Обязательно ли выполнять все меры защиты ПДн, указанные в части 2 статьи 19 152-ФЗ?

SymphoGraph, конечно, для уничтожения такой информации нужно что-то надежное. Но есть ведь много надежных средств, которые не имеют никаких сертификатов. А закон будто намекает, что можно использовать только сертифицированные

Обязательно ли выполнять все меры защиты ПДн, указанные в части 2 статьи 19 152-ФЗ?

Разумеется отличный совет, просто хотелось узнать мнение коллег))) К тому же в части персональных данных даже юридические ответы нуждаются в подкреплении официальными информационными письмами регуляторов или судебными делами, чтоб знать наверняка
(я параллельно написала обращение регуляторам с просьбой разъяснить этот момент, но одной веры, что они ответят однозначно, недостаточно)

Обязательно ли выполнять все меры защиты ПДн, указанные в части 2 статьи 19 152-ФЗ?

Sergey IT, в масштабах всех операторов и информационных систем персональных данных РФ это всё равно нереально
Получить сертификат ФСТЭК не так уж просто, даже компании, специализирующиеся на разработке средств защиты информации, не успевают получить сертификат на новые версии как надо уже ещё новее делать
А это станет ещё сложнее и дольше, когда ресурсов ФСТЭКа будет не хватать на всех кандидатов
Аттестация не сложная штука, но тоже требует много усилий, времени и денег. Тут ещё и ресурсы компаний, которые имеют лицензию на аттестацию нужны. Да и аттестация сейчас под контролем ФСТЭКа, опять же их ресурсы нужны

Являюсь ли я оператором персональных данных? Что делать, если да?

И ещё к самому вопросу: раз уж у вас есть собственный сайт - вы уже "под прицелом"))

Являюсь ли я оператором персональных данных? Что делать, если да?

Василий Банников,

а потом ещё передаётся в какую-то третью компанию субподрядчик или для рассылки рекламы - это уже требует соглашения на обработку ПД.

Это тоже другая история, для разъяснения которой нужно много работы по обзору всей деятельности оператора

А вот если далее этот договор оцифровывается, сохраняется в какой-то ИС ООО Бегемотик

А вот эти ваши слова меня пугают. Даже если персональные данные исключительно на бумаге, это всё ещё обработка данных, всё ещё оператор и закон соблюдать нужно. Просто не обязательно уведомлять Роскомнадзор и не требования чуть-чуть другие (вообще по этому поводу даже отдельное Постановление Правительства есть). Так что не надо "выдыхать", если все не автоматизированно

Являюсь ли я оператором персональных данных? Что делать, если да?

Василий Банников,

Есть термин "публичные персональные данные" и на их обработку тоже накладывается ряд ограничений

Да

Причём удаление ПД тоже входит в определение "обработка ПД".

И да

Но автора вопроса прежде всего интересует, является ли он оператором и потребуют ли от него исполнения закона. А как именно это делать, это уже другой вопрос, на который, на самом деле, нельзя верно ответить не проведя большую работу

Обязательно ли выполнять все меры защиты ПДн, указанные в части 2 статьи 19 152-ФЗ?

Насколько я помню все законы надо выполнять в части защиты ПД

Конечно, только требования для всех разные в зависимости от многих факторов. Просто новую меру из 19 статьи закона невозможно выполнить на все 100%, а сформулирована она очень конкретно.

1. Для всех операторов. Если у вас есть форма на сайте где человек оставляет свою почту, вы уже оператор по обработке данных и должны брать согласие на их обработку.

Вопрос бы для кого обязательно применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации

2. Имеются. Гуглите по теме Шредеры 4-го уровня (и выше) секретности.

Только это обычный международный стандарт. Формулировка законодательства "прошедший в установленном порядке процедуру оценки соответствия средств защиты информации" означает, что средство имеет сертификат ФСТЭК или аттестат соответствия требованиям на конкретном защищаемом объекте

3. Не подскажу, но помоему такое ПО должно будет иметь сертификацию ФСТЭК, но это не точно. И помоему такое рабочее место должно быть специально оборудовано.

