень не хотелось бы попасть под наказание по ФЗ152.
Помимо того что хостится будет на территории РФ что я должен предпринять?
Где-то успел прочитать, что требуется сертификация ПО и оборудования в ФСБ.
В общем, достаточно ли находится на территории РФ?
ПС будет минимум: дата рождения, имя, электронная почта.

Answer 1

[Макс]

берите пример с РЖД - заставьте пользователя ставить согласие с признанием ПДн общедоступными.
плюс если у Вас только имя ( не ФИО) - то я бы попробовал это дело вообще обозвать обезличенными ПДн, по набору имя + д.р.+ почта человека не идентифицировать.

Answer 2

[LavTeam]

To Макс @MaxDukov
Данный пункт уже исключен из правил.
В мае был, сейчас нет.

Comments

[Макс]

я не юрист, но по моему ПДн есть ПДн - не важно, общедоступные или нет. Другое дело - обезличенные. Самый радикальный вариант - написать вопрос в РКН. Должны в какой-то небольшой срок ответить. только формулировать запрос надо так, чтобы ответ был "да" или "нет". Типа "является ли следующий набор данных ПДн/ обезличенными ПДн". Может ответят, что нет, или что обезличенные - тогда никаких претензий, храните где хотите. Как вариант - откажитесь от термина "имя" - пусть это будет, скажем, логин.

[LavTeam]

Макс: РЖД уже исключили данный пункт из правил. Сейчас попробую в РосКомНадзор

Answer 3

[other_letter]

О... Ну, давайте я Вам без деталей скажу - анриал. Документации и инструкций сейчас, конечно, вполне хватает. Но в целом всё построено как будто для высасывания бабла: нужно N сертифицированных специалистов, нужно обращаться только в конторы из списка, куча ПО и оборудования, куча проверок и так далее.

Потому если бы я затеивал нечто такое я бы декларировал нацеленность на не граждан РФ и размещался бы где-то вне юрисдикции. А то... Придёт проверка по жалобе (от Иванова И.И., в этом случае предупреждать не нужно), увидит, что у тебя несертифицированная защита от протечки воды в туалете и остановит нафиг все сервера.

Comments

[LavTeam]

У меня аудитория именно с РФ будет.
Такой вариант не подходит, в случае чего заблокирует сайт РКН.

[Макс]

чепуху не говорите. Вы 21-ый приказ ФСТЭК в глаза видели?

[other_letter]

Обычно эмоциональные высказывания пусты. Ну, да ладно. Вы не согласны с тем, что для реального соответствия ФЗ нужно много денег и усилий или с каким-то отдельным моментом высказывания?

[Макс]

other_letter: значит не видели. И 378 приказ ФСБ, вероятнее всего тоже. Если бы ТС была задача защитить ИСПДн поликлиники - я был бы с Вами согласен на 100%. Описанный же автором вопроса набор ПДн несложно уводится под "обезличенные", коие защищать практически не надо. Да, есть немалый кусок бумажной работы. Но никаких "сертифицированных специалистов, кучи ПО, кучи проверок" и прочих "анриалов".

[other_letter]

Иногда проще дать, чем объяснить, почему "нет" (с) безликая девушка откуда-то из инетика
ОК, не буду спорить. Допустим, что не видел и будем из этого исходить.

Итак, перед ТС есть два пути:
1. Изучить приказы/инструкции/положения, написать регламенты, провести обследования и на основании хотя бы заключения собственных специалистов выдать заключение: ПДн являются обезличенными. В общем - верно, так как предполагается ,что обычный человек не может услановить личность наверняка, обладая только ФИО и датой рождения. Электронка (про, насколько мне известно, пока не запущенный прожект ГосЭлПочты речи не веду) вообще не показатель. Надо назначить ответственных, не так ли? Которые будут следить и проверять, чтобы всё и дальше было обезличенным. Проводить проверки, документировать. Хотя можно на это, конечно, забить, предполагая, что так и остаётся, пока не зафиксировано обратное.
2. Открыть сервис зарубежом, честно об этом написав. Что ещё? В общем-то всё.

