AX и 152 ФЗ О защите персональных данных

[Ekaterina Loginova]

Подскажите, пожалуйста, как Аксапта соответствует требованиям 152 ФЗ о защите персональных данных? Есть где-нибудь информация об этом? Вопрос возник в связи с внедернием модуля Payroll. Соответственно, могут ли тут быть какие-то вопросы с этим законом.

[oip]

Цитата:

Microsoft получила сертификаты, удостоверяющие соответствие продуктов Microsoft Dynamics требованиям законодательства о персональных данных

Москва, 21 сентября 2010 - Корпорация Microsoft получила сертификаты на программные продукты Microsoft Dynamics, распространяемые в России, на соответствие нормам Федерального закона Российской Федерации №152-ФЗ «О персональных данных». Действия с персональными данными широко используются в решениях, основанных на ERP-и CRM-системах, поэтому корпорация Microsoft в России провела сертификационные испытания систем Microsoft Dynamics на соответствие требованиям руководящих документов.

1 января 2011 г. истекает срок приведения организациями своих информационных систем персональных данных в соответствие с требованиями Федерального закона №152-ФЗ «О персональных данных», регулирующего отношения, связанные с обработкой и хранением персональных данных, в том числе с использованием средств автоматизации. Функция аттестации информационных систем предприятий на соответствие требованиям Федерального закона 152-ФЗ возложена на Федеральную службу по техническому и экспортному контролю (ФСТЭК) и на уполномоченные ею организации. Действия с персональными данными широко используются в решениях, основанных на ERP-и CRM-системах, поэтому корпорация Microsoft в России провела сертификационные испытания систем Microsoft Dynamics на соответствие требованиям руководящих документов ФСТЭК.

Сертификационные испытания с целью проверки на соответствие требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992 г.) были проведены для всех поддерживаемых версий продуктов Microsoft Dynamics: Microsoft Dynamics AX 2009, Microsoft Dynamics AX 4.0, Microsoft Dynamics NAV 5.0 и Microsoft Dynamics CRM 4.0. Все системы успешно прошли испытания, они соответствуют требованиям по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 2 класса включительно.

http://www.microsoft.com/ru-ru/news/...d0bad0b0d.aspx

[Ekaterina Loginova]

Спасибо. Здесь говорят, что до 2-го класса защита есть. А как Вы думаете, сведения об инвалидности туда входят? Кажется, сведения о здоровье это класс К1. Также как сведения о религии и национальности, надеюсь, хотя бы их Аксапта не хранит.
И вопрос тогда по интеграции. Если мы делаем какой-то обмен данными Аксапты с другими системами, какие-то условия, наверное, должны быть выполнены для защиты перс данных?

[oip]

Цитата:

Сообщение от Ekaterina Loginova

Спасибо. Здесь говорят, что до 2-го класса защита есть. А как Вы думаете, сведения об инвалидности туда входят? Кажется, сведения о здоровье это класс К1.

Это вам к юристам. С моей точки зрения это 3-й класс, так как инвалидность характеризует не состояние здоровья (нет диагноза), а некий социальный признак для исчисления налогов и прочего взаимодействия с государством. Но если ФСБ, ФСТЭК и прочие страшные органы захотят, они к состоянию здоровья относят все вплоть до вашего личного отношения к президенту (знаменитое "страдает расстройством личности, выраженном в активной жизненной позиции").

Цитата:

Сообщение от Ekaterina Loginova

Также как сведения о религии и национальности, надеюсь, хотя бы их Аксапта не хранит.

Аксапта сама вообще ничего не хранит. Она хранит только то, что вы туда внесете. Внесете религию, будет и религию хранить. В стандартном приложении таких полей нет.

Цитата:

Сообщение от Ekaterina Loginova

И вопрос тогда по интеграции. Если мы делаем какой-то обмен данными Аксапты с другими системами, какие-то условия, наверное, должны быть выполнены для защиты перс данных?

Какие-то, наверное, должны быть, да.

[Ekaterina Loginova]

Цитата:

Сообщение от oip

. С моей точки зрения это 3-й класс, так как инвалидность характеризует не состояние здоровья (нет диагноза), а некий социальный признак для исчисления налогов и прочего взаимодействия с государством. .

Это она используется как социальный признак. А вообще если про человека известно, что он инвалид, то это, все-таки, в первую очередь информация о его здоровье. А второстепенно уже информация для льгот и т.д.

В оригинальном модуле Payroll есть, кстати, поле "этническая принадлежность".

[oip]

Цитата:

Сообщение от Ekaterina Loginova

Это она используется как социальный признак. А вообще если про человека известно, что он инвалид, то это, все-таки, в первую очередь информация о его здоровье. А второстепенно уже информация для льгот и т.д.

