19 ноября, понедельник 11:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ответственность за нарушение ФЗ № 152

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ответственность за нарушение ФЗ № 152

    Здравствуйте уважаемые коллеги! всех поздравляю с праздником, днем специалиста по безопасности.
    У меня возник вопрос относительно ответственности, какая ответственность может, наступит в для специалистов ИБ и ИТ служб, если в случаи проверки надзорным органом выясниться что, существует возможность утечки перс данных из за ошибок или не правильно выбранной системе защиты????

  • #2
    Ситуация №1.

    В некую компанию Х, устраивается на работу гражданин Иванов. При приеме на работу, работодатель запрашивает у Иванова следующую информацию: – Паспортные данные (ФИО, дата и место рождения, место прописки, семейное положение серия и номер паспорта, дата выдачи и кем выдан); Трудовую книжку; ИНН; Карточку пенсионного страхования; Военный билет; Документ об образовании, сертификаты. Работодателю эти данные необходимы, чтобы начислять Иванову заработную плату, проводить соответствующие отчисления в пенсионный фонд, оформить обязательное медицинское страхование, и т.д.
    Компания уверена, что т.к. Иванов сотрудник компании, а также обработка его персональных данных осуществляется также во исполнение федеральных законов, то ей подавать уведомление в Роскомнадзор не надо. С другой стороны, компания Х передает их частному охранному предприятию, которое охраняет здание, офис в котором снимает компания, а также вносит данные Иванова в материалы на исполнителей работ, которые передаются сторонним организациям-заказчикам. Подводный камень кроется здесь в том, что компания Х не озаботилась взять согласие Иванова, на передачу его персональных данных охранному предприятию, а в материалы переданных организации-заказчику указала информацию, выходящую за объем информации, разрешенной Ивановым для распространения, это информация о его бывшей работе, его домашний и мобильный телефон.
    Все шло хорошо, но Иванова позвали в компанию конкурента и он уволился из компании Х. А через некоторое время в компанию приходит внеплановая проверка Роскомнадзора, инициированная письмом от разгневанного Иванова, которому надоели постоянные звонки от представителей организации-заказчика компании Х. Комиссия Роскомнадзора, проанализировав ситуацию, нашла все обозначенные выше нарушения, а также нарушение о том, что компания Х не зарегистрировалась в качестве оператора персональных данных. Руководитель компании получает соответствующее предписание на устранение нарушений в течении трех рабочих дней, однако выполнить его он не может, т.к. регистрация в соответствии с законом проводится в течение тридцати дней. И вслед за этим на компанию возлагаются новые штрафные санкции. Возможная ответственность ст.19.7 и 19.5 КоАП.

    Для справки:
    КоАП Статья 19.7. Непредставление сведений (информации)
    Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.
    КоАП Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
    Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

    Ситуация №2.

    Компания поспешно регистрируется в качестве оператора персональных данных. При этом многие аспекты опускаются или оставляются на будущее.

    В определенный момент, компания получает предписание из Роскомнадзора о проверке информации, указанной в заявке на регистрацию в качестве оператора. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности выполненных мер по защите ПДн.

    Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК России, ФСБ России или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК России и/или ФСБ России по вопросу проведения внеплановой проверки организации с целью выяснения выполнения требований к обеспечению защиты ПДн.

    А уже в ходе проверки выясняется, что данная организация эксплуатирует информационную систему определенного класса и организация в связи с этим должна была получить лицензированию на деятельность по технической защите конфиденциальной информации ФСТЭК России. Лицензию данная организация не имеет и работ к ее получению компания не начинала. ФСТЭК России направляет отчет о проверке в Роскомнадзор, который в свою очередь направляет в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП ст.13.12 или по УК ст.171.

    Для справки:

    КоАП Статья 5.39. Отказ в предоставлении гражданину информации.
    Ответственность – штраф до 1 000 руб., но также это может явиться основанием ответственности по статье 3.12;

    КоАП Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
    Ответственность – штраф до 1 000 руб.;

    КоАП Статья 13.12. Нарушение правил защиты информации,
    Ответственность может доходить – штраф от 10 000до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административного приостановления деятельности на срок до 90 суток.;

    УК Статья 137. Нарушение неприкосновенности частной жизни.
    Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или арестом на 6 месяцев;

    УК Статья 140. Отказ в предоставлении гражданину информации.
    Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью;

    Конкретная ответственность сотрудников ИТ и ИБ, зависит от того, кого руководство сделает козлом отпущения.

    Комментарий


    • #3
      http://lukatsky.blogspot.com/2009/10/152.html

      Комментарий

      Пользователи, просматривающие эту тему

      Свернуть

      Присутствует 1. Участников: 0, гостей: 1.

      Обработка...
      X