Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Деятельность УЦ и Закон о персональных данных
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.01.2009(UTC) Сообщений: 1 Откуда: Москва
|
Добрый день! Согласно закону 152-ФЗ «О персональных данных» сведения подаваемые в УЦ для регистрации пользователя УЦ, являются персональными данными (ПД) и для их обработки и использования необходимо разрешения субъекта ПД. У кого какое мнение? Это письменное разрешение включать в регламент или отдельным документом. И как вообще деятельность УЦ попадает под этот закон? Может быть есть уже какая практика?
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Есть противоречие 152-ФЗ "о ПД" и 1-ФЗ "о ЭЦП", а именно в том, что сертификат ключа подписи есть общедоступный объект, но идентификационные данные его владельца есть ПД. Что бы УЦ мог работать в этом правовом поле, в Регламенте УЦ должна определяться форма завления на изготовления сертификата ключа подписи и в этой форме должен быть абзац приблизительного такого содержания: Настоящим ________________________________________________ (фамилия, имя, отчество) __________________________________________________________ (серия и номер паспорта, кем и когда выдан) соглашается с обработкой своих персональных данных Удостоверяющим центром "_______" и признает, что персональные данные, заносимые в сертификаты ключей подписей, владельцем которых он является, относятся к общедоступным персональным данным. |
С уважением, КРИПТО-ПРО |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 43 Откуда: Казань
|
А правильно ли, если в организационных документах самого УЦ прописано, что сведения о пользователе, отраженные в сертификате не являются конфиденциальными? если правильно, то пользователю и не будет необходимости подписывать подобные документы о согласии (давать разрешение), все равно ведь он прежде чем подавать заявку должен ознакомиться всей документацией УЦ.
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Нет не правильно. Согласно пункта 4 статьи 9 152-ФЗ "О персональных данных" от 27 июля 2006 г. обработка персональных данных осуществляется только с согласия в ПИСЬМЕННОЙ форме субъекта персональных данных. |
С уважением, КРИПТО-ПРО |
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.12.2008(UTC) Сообщений: 11
|
Юрий Маслов написал:Нет не правильно. Согласно пункта 4 статьи 9 152-ФЗ "О персональных данных" от 27 июля 2006 г. обработка персональных данных осуществляется только с согласия в ПИСЬМЕННОЙ форме субъекта персональных данных. А как же тогда быть с подпунктами 1 и 2 пункта 2 статьи 6? Ведь обработка ПД осуществляется на основании ФЗ №1 и в целях исполнения договора!
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
psyshit написал:А как же тогда быть с подпунктами 1 и 2 пункта 2 статьи 6? Ведь обработка ПД осуществляется на основании ФЗ №1 и в целях исполнения договора! Ну и что? Мы же говорим о том, что бы персональные данные, заносимые в сертификат, считались общедоступными. Для этого и нужно письменное волеизъявляение субъекта. |
С уважением, КРИПТО-ПРО |
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.12.2008(UTC) Сообщений: 11
|
Юрий Маслов написал:psyshit написал:А как же тогда быть с подпунктами 1 и 2 пункта 2 статьи 6? Ведь обработка ПД осуществляется на основании ФЗ №1 и в целях исполнения договора! Ну и что? Мы же говорим о том, что бы персональные данные, заносимые в сертификат, считались общедоступными. Для этого и нужно письменное волеизъявляение субъекта. Согласно статье 8 мы действительно должны брать письменное согласие, но в пункте 2 статьи 6 сказано что согласие субъекта на обработку персональных данных не требуется. Уважаемый Юрий! У Вас есть письменные рекомендации ФСТЭК на этот случай? Если есть, то если не сложно прошу куда-нибудь их выложить. А то обсуждать можно долго, но при проверке уполномоченным органом, с его видением документа, могут возникнуть проблемы! А если будут письменные рекомендации, то все проблемы можно будет избежать.
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Вы опять не поняли мою мысль. Я не говорю о СОГЛАСИИ на обработку ПД. Я говорю о том, что бы сделать ПД в сертификатах ОБЩЕДОСТУПНЫМИ. Тут есть разница.
