Защита Персональных данных и ДССЗЗІ.
Подскажите, как быть? Почему-то
я думал, что теперь для обеспечения защиты персональных данных я должен
руководствоваться новым законом Украины «Про захист персональних
даних», а точнее нормативными актами, которые должны быть написаны
недавно созданным Гос органом по защите персональных данных.
Но как оказалось ДССЗЗІ опираясь на статью 23 ЗУ «Про інформаціию»,
ст 8 ЗУ «Про захист інформації в інформаційно-телекомунікаційних» та
п.п. 4,6,16 «Правил забезпечення захисту інформації в інформаційних,
телекомунікаційних та інформаційно-телекомунікаційних системах» КМУ
29.03.2006 №373 . – утверждает что должна быть создана КСЗИ с
подтвержденным соответствием атестатом от ДССЗЗІ для обработки в
своих АС данных - например фамилии и адреса клиента.
Немного запутался, так перед кем я должен отвечать за защиту ПДн перед Гос органом по защите ПДн или перед ДССЗЗІ ?
5 hours ago
Vladimir Matviychuk, CISA, CISM •
Ответственность, собственно, только в первом
чтении приняли. Так что ответсвенность тоже призрачная тема.
А если по теме - скоро будет официальная страница коммиссии по защите персональных данных с FAQом. Кто, кому, как и где.
Ruben Dadoyan •
А как быть сейчас что ответить ДССЗЗІ по поводу претензий с их стороны?
Vladimir Matviychuk, CISA, CISM •
Если именно в такой формулировке - это
профанация. Вопрос к юристам. В законе не сказано, что для защиты
персональных данных нужно КСЗИ, тем более сертифицированной.
Victor Zhora •
Поддержу Владимира, однако есть нюанс :)
С одной стороны, Закон 2297 четко говорит о том, что "Персональні дані,
крім знеособлених персональних даних, за режимом доступу є інформацією з
обмеженим доступом". Кроме этого, "Володілець бази персональних
даних в електронній формі забезпечує її захист відповідно до закону"
(питання - відповідно до якого закону?)
С другой стороны, КМУ до 01.07.11 должен обеспечить принятие
нормативно-правовых актов, предусмотренных Законом, в частности
"Положення про Державний реєстр баз персональних даних та порядок
його ведення", чтобы Комиссия уже могла "здійснювати в межах своїх
повноважень контроль за додержанням вимог законодавства про захист
персональних даних".
Однако есть лазейка в ст.22, по которой этот контроль могут осуществлять
"інші органи державної влади та органи місцевого
самоврядування". На основании этого к Вам приходит Госспецсвязи и
ссылается (на мой взгляд, совершенно правомерно) на положения:
1) статьи 8 ЗУ "Про захист в ІТС", а именно "Інформація, яка є
власністю держави, або інформація з обмеженим доступом, вимога
щодо захисту якої встановлена законом, повинна оброблятися в системі із
застосуванням комплексної системи захисту інформації з підтвердженою
відповідністю"
2) п.4 Постановления КМУ 373 "Захисту в системі підлягає [...]
конфіденційна інформація, яка є власністю держави або вимога щодо
захисту якої встановлена законом, у тому числі конфіденційна інформація
про фізичну особу (далі - конфіденційна інформація)" и п. 16 "Для
забезпечення захисту інформації в системі створюється комплексна система
захисту інформації..."
Таким образом, видится два варианта ответа:
1) нет баз ПД, ибо нет реестра, будет реестр - будем защищать;
2) ведем работы по защите, выбиваем бюджет, формируем требования, готовим тендер :)
Ruben Dadoyan •
Спасибо Виктор, за предельно развернутый ответ!
Все по полочкам! Теперь уже для себя четко понимаю как необходимо
действовать !
|