152-ФЗ

Форум » Для флейма » 152-ФЗ » Ответить

152-ФЗ

Pasha: Есть такой действующий закон О ПЕРСОНАЛЬНЫХ ДАННЫХ: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=103154;fld=134;dst=4294967295;from=61801-28 Как выполнять положения этого закона для софта, касающегося расчета зарплаты ? Не со стороны организации, обрабатывающей ПД (оператора ПД), а со стороны разработчика софта. Поделитесь опытом. Ст. 19 этого закона в последней редакции выглядит так: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. (в ред. Федерального закона от 27.12.2009 N 363-ФЗ) Достаточно ли для исполнения этой статьи исключить доступ к БД зарплата, содержащей персональные данные, с рабочих мест операторов и обеспечить авторизацию для запуска программы ? Но это можно сделать в том случае, когда на предприятии есть ЛВС, и БД можно "спрятать" на сервере от прямого доступа с рабочих станций. А как быть в маленьких организациях, где весь учет ведется на одном компьютере ? БД не спрячешь, криптографию использовать нельзя, так как для этого нужна лицензия ? Как понимать пункт "защита от копирования" ? Является ли копированием персональных данных функция экспорта отчетов, содержащих персональные данные, в офисные приложения ? Надо ли блокировать эту функцию ? Дальше. Если используется другой софт для зарплаты, это программы для персонификации и 2НДФЛ, то что с ним делать ? Доступ к БД этих программ никак не закроешь.

Ответов - 14

AlexMyr: Это для России или для Украины тоже?

Pasha: AlexMyr пишет: Это для России или для Украины тоже? Это российский закон, действует еще с 2006 года. Раньше он был еще более жестким. На Украине пока подобного закона нет, но возможно подобный ему скоро тоже появится: http://khpg.org/index.php?do=print&id=1259679471 Еще в прошлом году принята резолюция о международных стандартах приватности. Если эта резолюция будет одобрена, то и у нас может появиться что-нибудь похожее

AlexMyr: Я так понимаю, что для того, чтобы поссчитать среднюю з-ту по предприятию, отвественное лицо должно получить свободное, недвусмысленное и осознанное согласие субъекта данных на обработку его персональных данных? Даааааа! Куда мы катимся?

AlexMyr: 23. Мониторинг 1. В каждом государстве должен существовать один или несколько надзорных органов, контролирующих соблюдение принципов, изложенных в данном документе, в соответствии с его внутренним законодательством. ... Да, мало нам органов.

Pasha: AlexMyr пишет: Я так понимаю, что для того, чтобы поссчитать среднюю з-ту по предприятию, отвественное лицо должно получить свободное, недвусмысленное и осознанное согласие субъекта данных на обработку его персональных данных? Даааааа! Куда мы катимся? Нет, согласно ст.6 п.2 для расчета зарплаты согласия субьекта на обработку ПД не требуется, основанием для этого является трудовой договор

LYSK: По Украине это Закон от 1 червня 2010 року N 2297-VI короче, тут Вступит в действие с 1.01.2011, а головоморочка та еще...

Pasha: LYSK пишет: По Украине это Закон от 1 червня 2010 року N 2297-VI Полезная информация, спасибо

AlexMyr: Вот начал читать Вы уже обеспечили защиту персональных данных на предприятии? _http://forum.ru-board.com/topic.cgi?forum=8&topic=33132#1, вообщем страшная история.

wad1: Под средствами защиты понимаются продукты, прошедшие сертификацию во ФСТЭК или ФСБ (если криптография). Так что наши программы такими средствами не являются. Причем сертифицируется конкретный релиз, а после внесения в него исправлений - по новой. Так что сертифицировать динамично развивающиеся программы нереально.

AlexMyr: Дааа! Читаешь украинские бух форумы по ЗПД и в голове все не укладывается, что государство делает с людьми. Был на семинаре, так эти люди из гос службы ни одного толкового ответа не дали, а только цитаты из закона, говорят практики нет еще, только ездят в европу учиться, порядок работы с ПД еще в проекте, штрафы нарисовали . Юристы на семинаре говорят одно, а гос служба на перерыве говорит, чтобы юристов не слушали, а быстро регистрировали базы, уже таксисты флп идут регистрировать базу, только какая у них база не понятно. Вообщем полный бред.

Vlad04: Так что сертифицировать динамично развивающиеся программы нереально. Реально . 1с 8 сертифицирована хитро в постановочном плане, не взираю на релизы , все соответствует закону

wad1: 1С сертифицировала платформу (интерпретатор), а тексты программы ЗУП (Зарплата и управление персоналом) находятся в конфигурации, которая доступна для исправления партнерам. В 58 приказе ФСТЭК сказано, что в исполняемых модулях не должно быть средств изменения кода и отладки, так что если разбираться серьезно, то 1С решения вообще нельзя применять при работе с ПДн. Однако грамотность проверяющих невысока, поэтому "отмазка" 1С о том, что "программой" является только платформа, а конфигурация - это просто настройки, видимо всех удовлетворяет. Да еще после июльских изменений 152-ФЗ вся нормативка регуляторов должна быть переписана, так что все может поменяться.

AlexMyr: Смотрю что для России, что для Украины все сырое, главное штрафы

Петр: AlexMyr пишет: для Украины все сырое, главное штрафы Мы это в ближайшее время узнаем. Сдержит ли правительство слово и перенесет применение санкций на 01.07. или в идиотской попытке любой ценой наполнить бюджет опять нагадит своим гражданам

полная версия страницы