Письменных рекомендаций нет. И не было попыток их получить и не считаю необходимым их получать. Проблемы могут возникнуть всегда, при наличии или отсутствии рекомендаций ФСТЭК, т.к. проблемы может создать не уполномоченный орган, а отдельные сотрудники уполномоченного органа. А это две большие разницы :-)
|
С уважением, КРИПТО-ПРО |
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.12.2008(UTC) Сообщений: 11
|
Видимо я до конца не понимаю Вашу мысль, поэтому задам несколько уточняющих вопросов и мои мысли по этому поводу! ;-)
А для чего делать ПД общедоступными? Только для создания сетевого справочника сертификатов?
Я думаю, если мы не будем выкладывать сертификаты в общедоступные источники, то нам получается и письменное согласие брать не надо! А если пользователь сам захочет чтобы его сертификат был в общедоступном источнике, то тогда может быть и стоит взять с него письменное согласие! Последнее большего всего и волнует: стоит или не стоит брать письменное согласие? С одной стороны есть 8 статья, а с другой 6................не хочется чтобы наши пользователи делали лишние телодвижения, тем более пользователи в любой момент могут сказать чтобы мы убрали ПД.................так же на каком то семинаре по ПД было сказано что согласие желательно брать отдельно, т.е. нежелательно брать согласие на обработку (включение в общедоступные источники) ПД вместе с заявкой, это приводит к увеличению количества документов...........................
Еще вопрос по этой теме: какой класс ИСПД соответствует УЦ? С одной стороны то, что мы заносим в сертификат это данные уровня К3, при этом аттестация не требуется, но сам по себе сертификат позволяет однозначно идентифицировать субъекта ПД что переводит его в уровень К2, а для этого необходимо проводить аттестацию, а так как у нас используется криптография, то надо проводить аттестацию во ФСТЭКе совместно с ФСБ! так как правильно классифицировать УЦ? и достаточно ли класса КС2 для аттестации по уровню К2?
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
psyshit написал:А для чего делать ПД общедоступными? Во первых, какие ПД делаем общедоступными? Те, что являются идентифицирующими владельца сертификата ключа подписи. В терминах формата Х.509 это будет поле SubjectDN сертификата открытого ключа. Для чего? Для того, что бы сертфиикат ключа подписи передавать ЛЮБОМУ кто хочет проверить ЭЦП в электронном документе. Т.е. не для создания сетевого справочника сертификатов, а для применения ЭЦП. Например, ЭЦП подписали конкурсную документацию на сайте закупок. Любое лицо может мож ознакомиться с документацией и проверить ЭЦП. Для этого ему нуже сертификат ключа подписавшего. Поэтому хорошей практикой считается, что сертификат ключа подписи подписанта "вкладывают" в саму подпись в формате PKCS#7 SignedData. Как видите, дело не в справочнике. Справочник организуют когда применяют шифрование, а не подпись. Поэтому Ваша ошибка в утверждении, что "если мы не будем выкладывать сертификаты в общедоступные источники, то нам получается и письменное согласие брать не надо!". Не сертификаты выкладываются в общедостпные источники, а электронные документы, удостоверенные ЭЦП, становятся доступными зачастую не только участникам информационной системы но и другим лицам: сотрудникам налоговой службы (при камеральной проверке), сотрудникам прокуратуры и органов внутренних дел (при проведении дознания), сотрудникам судов (при разрешении споров и конфликтов), иным участникам судебного процесса. Поэтому сертификат ключа подписи и нужно делать также общедоступным как и электронный документ! psyshit написал:как правильно классифицировать УЦ? Согласно "Методическим рекомендациям по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" ФСБ России, формирует и утверждает модель угроз оператор ПДн, а значит и классифицирует УЦ оператор. Как? Читайте в указанных Методических рекомендациях. Практики реальной аттестации УЦ как ИСПДн и практики классификации УЦ по классу ИСПДн мы не имеем, да и не слышал о таких прецедентах :-( |
С уважением, КРИПТО-ПРО |
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Деятельность УЦ и Закон о персональных данных
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close