Ну и пусть ТС сам выбирает.

[Макс]

other_letter: по п.2 осталась сущая мелочь - перестать допускать регистрацию для жителей РФ. В противном случае имеем нарушение закона РФ - и блокировку РКН .

[LavTeam]

Макс: У меня посетители будут только граждане РФ. Мне как раз иностранцы не нужны.

[Макс]

LavTeam: я помню, в первом сообщении написано.
в общем по моему опыту бумажек написать конечно придется, и ответственного назначить - но все не так уж и страшно.

[LavTeam]

Макс: Я сейчас думаю избавиться и от имен. Если оставить псевдоним... Можно с Вами побеседовать в скайпе? Мой можно найти по нику, если пользуетесь.
В РКН уже написал письмо.

[other_letter]

Макс: на основании чего требуется перестать допускать? Блокировку-то и за меньшее получить можно легко.

LavTeam: я писал, что нужно заявить о нацеленности на другую аудиторию. Как оно будет на самом деле - отдельная тема беседы.

[LavTeam]

other_letter: ИМХО, не юрист я, но кажется это похоже на "мошенничество" в сфере ПД. Заведомо вводить в заблуждение пользователей

[Макс]

other_letter: Вам самому не кажется странной идея блокировки сайта, на который Вас и так не пускают?

[Макс]

LavTeam: так и у меня логин в скайпе такой-же. вот только на работе скайпа нет. Сам себе запретил.

[other_letter]

LavTeam: Мошенничество - это термин УК. Соответственно для работы по этому вопросу потребуются совсем другие люди и совсем другие организации. Нужны, например: потерпевшие, умысел, выгода.

Макс: Вам не кажется, что в рунете в принципе происходит немало нелогичного? Больше, пожалуй, только в оффлайне. Вы ведь наверняка примерно представляете чем в принципе занимаются ответственные люди в той или иной госструктуре?

[LavTeam]

other_letter: Я поставил в кавычки термин. Если гос-во взялось за данное направление, то, вероятно, последуют варианты.
В теории и сейчас можно подвести. Потерпевшие - пользователи, введенные в заблуждение. Умысел - сбор персональных данных с целью <нужное вписать>. Выгода - владение ПД пользователей.
ИМХо. это дело времени. Поэтому и желание сделать все в рамках закона, но при этом с минимальными "последствиями" (трата времени, денег, сил).

Answer 4

[Никита]

Тут все просто:
1. Самый ваш главный враг - это роскомнадзор. ФСТЭК и ФСБ к вам не придет, можете не переживать. РКН публикует свой план проверок, и поверьте, в него не так просто попасть.

Есть 2 варианта развития событий: 1. Вы попадаете в план проверок. 2. Внеплановая проверка по факту инцидента (утечка ПДн, жалоба субъекта ПДн ...). При этом, РКН может прийти на проверку после 3 лет существования компании, если конечно не произошел какой-либо инцидент.

2. РКН не лезет в техническую часть, т.е. как именно что то настроено, какие средства и почему используются. Они в первую очередь проверяют режимные документы (Политику оператора, инструкции ответственных, заполенные журналы и т.д.) и смотрят наличие Модели угроз и технического проекта.

3. Действительно можно сделать ПДн общедоступными, с согласия субъекта, но это не позволит вам НЕ защищать ПДн, как минимум целостность и доступность необходимо будет обеспечить.

Резюмируя, вам необходимо:
1. Подать уведомление в РКН, что вы являетесь оператором.
2. Разработать комплект режимной документации в соответствии с требованиями нормативки.
3. Написать документы по технической защите. Тут надо понимать, что слово "сертификация" и "аттестация" для вас являются лишними. На эту тему можно не переживать и спокойно работать с чистой совестью.