Все это — онлайн, с заботой о вас и по отличным ценам.
Кто должен обеспечивать сохранность персональных данных - разработчик ПО или администратор?
Добрый день.
У меня как разработчика есть клиент-серверное приложение, через которое пользователи на сервер могут отправлять данные.
Приложение и база данных этого приложения физически размещены на сервере заказчика данного приложения.
Приложение доступно только внутри предприятия заказчика.
Вопрос:
Есть ли какие-то законодательные требования ко мне как к разработчику по тому, как организовано хранение этих данных на серверах заказчика?
Я как разработчик могу только шифровать данные, которые будут храниться в базе данных. Это обязательно?
Все остальное (исполнение ФЗ-152) "головная боль" заказчика, на сервере которого размещено приложение?
Добрый день.
Есть ли какие-то законодательные требования ко мне как к разработчику по тому, как организовано хранение этих данных на серверах заказчика?Иван
К Вам как к разработчику нет.
Обеспечение сохранности персональных данных лежит на пользователе данного ПО, который их собственно и получает.
В ст. 19 ФЗ «О персональных данных»
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Соответственно обязанность по их сохранности лежит на операторе, под которым по смыслу названного закона понимается
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
При этом стоит учесть, что обработка понятие достаточно емкое, которое включает в себя собственно и сбор персональных данных.
Таким образом, пользователь Вашего ПО, который осуществляет сбор персональных данных и должен обеспечить их сохранность.
Вы как его разработчик соответствующей обязанности не несете.
Я как разработчик могу только шифровать данные, которые будут храниться в базе данных. Это обязательно?Иван
Вы можете создать алгоритм и ключи шифрования, по заданию заказчика. Однако, как сами понимаете, алгоритм шифрования не предполагает фактическое использование для целей его создания конкретных персональных данных.
В том случае, если от Вас требуют создать данный алгоритм — то Вы его выполняете в рамках конкретного задания.
Есть ли какие-то законодательные требования ко мне как к разработчику по тому, как организовано хранение этих данных на серверах заказчика?Иван
Здравствуйте. Если Вы только разрабатываете приложение, то к Вам требований соотносящихся с Законом «О персональных данных» не будет. А вот если помимо разработки Вы осуществляете еще и какие-то иные действия, которые могут расцениваться как одно из упомянутых в законе, тогда к Вам могут применяться требования как к оператору данных.
Статья 3 Закона:
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
То есть если помимо разработки алгоритма, приложения, иных каких-то программных инструментов, Вы больше ничего не делаете, то то, что потом Ваш инструмент используется для действий с персональными данными Вас ни к чему не обязывает.
То есть закон о персональных данных или какие-то иные законы не обязывают, грубо говоря, шифровать персональные данные на физическом накопителе («жестком диске»)?
Понятно, что по ТЗ заказчика я это сделаю, если потребуется.
Можете, пожалуйста, подробнее рассмотреть этот момент? Если заказчик попросит помощь с настройкой сервера, можете, пожалуйста, подсказать какие технические требования выдвигает закон по обеспечению защиты ПД?Разработчика ПО нет.
Такая обязанность лежит на администраторе (операторе), который обязан разработать соответствующие меры защиты
В законе прямо указано, что
Например, в приказе ФСТЭК России от 18.02.2013 N 21 указано
Но выбор данных мер и их применение — забота оператора, а не разработчика ПО.