Защита Персональных данных и ДССЗЗІ.

Подскажите, как быть? Почему-то я думал, что теперь для обеспечения защиты персональных данных я должен руководствоваться новым законом Украины «Про захист персональних даних», а точнее нормативными актами, которые должны быть написаны недавно созданным Гос органом по защите персональных данных.

Но как оказалось ДССЗЗІ опираясь на статью 23 ЗУ «Про інформаціию», ст 8 ЗУ «Про захист інформації в інформаційно-телекомунікаційних» та п.п. 4,6,16 «Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» КМУ 29.03.2006 №373 . – утверждает что должна быть создана КСЗИ с подтвержденным соответствием атестатом от ДССЗЗІ для обработки в своих АС данных - например фамилии и адреса клиента.

Немного запутался, так перед кем я должен отвечать за защиту ПДн перед Гос органом по защите ПДн или перед ДССЗЗІ ?

5 hours ago

Vladimir Matviychuk, CISA, CISM • Ответственность, собственно, только в первом чтении приняли. Так что ответсвенность тоже призрачная тема.
А если по теме - скоро будет официальная страница коммиссии по защите персональных данных с FAQом. Кто, кому, как и где.

Ruben Dadoyan • А как быть сейчас что ответить ДССЗЗІ по поводу претензий с их стороны?

Vladimir Matviychuk, CISA, CISM • Если именно в такой формулировке - это профанация. Вопрос к юристам. В законе не сказано, что для защиты персональных данных нужно КСЗИ, тем более сертифицированной.

Victor Zhora • Поддержу Владимира, однако есть нюанс :)

С одной стороны, Закон 2297 четко говорит о том, что "Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом". Кроме этого, "Володілець бази персональних даних в електронній формі забезпечує її захист відповідно до закону" (питання - відповідно до якого закону?)

С другой стороны, КМУ до 01.07.11 должен обеспечить принятие нормативно-правовых актов, предусмотренных Законом, в частности "Положення про Державний реєстр баз персональних даних та порядок його ведення", чтобы Комиссия уже могла "здійснювати в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних".

Однако есть лазейка в ст.22, по которой этот контроль могут осуществлять "інші органи державної влади та органи місцевого самоврядування". На основании этого к Вам приходит Госспецсвязи и ссылается (на мой взгляд, совершенно правомерно) на положения:
1) статьи 8 ЗУ "Про захист в ІТС", а именно "Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю"
2) п.4 Постановления КМУ 373 "Захисту в системі підлягає [...] конфіденційна інформація, яка є власністю держави або вимога щодо захисту якої встановлена законом, у тому числі конфіденційна інформація про фізичну особу (далі - конфіденційна інформація)" и п. 16 "Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації..."

Таким образом, видится два варианта ответа:
1) нет баз ПД, ибо нет реестра, будет реестр - будем защищать;
2) ведем работы по защите, выбиваем бюджет, формируем требования, готовим тендер :)