21 декабря 2015 г.

Добро пожаловаться-3. Финал

Похоже, история с сайтом ГТО, на котором обрабатывались персональные данные участников программы и представителей несовершеннолетних участников, что стало причиной жалоб родителей юных спортсменов и физкультурников, о которой я писал здесь и здесь, подошла к концу. В результате получено именно то, к чему стремились.
На жалобы получены ответы из прокуратуры, Комитета по образованию Санкт-Петербурга и Роскомнадзора. С нарушениями надзорные органы согласились (есть нюансы, но главное – результат). Из Роскомнадзора (центрального, а не питерского) за подписью начальника Управления по защите прав субъектов персональных данных Ю.Е. Контемирова пришел следующий ответ пожаловавшемуся (цитирую по открытой публикации в Фейсбуке): «Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) рассмотрела Ваше обращение от 30.11.2015 № 02-11-14012 и сообщает, что по результатам рассмотрения доводов изложенных в Вашем обращении, Роскомнадзором в адрес Автономной некоммерческой организации «Исполнительная дирекция XXVII Всемирной летней универсиады 2013 года в г. Казани» (АНО «Исполнительная дирекция спортивных проектов») направлено требование о принятии мер, направленных на соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»». Ответ пришел раньше установленного месячного срока, что тоже радует.
Меры приняты. Реально. Форма согласия, вызывавшая наибольшие нарекания, радикально переделана и выложена на сайте. Теперь ясно, кому конкретно, с какой целью и на что дается согласие, какие данные собираются (никаких СНИЛСов, ИНН и «иной другой информации», как это было очевидно, представлять не нужно), и куда они передаются. Никаких неизвестных третьих лиц, никакого распространения и смс-сообщений неизвестно от кого. Особенно радует «Обработку персональных данных ребенка для любых иных целей я запрещаю. Она может быть возможна только с согласия на такую обработку в каждом отдельном случае».
Четко сформулирован порядок отзыва согласия и возможность продолжения обработки после отзыва.
На сайте появились вполне внятное «Пользовательское соглашение» и «Положение об обработке и защите персональных данных». По закону должна быть политика в отношении обработки, но мы ведь не педанты?! Главное, что есть документ, вполне соответствующий букве и духу закона.
Итак, добро пожаловаться. И, может быть, закона в нашей жизни станет больше, а нарушений прав – меньше.

10 декабря 2015 г.

Ищем законопослушные ЦОДы и облачных провайдеров

Коллеги, работающие в ЦОДах и облачных провайдерах.
Наши клиенты ищут удобное и законопослушное место для размещения своих ИСПДн.
Жду предложений в личку или на мыло от тех, кто готов подписаться в договоре под следующими условиями:

  • выполнение мер безопасности, установленных ст.19 и необходимых для обеспечения 2 или 3 уровней защищенности (включая СЗИ, прошедшие оценку соответствия) для угроз 3-го типа;
  • запрет персоналу на доступ к обрабатываемым данным клиентов;
  • предоставление заказчику частной модели актуальных угроз и описание способов их нейтрализации в ЦОДе (облачной инфраструктуре).
Если есть аттестаты-сертификаты, надо быть готовым представить их копии.
Помимо возможных заказчиков бонусом является попадание в готовящийся обзор про облака, ЦОДы и 152-ФЗ как положительных героев.