Приняты в первом чтении поравки к криминальному кодексу по защите персональных данных

Коллеги,

приняты в первом чтении поправки к криминальному кодексу о защите персональных данных. Привлечь можна любого защитника информации. Нужно конекретно указать типы данных, меры защиты, индустрии на которые распостраняет свое действие закон! Иначе попадем все... Ссылка http://www.zakonoproekt.org.ua/zakon.aspx?mid=85&iid=6366

13 days ago

Gleb Paharenko • Внес предложения по Азаровскому проекту.

В целом нужно указать индустрии на которые статьи распостраняются: госорганы, банки, медицинские учреждения, коллекторские компании, кадровые компании, телекомы.

Типы данных: карточки, реквизиты доступа к платежным счетам, секретные пароли, медицинские данные, паспортные данные, идентификационные коды.

Меры защиты: грифы на бумажных копиях, шифрование электронных данных, наличие процедур управления рисками, реагирования на инциденты.

Немного дубово, как по PCI-DSS, но гораздо лучше чем размытые формулировки :))

Sergey Dyachenko • Глеб, я все же в таких серьезных случаях давал бы ссылку на официальный источник. Вот она http://w1.c1.rada.gov.ua/pls/zweb_n/webproc4_1?id=&pf3511=38996
Еще +, что там размещены коменты от профильного комитета и от экспертного управления.
Это так, к слову. А на самом деле грустно. Я просто офигеваю от наших законописателей. Такое впечатление, что они сами не знают, что принимают.
Срочно возвращаюсь к нашему анонсированному проекту создания Ассоциации информационной безопасности. Так хоть малую толику своего влияния смогли бы вложить в предупреждение неразумных действий. Обсудили бы и направили письмо от профильной общественной организации.

Пока все, за работу товарищи.

Sergey Dyachenko • Блин, все равно не успокоюсь. Вдумайтесь, что написано в проекте ЗУ "Про захист персональних даних". Если их понимать буквально, то:
- юрлицо создает интернет-магазин и, в качестве завлекухи (раскрутки) и т.п. предлагает пользователем заполнить анкеты.
- ОК, заполнили. Следовательно у юрлица образовалась БД. Насколько правдива в ней инфа - судить не нам. Законодатель вообще не разграничивает ни емкости или репрезентативности БД, ни ее релевантности.
- "Не допускається обробка даних про фізичну особу без її згоди"! Можна типа попытаться прикрыться офертой. Там еще что-то говорится типа "."
- А вот как быть с этим? "Суб’єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі." Слать письма? "3. Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел." Но заполнение формы на сайте не есть общедоступный источник.
Т.е уже попадалово
- а теперь я возьму да солью эту базу себе допустим через mysql injection. Да, мне светит 361. Но владелец базы тоже влетает. По 361 он потерпевший, а по изменениям он виновник, что допустил.
Я не собираюсь защищать Е-магазины, наоборот. Их продажа баз спамерам меня возмущает. Но здравый смысл какой-то должен быть. А то у нас "Заставь депутата Богу молиться...."
Буду искренне рад, если кто-нить убедит меня, что я неправ.

Vladimir Gninyuk • Сергей, разделяю и поддерживаю. Но есть вопрос: где найти определение (визначення), что есть "письмова форма": это как чернилами-красками на бумаге, папирусе, глине...???? Где-то носитель и способ нанесения информации определен? А может там поправить?

Сегодня многие газеты и журналы издаются "не на бумаге".

Vladimir Gninyuk • В догонку: существуют понятия Электронная бумага (англ. e-paper, electronic paper) и электронные чернила (англ. e-ink), которые уже очень широко используются в e-book ах.

С этим как быть? Казуистика терминологии ИМХО