У двух юристов всегда есть три разных мнения.

Цитата:

30 августа в 10-00 в Управления Роскомнадзора по Тамбовской области состоялось интернет-интервью с руководителем отдела контроля (надзора) в сфере массовых коммуникаций, защиты персональных данных и надзора в сфере информационных технологий (ОКК) Управления Роскомнадзора по Тамбовской области Олегом Анатольевичем Сивохиным.

Ведущая: Относятся ли данные о группе инвалидности, заключение о результатах профосмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии здоровья? А следовательно и ИСПДн, обрабатывающие их к первому классу?

Сивохин О.А.: На мой взгляд, сведения об инвалидности, годности к работам и т.п. не могут быть отнесены к данным о состоянии здоровья, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причиной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т.д. Запись "инвалид 2-1 группы" этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не о состоянии здоровья.

http://www.garant.ru/action/regional/349941/

Цитата:

В оригинальном модуле Payroll есть, кстати, поле "этническая принадлежность".

Это не национальность.

[Ekaterina Loginova]

Цитата:

Сообщение от oip

У двух юристов всегда есть три разных мнения.

Я на практике с этим сталкивалась пару раз, и помню пример когда в Департаменте Образования г Москвы шла разработка системы для школ и делалась интеграция с порталом Госуслуг, насколько я помню, они относили свою систему к классу К1 именно потому что там было что-то справочно об инвалидности.
В общем, непонятно у кого консультироваться по этому поводу. Особенно меня беспокоит передача данных в другую систему, расположенную на другом сервере в другой стране.

[RVS]

Цитата:

Сообщение от Ekaterina Loginova

Особенно меня беспокоит передача данных в другую систему, расположенную на другом сервере в другой стране.

А что это за "сторонняя система"? Что она делает? И какие данные (из Axapta Payroll & HR) предполагается туда передавать?

Ответьте на эти вопросы - может быть, многие из прочих (про защиту перс. данных, в т.ч.) - снимутся сами собой?

[Ivanhoe]

Я бы добавил, что по закону вы должны подтвердить, что ваша Система (не аксапта, а информационная система в целом) соответствует требованиям. Сертификат, формально полученный Microsoft, вам может в этом помочь, но не более того.

[Ekaterina Loginova]

Цитата:

Сообщение от Ivanhoe

Я бы добавил, что по закону вы должны подтвердить, что ваша Система (не аксапта, а информационная система в целом) соответствует требованиям. Сертификат, формально полученный Microsoft, вам может в этом помочь, но не более того.

Мне тоже представляется логичным, что это должно быть сделано. Но мне интересно - а все, кто внедряет Payroll, делали это? Хоть кто-то делал это? Еще у меня такой вопрос созрел - ведь передавать данные надо в другую систему, то есть она тоже должна быть сертифицирована на соответствие этому закону, но, конечно же, у нее такого серификата нет, потому что она не представлена в России. То есть в такую систему получается либо нельзя ничего выгружать, либо ее надо сертифицировать? Или вообще все это не так уж существенно?

[Ivanhoe]

Обычно никто (из моей выборки) не сертифицирует. В особо крупных компаниях, допускаю, могут целый отдел под сертификацию создать
Про выгрузку - ее тоже нужно сертифицировать - куда, зачем, как защищается. И, к слову, разве недавно не запретили хранить личные данные за рубежом?

[oip]

Цитата:

Сообщение от Ivanhoe

разве недавно не запретили хранить личные данные за рубежом?

Закон приняли. Но вступает в действие он 1 сентября 2016 года.

[Cathome]

Закон вступает в силу уже с 01 сентября 2015 года (ред. Федерального закона от 31.12.2014 N 526-ФЗ). У нас сервера с Аксаптой стоят в другой стране. Исходя из этого закона, непонятно, что нам за это будет?

[Vitality]

Недавно читал статью на одном из новостных ресурсов и комменты к ней - как раз на тему закона о хранении персональных данных. Обсуждение касалось онлайновых систем бронирования отелей, покупки билетов и т.п.
И там мелькнула фраза, что хранить персональные данные за границей не то, чтобы совсем не разрешено; просто в таком случае дубликаты этих данных должны храниться и в России.
Но вообще, конечно, надо юристам закон внимательно изучать и решать - отвечает ли такое решение его букве и духу.

[Cathome]

Я тоже встречала такие мнения, что дубликат можно хранить на территории не России. Более конкретных комментариев касательно данных, собираемых, в частности, в рамках трудового законодательства, не встречала.