Вот это меня и беспокоит в нововведении закона и приводит к мысли, что это же невозможно...

Являюсь ли я оператором персональных данных? Что делать, если да?

Данные, которые покупатель прописывает в договоре, являются персональными данными?

Да, даже данные о руководителе юридического лица это персональные данные. Однако такие данные о руководителе юридического лица или индивидуальном предпринимателе являются общедоступными, поэтому если ты никак не узнаешь другие данные о нем или его сотрудниках, то можешь особо не париться

Данные, которые потенциальный покупатель оставляет мне на сайте, чтобы я ему перезвонил или написал письмо - это персональные данные? Если есть кнопка обратного звонка и форма запроса, я уже оператор персональных данных?

Да, это персональные данные. Сейчас, по законам, номер телефона сам по себе идентификатор человека. Чтобы было понятнее, рекомендую такой подход - представь что в публичный доступ попадает информация "<номер телефона/логин/или что-то другое о человеке> - клиент такой-то организации", если в мире есть хоть один человек, который увидел эту запись и на 100% знает, о ком речь, то это персональные данные и этот человек узнал что-то, возможно личное, о том человеке.
И ты эти данные обрабатываешь, ты оператор. Единственная ситуация, когда ты не обрабатываешь персональные данные - потенциальный покупатель позвонил тебе, но ты никуда никак ничего не записал (не записал имя, не сохранил номер телефона, не записал разговор)
К слову, требования к операторам персональных данных тебе нужно выполнять только в рамках предпринимательской/профессиональной деятельности. Данные друзей (именно как твоих друзей, а не покупателей, например) можешь так строго не охранять (в рамках разумного, конечно)

Если после звонка/письма я буду удалять запросы от клиентов - я перестану быть оператором персональных данных

Как я уже написала ранее, если эта информация хоть где-то хоть на секунду зафиксирована - ты обрабатываешь персональные данные. Просто обработка данных конкретно этого человека прекращается, когда ты удаляешь его данные отовсюду

Данные клиентов, отправленные покупателями для целей тех.поддержки - это персональные данные и я становлюсь оператором?

Да, ты оператор. А про твои отношения к этим клиентам такие - или ты обрабатываешь их данные как пользователей твоего ПО, или твой покупатель с целью тех.поддержки передает персональные данные тебе (в этом случае чуть меньше груза ответственности)

Насколько на все эти вопросы влияет проверяемость получаемых мною данных? За исключением данных, которые мне присылают покупатели для заключения договора, все получаемые мною данные никак мною не проверяются. Если покупатель оставит запрос на обратный звонок с левым именем-почтой-телефоном, я никак не проверю. Также, как и данные для тех.поддержки - они могут прийти пустые или Тест Тестович.

Если ты не проверяешь персональные данные, то это не значит, что это не персональные данные (всегда есть хоть какой-то шанс, что в мире есть человек, которого зовут Тест Тестович). Также по закону на субъект персональных данных ложиться ответственность за предоставление верных персональных данных (но засудить его будет трудно, так как согласие не письменное). Поэтому если форма обращения (её поля) подразумевает персональные данные, то чем бы она не была заполнена, это персональные данные

Где-то мелькал коммент, что если данные собираются в рамках договора, то это не считается сбором персональных данных - так ли это?

Тут зависит от договора и того с кем он заключен. Если договор заключен с юридическим лицом или ИП и в договоре нет никаких данных кроме его общедоступных "реквизитов", то можешь считать, что сбором это не является (для того чтобы быть официальным оператором). А вообще очень похоже, что ты видел информацию о том, необходимо ли согласие на обработку ПДн. Если обрабатываются только данные для заключения договора, желательно с ссылкой на закон, что таки данные там должны быть, то согласие не нужно