пятница, 6 августа 2010 г.

Неавтоматизированная обработка: точка или многоточие?


Мой хороший знакомый Kostik, главный администратор сайта mmite.3dn.ru (на котором я иногда модерирую :), вчера получил ответ на письмо, отправленное им на e-mail территориального управления Роскомнадзора. Ответ этот очень обрадовал форумчан, поэтому публикую его здесь:

Вопрос:

От: Kostik
Отправлено: 5 августа 2010 г. 16:41
Кому: Канцелярия ТУ_ВологодскаяОбл_35
Тема: Неавтоматизированная обработка ПДн и архивное дело

Здравствуйте,

Не могли бы вы пролить свет, на несколько вопросов, связанных с защитой персональных данных:

1. Можно ли признать распечатку договоров и отчетов на ПК не автоматизированной обработкой ссылаясь на определение закона: Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
P.S. Сведения заносятся в документ формата *.doc, который впоследствии распечатывается (без использования БД). Все действия выполняются на изолированном от локальной сети ПК.
2. Вопрос по архивному делу: в администрации имеется архивный отдел. Действие 125-ФЗ не распространяется на "отношения, возникающие при: организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации"; но в архивном отделе есть база, в которой есть ПДн граждан обратившихся в архив за справкой Архивные запросы, т.е. регистрируются все запросы и ответы в архиве. Нужно ли оформлять все документы на эту ИСПДн? или закон на нее не распространяется?

Ответ:

Добрый день.

По первому вопросу- это неавтоматизированная обработка.
По второму вопросу: можно относить это к архивному делу.
Позиция ФСТЭК по этому вопросу не известна, поэтому как они будут смотреть на этот вопрос не ясно.

Управление Роскомнадзора по Вологодской области, (8172)54-89-20 rsockanc35@rsoc.ru

Что положительного - так это то, что Роскомнадзор ОТВЕЧАЕТ на вопросы, посланные по электронной почте (и достаточно быстро), чего, к сожалению, пока нельзя сказать о ФСТЭК. Ключевая фраза ответа РКН выделена жирным шрифтом. Получается, что раз РКН не считает указанные случаи автоматизированной обработкой, то они находятся в его юрисдикции. Однако предупреждает, что может приехать ФСТЭК и точно так же станет все это проверять, потому как может признать такую обработку автоматизированной (с использованием средств автоматизации): по мнению ФСТЭК, персональный компьютер, установленный на рабочем месте, именно таким средством и является.

Что ж, главный вывод таков: до тех пор, пока ведомства не договорятся о разделе полномочий и не выработают единое консолидированное мнение, у операторов есть все шансы, что такие "пограничные" вопросы будет проверять и Роскомнадзор, и ФСТЭК.

20 комментариев :

  1. В дополнение: в блоге Анны Дементеевой (http://dementeeva.blogspot.com/2010/06/blog-post.html)есть мнение Управления ФСТЭК по ЮФО.

    Цитата: "Регуляторы подтвердили, что работу с документами (например, формата .doc), не содержащимися в БД, можно считать неавтоматизированной."

    Опять же это МНЕНИЕ, высказанное на конференции, и опять же - бытующее в ЮФО. Как обстоят дела в СЗФО достоверно неизвестно, однако, по словам операторов СПб, оно схоже с ЮФО. Официальные письма и разъяснения ФСТЭК, которые можно использовать в работе, по этому поводу мне не известны, если у читателей есть такие документы - прошу поделиться ссылочкой :)

    ОтветитьУдалить
  2. Написала официальное письмо по этому поводу в Роскомнадзор, как придет ответ - обязательно опубликую.

    Но, я согласна с Вами, что мнения регуляторов могут не совпадать. Как угодить всем и себя не обидеть пока не ясно.

    ОтветитьУдалить
  3. to Анна: отлично, я слежу за Вашим блогом - жду публикации.

    Правда, мне не совсем понятно, имеет ли Роскомнадзор полномочия определять, что является автоматизированной обработкой, а что - нет.

    ОтветитьУдалить
  4. А вот и ответ РКН для Анны:

    http://dementeeva.blogspot.com/2010/08/blog-post.html

    Когда в товарищах согласья нет...

    ОтветитьУдалить
  5. Анонимный18.8.10

    Меня более забавляют решения мировых судей об адм. ответственности при не постановке на учет в РКН операторов-администраций сельских поселений, ведущих "амбарные" книги, с ссылками на первую часть статьи 22. При этом пропуская исключение 8 во 2 части той же статьи.
    Но... учитывая ответ от РКН для Анны!!!
    Как-то тоскливо становится, Леш!
    С уважением,
    из Ресурса.

