Ответы пользователя по тегу Персональные данные
  • Данные пользователя и размещение серверов для их хранения, как обойти закон не нарушая?

    @SergeyNN
    В порядке мозгового штурма: храните данные на стороне клиента в localstorage. Не всё конечно, а только то, что подпадает под такие законы. Что-то вроде первой копии, главной порции, первичного сбора. В РФ, например, нужно вести "первичную" обработку персональных данных на территории РФ, а дублировать-то можно и на зарубежных серверах. Таким образом, на вопрос "где данные пользователей?" вы отвечаете: "У пользователей же!", а сами их "резервируете" и всякое с ними делаете уже у себя.
    Из практики: по такому принципу (первичное в РФ, а типа копии за рубежом) поступают большие зарубежные компании, у которых, например, на весь мир одна корпоративная система, а представительств много. В РФ они арендуют сервер и держат здесь копию данных. С точки зрения технологий копия на территории РФ - это вторичная копия, а с точки зрения закона ("О персональных данных" в данном случае) - это первичная копия.
    Ответ написан
  • Нужно ли лицензировать информационную систему для работы с персональными данными?

    @SergeyNN
    У вас всё смешалось. А на самом деле всё очень просто.
    Вам необходима система защиты информации. Для этого приглашенные специалисты с лицензией ФСТЭК на ТЗКИ проведут обследование, спроектируют систему защиты с применением средств защиты. Вот именно средства защиты и могут быть выбраны сертифицированными. Если спроектированная система защиты информации будет подразумевать шифрование данных (например, трафик от сегмента ИС к другому сегменту ИС), то приглашенные специалисты должны также обладать лицензией ФСБ на внедрение средств шифрования.
    А собственно сама ваша информационная система - чиста и свободна. Ей не нужны лицензии (а лицензия - это право использования - зачем вообще это понятие тут?..), не нужны сертификаты (сертификат - подтверждение каким-либо требованиям), поскольку её задача - предоставить бизнес-инструментарий, а сертифицируют средства защиты информации. А точнее, не вы будете сертифицировать, а приобретете уже сертифицированные СЗИ.
    Стоит также отметить, что обязательность применения сертифицированных СЗИ в настоящий момент определена только для государственных информационных систем.
    Короче говоря, вы можете разделить задачу на 2 части: отдельно ИС, отдельно СЗИ.
    Про требования к защите можно почитать
    - статью 19 ФЗ 152,
    - ПП РФ 1119,
    - приказы ФСТЭК 17 и 21,
    - приказ ФСБ 378
    Они проще, чем кажутся на первый взгляд.
    Ответ написан
    1 комментарий
  • Нужна ли политика обработки персональных данных для сайта без формы обратной связи?

    @SergeyNN
    Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
    Статья 18.1.
    2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

    Кратко: политику нужно опубликовать (можно на стене в офисе), а если на сайте есть формы для пользователей, то нужно опубликовать и на сайте.
    Рекомендации Роскомнадзора по составлению политики: https://www.rkn.gov.ru/personal-data/p908/
    Ответ написан
    Комментировать