1. Если перс.данные передаются в фирму по e-mail для выплаты денег, то эта "обработка" тоже попадает под действие ФЗ и для нее тоже потребуются всякие "сертификации" и бумаги из ФСТЭК?

2. Знаете ли Вы частную компанию, которая сегодня может претендовать на соответствие ФЗ по обработке перс данных?

Андрей, на Ваши вопросы:

1 В кавычки слово "обработка" Вы поставили зря. Обработка - это сбор, систематизация, накопление, хранение,

уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание,

блокирование, уничтожение персональных данных. Так что передача "на фирму" персданных и последующая работа с ними -безусловно, обработка, и регулируется законом. До сертификации, я так понимаю, в Вашем случае далеко - сначала надо понять, как работает информационная система персональных данных на фирме, потом спроектировать (не пугайтесь) систему их защиты в соответствии с тем, что требуют закон и Постановление Правительства № 781, а уж потом говорить о лицензировании деятельности и выборе сертифицированных (прошедших процедуру оценки соответствия) средств защиты. Поскольку документов ФСТЭК и ФСБ пока нет, говорить уверенно нельзя, но не удивлюсь, если окажется, что персданные при пересылке по e-mail надо будет обязательно шифровать сертифицированными средствами.

2. Требований (включая классификацию ИС) пока нет, поэтому говорить о соответствии еще рано. Но, по моему опыту, частные компании - банки, страховые компании, операторы связи, перевозчики и т.п., о безопасности думают гораздо больше, чем бюджетные организации (ЗАГСы, паспортные столы, ДЭЗ и МРЭО, поликлиники и школы и т.д.), в большинстве из них (частных компаний) есть специалисты и внятная политика безопасности, деньги на защиту информации. А вот что будут делать бюджетники - большой вопрос.

Уважаемый Михаил Юрьевич, в Вашем блоге "Крепитесь, люди" о ситуации с защитой персональных данных указано, что "нормативные и методические документы, разработка которых предписана Постановлением Правительства № 781-2007 г., практически готовы и до 17 февраля будут представлены общественности". Ну и как? Действительно их опубликовали? Если да, то нет ли там очередных "сюрпризов" для публики?

И еще хотелось бы узнать по поводу "операторов персональных данных". Какие организации являются такими "операторами"? К ним относятся паспортные столы в ЖЭКах? В моем паспортном столе нет ни одного компьютера, есть только пара железных шкафов с ящиками с бумагами. У него тоже должна быть "лицензия на техническую защиту конфиденциальной информации"? Как тогда должна выглядеть эта "техническая защита"?

Уважаемый Василий! Документы пока на свет не появились, как только у меня будет какая-то информация, обязательно поделюсь. По неофициальным данным, их утверждение отодвинуто на 25 февраля (3 месяца с момента опубликования Постановления Правительства).

Паспортные столы, ЖЭКи, ЗАГСы, детские сады и поликлиники - безусловно, операторы персданных, и в этом одна из самых больших проблем применения закона, поскольку представить в них дипломированных специалистов по безопасности, строящих систему защиты в соответствии с тем, что уже прописано в законе и Постановлении № 781, очень трудно. Да и не понятно, откуда на это возьмутся средства. Если компьютеров нет, закон применяется к таким организациям только в том случае, если (цитирую) "обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации". Что это такое - хоть убейте, не знаю. На этот вопрос должно ответить специальное постановление Правительства, выход которого запланирован на 1-й квартал этого года. Посмотрим.

Михаил, в недавно опубликованной статье Вы затронули тему широкой доступности баз персональных данных. Меня интересует взгляд на эту проблему сквозь призму социальных сетей общего назначения (вконтакте, однокласники, мой круг и прочие).

Вопрос такой: прокомментируйте, пожалуйста, степень защищенности и доступности тех личных данных, которые пользователи сделали видимыми только для френдов, к примеру, т.е. применили защиту разграничением прав доступа. И, конечно же, очень интересен Ваш взгляд на социальные сети в плане нежелательных для их пользователей утечек персональных данных и личного контента.

Спасибо.

Степан, думаю, ни о какой безопасности персональных данных в социальных сетях говорить вообще нельзя. Вы (или кто-то за Вас) на свой страх и риск размещает в них информацию в том объеме, в каком считает нужным. Рассчитывать по умолчанию, что владельцы сайтов принимают меры по охране конфиденциальности в соответствии с требованиями Федерального закона и Постановления Правительства № 781 не приходится.

Поэтому я бы оценивал эти сети с точки зрения персданных как незащищенные вообще.

Боюсь, что, если строго руководстоваться законом, само их существование не имеет права на жизнь, поскольку нет письменного согласия субъектов, не объявлены цели и способы обработки, да и доказать, что информацию разместил конкретный человек, а не его недоброжелдатель, невозможно.

Поэтому относитесь к этому как к собственному риску, не более того.

Здравствуйте, Михаил. Наслушалась я на одном мероприятии страшных вещей - что, например, Microsoft может, в принципе, в один прекрасный день отключить все Интернет-сервисы в нашей стране (и в любой другой, где доминирует его ПО). Это действительно так? и есть ли жизнь после Интернета?

И еще вопросик: что же теперь будет с Амдоксом в России?..(безотносительно Microsoft'а)

2 Blondy. Как в любой "пугалке", и в этой есть как доля истины, так и преувеличение. Что здесь преувеличение: отнюдь не все узлы и точки доступа в Интернет используют платформу Microsoft, скорее, наборот, а значит, повлиять как-то на UNIX-сервера из штаба-квартиры MS нельзя. Что может быть правдой. Весь мир обсуждал установку 24 августа прошлого года на десятки (а может, и сотни) миллионов компьютеров на платформе Windows девяти патчей без ведома пользователей, даже на те, где функция обновления была отключена. При этом согласия (потверждения) пользователей, как это бывает при стандартном обновлении, никто не спрашивал. Ряд экспертов склонен расматривать это как испытания кибер-оружия. Но с моей колокольни ответа не видно. С проблемой должны разбираться специалисты, имеющие доступ к исходным кодам MS, в том числе и России. Публичными дискуссиями типа "Что это было?" вопрос решить нельзя.

Ситуацией по Амдоксу в России в настящее время не владею, сорри...

Для этого при нынешнем отношении к базам персональных данных у банка масса возможностей. В некоторых из них, особенно занимающихся потребительскими кредитами, сидят специальные люди, готовящие подобные рассылки. У меня в блоге есть скрин-шот сайта, открыто предлагающего услуги по организации почтовых рассылок. Так что не удивляйтесь. Телефонные базы крупнейших операторов, базы по прописке, базы по автомобилям, базы из сервисов и всевозможных регистров, из банков и коллекторов - все доступно и все используется без зазрения совести. Но, скорее всего, вы сами где-то указали свой фактический адрес проживания при общении с банком.

Кстати, вы можете это выяснить сами - оформите в соответствии со ст.14 ФЗ "О персональных данных" запрос в банк и попросите их сообщить, что и откуда они о вас знают. Если будут сопротивляться - можно в Россвязьохранкультуру жалобу написать.

Михаил, переадресую Вам вопрос, который задала эксперту по клиентоориентированности - но удовлетворительного ответа не получила.

Предыстория такая: года два назад я покупала в "М-Видео" видеокамеру в кредит, и вот в канун этого Нового года получила от банка, через который этот кредит оформлялся, поздравление и кредитную карточку. Все замечательно - но в паспорте, по которому кредит оформлялся, записан один адрес, а живу я по совсем другому. Уже не помню, но, возможно, я указала номер телефона реального проживания. Как банк вычислил адрес - неужели по телефону?