В этой теме будет обсуждаться Федеральный закон № 152-ФЗ о защите персональных данных.
Давайте рассмотрим по существу вопросы:
1) Какие организации попадают под действие данного закона.
2) По каким критериям определяется соответствие/не соответствие деятельности организации закону № 152-ФЗ.
3) Как самостоятельно провести внутренний аудит системы защиты персональных данных.
4) Какой отсветственности следует ожидать за неисполнение закона.
5) Какие конкретно лица в организации несут ответственость за неисполнение закона.
6) Любые другие вопросы по существу рассматриваемой темы.

Также хотелось бы увидеть комментарии юристов по данному вопросу, конечно если такие люди обитают у нас на форуме

Всех кто так или иначе сталкивался с исполнением данного закона лицом к лицу просьба отписываться и делиться любой полезной информацией!

Краткая информация:
До 1 июля 2011 года все организации должны соответствовать Федеральному закону № 152-ФЗ о защите персональных данных.

Федеральный закон «О персональных данных» (ФЗ № 152 «О персональных данных») — нормативный правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 г. Согласно изменениям внесённым ФЗ 363 от 27.12.2009 Операторы персональных данных должны привести свои системы обработки персональных данных запущенные до 1 января 2010 года в соответствие с законом до 1 января 2011 года.

Целью закона является защита прав и свобод человека при обработке его персональных данных.

Принятие данного федерального закона явилось триггером в создании правовых условий для защиты прав субъектов персональных данных в РФ.

В соответствии с законом № 152 «О персональных данных», в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в т.ч. фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных. Действие Закона не распространяется на отношения, возникающие при:
-обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
-организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
-обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
-обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПДн должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд бюрократических действий:
-Направить уведомление об обработке персональных данных (ФЗ 152 Статья 22 п 3)
-Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (ФЗ 152 Статья 9 п 4)

Вот это интересно. Наверное четкое выполнение этого закона будет стоить как бюджет пол африки.

Товарищи! Активнее включаемся в дискуссию, вопрос-то шкурный! Хочется чётко знать каких санкций можно ждать, на что следует обратить внимание, а что можно пропустить как песок сквозь пальцы. Дополнительно хотелось бы чётко рассмотреть - что конкретно является обработкой персональных данных, а что нет. Вот, скажем, наша компания занимается оптовой торговлей. Как мне привести её деятельность в соответствии с рассматриваемым законом?

это как раз не будет стоить ничего (либо практически ничего).

а кто ж скажет-то, на что обращать внимание, а на что нет, если проверки только-только начинаются?
И вообще, поздно как-то спохватились. С 2006 года люди головы ломают над этим ... законом. Кроме того, в гос.думе на днях проходило третье чтение очередных поправок в 152 закон. Уж не знаю, прошли или нет, и что там за поправки.
ЗЫ: ответы на все заданные вопросы находятся поиском. Ну а если кратко:
1. Практически все.
2. Выполнил все требования - соответствует. Не выполнил - не соответствует. Читаем внимательно 152-ФЗ, приказ ФСТЭК №58, Постановление Правительства РФ №781.
3. Аттестационные испытания тоже сами будете проводить?
4. Дисциплинарной, административной, либо уголовной. + возможна приостановка деятельности организации.
5. Лица, виновные в нарушении требований Федерального закона

Добавлено спустя 7 минут 21 секунду:


В законе четко прописано - п.3 ст.3. У компании работники есть? Трудовые договоры с ними есть? Вот и персональные данные.

Организация, в которой я работаю, прошла подобную сертификацию.
Аттестацию можно и самим проводить, вроде, но для этого надо пройти сертификацию, а потому проще доверить это сторонней организации, имеющей лицензию.
По закону, любая контора, обрабатывающая персональные данные, должна иметь соответствующую защиту, иначе контролирующие органы могут и штраф наложить, и изъять оборудование, обрабатывающее персональные данные.
Персональные данные - это паспортные данные, домашний адрес, телефон и пр. Если в организации много компов, то защитить можно лишь те, которые непосредственно обрабатывают ПДн, например бухгалтерия, отдел кадров.
Стоимость этой "радости" немаленькая.
Зато теперь если какая организация, например магазин для оформления скидочной карты, (кроме банком, там другая песня по обработке ПДн) просит у вас паспортные данные, телефон или что-то подобное, смело можно требовать заключения письменного соглашения на обработку ПДН, пугать их штрафами и УК.