    ОтветитьУдалить
  6. Просто у администраций сельсоветов нет квалифицированных специалистов, способных отстоять свою точку зрения в суде, а судьи ориентируются на имеющуюся практику и клепают решения на конвейере... Ну ничего. Оптимистический пофигизм и легкая ирония спасут нас от тяжелых мыслей :)

    ОтветитьУдалить
  7. Коллеги с mmite.3dn.ru отправили ссылку на пост Анны, вот ответ:

    "Вы уже несколько раз задавали этот вопрос. Официального письма от центрального аппарата Роскомнадзора нет. В приведенном вами письме есть определенная логика, но мы руководствуемся тем, что если информация хранится в каких либо базах данных, то использование ее относим к автоматизированной обработке. Кроме того, если информация хранится на серверах и доступна нескольким пользователям для использования, то рационально относить это к автоматизированной обработке.(например вы создали шаблоны документов и в них фигурирую ПДн)
    Если же ПДн хранится на локальном компьютере, без систематизации, доступна для 1 пользователя, то это неавтоматизированная обработка. Грубо говоря, когда компьютер используется как "печатная машинка".
    Управление Роскомнадзора по Вологодской области"

    В Вологодской области это - неавтоматизированная обработка, и точка. Поздравляю вологжан :)

    ОтветитьУдалить
  8. Ну что тут скажешь? Добавить нечего. Остается только присоединиться к поздравлениям :)

    ОтветитьУдалить
  9. Анна, примите огромное спасибо за поздравления от всех вологжан в моем лице :)

    ОтветитьУдалить
  10. Анонимный9.9.10

    НУ, а что теперь скажете по поводу
    ответа ФСТЭК на тот же вопрос
    http://mmite.3dn.ru/forum/2-18-8

    ОтветитьУдалить
  11. Сказал все здесь:

    http://mmite.3dn.ru/forum/2-18-342-16-1284060274

    ОтветитьУдалить
  12. Анонимный16.2.11

    Господа подскажите такой вопрос, если один субъект написал про гражданина и выложил в интернет без согласия гражданина и у гражданина начались серьезные проблемы так как о нем можно найти информацию по инициалом в интернете. Как быть в этом случаи учитывая что кто выкладывал является юристом и ему просто заказали унизить гражданина

    ОтветитьУдалить
  13. Ну как... Напишите заявление в правоохранительные органы (можно с помощью адвоката) о необходимости защиты чести и достоинства. Они чего-нибудь поделают. Будете судиться с неустановленными лицами, привлекут владельцев сайта для поиска, опять же не найдут. Максимум что сделают - удалят запись. Но скорее всего не сделают ничего.

    ОтветитьУдалить
  14. Анонимный18.2.11

    Алексей как быть в такой ситуации люди с других стран звонят и смеються над ситуацией

    ОтветитьУдалить
  15. Я бы по этому поводу не парился. Если меня бараном назовут - так я же не побегу отпиливать себе рога, правильно? А с теми, кто звонят и злорадствует, я бы прекратил общаться. Таких друзей - за ... и в музей. Если достали все - поменяйте номер телефона. И забейте - это все мелочи. Жизнь долгая, каждому воздастся по делом их :)

    ОтветитьУдалить
  16. Анонимный21.2.11

    Ну а если субъект который опубликовал информацию про другого субъекта сам себя обозначил в иде выкладки своей фотографии на одном из сайтов как быть в этом случаи. Может его в рамках когого либо закона как быть в этом случаии

    ОтветитьУдалить
  17. В любом случае надо куда-то обращаться. К правоохранителям. Самосуд же Вы чинить не будете.

    ОтветитьУдалить
  18. Анонимный22.2.11

    И как им это преподнести вот нехороший человек редиска про моего товарища каку написал его нужно посадить или есть какие либо законные методы или требования ну к примеру как составить даже то же заявление. Посаветуйте

    ОтветитьУдалить
  19. К сожалению, я не юрист, и профессиональную консультацию оказать не могу... Потому очень советую - обратитесь со своей проблемой к профессиональному адвокату. Он должен помочь.

    ОтветитьУдалить
  20. Анонимный24.2.11

    Спасибо Вам огромное

    ОтветитьУдалить