Вот камасутра для защиты ПДн:
1) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных http://www.fstec.ru/_spravs/metodika.doc
2) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(выписка) http://www.fstec.ru/_spravs/model.rar

Исходя из количества сотрудников в организации, чьи ПДн обрабатываются, и категории ПДн, классифицируется ИСПДн с учетом архитектуры локалки (в одном здании, разнесенная кампусная и пр.).
Предположим, класс ИСПДн будет К3 (до 1000 сотрудников, обрабатываются паспортные данные и ИНН, медицинских сведений нет, больничные не в счет). Выделяем в сегмент эти компы, и покупаем сертифицированные средства защиты под данный класс ИСПДн. Это межсетевой экран, разделяющий ИСПДн и локалку и СЗИ на сами компы и серверы ИСПДн.
Если эти компы подключены в интернет, то ставим МЭ и средства обнаружения вторжений.
Аттестации ИСПДн сейчас никто не требует, достаточно актов ввода в эксплуатацию СЗИ и потом заключения о готовности средств защиты информации, установленных в ИСПДн и возможности их эксплуатации.
Организационные меры: учет съемных носителей, разрешение от каждого сотрудника на обработку своих ПДн, ознакомление под роспись с инструкцией по работе с СЗИ.

Добавлено спустя 5 минут 44 секунды:
На сайте ФСТЭК есть решение ФСТЭК http://www.fstec.ru/_docs/doc_781_1.doc, которое разъясняет некоторые существенные моменты.
Единственно, от чего не отвертеться, это приобретение сертифицированных ФСТЭК СЗИ и МЭ. Наличие лицензий на антивирусы и другое ПО тоже приветствуется органами проверки. В противном случае лучше и не защищать, только трата денег. Сертифицированные ФСТЭК антивирусы: Dr. Web 5.0 и Касперский 6.0 для рабочих станций и серверов.

Добавлено спустя 7 минут 43 секунды:
По санкциям: от тысяч рублей вплоть до прекращения бизнес-процессов, связанных с обработкой ПДн. А проверять могут ФСТЭК, ФСБ, Минкомсвязь, и теперь еще и МО. Конечно, должна быть специализация, но Минкосвязь и ФСТЭК могут проверить любое предприятие и госструктуру.

Ну да, все будут делать пионеры, как раньше за бесплатно.
Подумайте еще, если закон работает (а не на бумаге просто есть) кто то должен его контролировать (проще тратить свое время) среди них есть профессионалы чье время (рабочее) стоит денех, как это не смешно. Дальше продолжать?

сделал, жду ответа юриста по рискам. придумают же.

Мда, в очередной раз наше государство "помогает" малому и среднему бизнесу. Я вот так считаю. Я понимаю, они бы вложились в разработку "какого-то специального защитного ПО для защиты персональных данных" и типо люди платили бы за его лицензирование для организации. Так они снова хотят на ровном месте бабло косить, да ещё и кнутом бить. Идиоту понятно что в большой организации с серьёзными сетями антивирусы и межсетевые экраны есть по-умолчанию, ну а, скажем, конторе со штатом из 10 человек, нахрена эта защита данных сдалась?! Защищать персональные данные бабы Мани?

Неее, Защищать персональные интересы дяди ПУ.

Я уже достаточно подумал, больше не хочу. А вы можете продолжать. Только это:

не будет стоить ничего, либо почти ничего, независимо от продолжений.
А если имелось ввиду вообще выполнение закона, то да, будет стоить очень дорого, только зачем было выделять только уведомления и письменные согласия?