8 499 938-65-20
Бесплатная консультация юриста
Мы — ваш онлайн-юрист 👨🏻‍⚖️
Объясним пошагово, что делать в вашей ситуации. Разработаем документы и ответим на любой вопрос, даже самый маленький.

Все это — онлайн, с заботой о вас и по отличным ценам.
700 ₽
Вопрос решен

Кто должен обеспечивать сохранность персональных данных - разработчик ПО или администратор?

Добрый день.

У меня как разработчика есть клиент-серверное приложение, через которое пользователи на сервер могут отправлять данные.

Приложение и база данных этого приложения физически размещены на сервере заказчика данного приложения.

Приложение доступно только внутри предприятия заказчика.

Вопрос:

Есть ли какие-то законодательные требования ко мне как к разработчику по тому, как организовано хранение этих данных на серверах заказчика?

Я как разработчик могу только шифровать данные, которые будут храниться в базе данных. Это обязательно?

Все остальное (исполнение ФЗ-152) "головная боль" заказчика, на сервере которого размещено приложение?

Показать полностью
, Иван, г. Москва
хранение

Добрый день.

Есть ли какие-то законодательные требования ко мне как к разработчику по тому, как организовано хранение этих данных на серверах заказчика?

Иван

К Вам как к разработчику нет.

Обеспечение сохранности персональных данных лежит на пользователе данного ПО, который их собственно и получает.

В ст. 19 ФЗ «О персональных данных»

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Соответственно обязанность по их сохранности лежит на операторе, под которым по смыслу названного закона понимается

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

При этом стоит учесть, что обработка понятие достаточно емкое, которое включает в себя собственно и сбор персональных данных.

Таким образом, пользователь Вашего ПО, который осуществляет сбор персональных данных и должен обеспечить их сохранность.

Вы как его разработчик соответствующей обязанности не несете. 

Я как разработчик могу только шифровать данные, которые будут храниться в базе данных. Это обязательно?

Иван

Вы можете создать алгоритм и ключи шифрования, по заданию заказчика. Однако, как сами понимаете, алгоритм шифрования не предполагает фактическое использование для целей его создания конкретных персональных данных.

В том случае, если от Вас требуют создать данный алгоритм — то Вы его выполняете в рамках конкретного задания. 

1
0
1
0
Иван
Иван
Клиент, г. Москва
Вы можете создать алгоритм и ключи шифрования, по заданию заказчика. Однако, как сами понимаете, алгоритм шифрования не предполагает фактическое использование для целей его создания конкретных персональных данных.

То есть закон о персональных данных или какие-то иные законы не обязывают, грубо говоря, шифровать персональные данные на физическом накопителе («жестком диске»)?

Понятно, что по ТЗ заказчика я это сделаю, если потребуется.

Все остальное (исполнение ФЗ-152) «головная боль» заказчика, на сервере которого размещено приложение?
Можете, пожалуйста, подробнее рассмотреть этот момент? Если заказчик попросит помощь с настройкой сервера, можете, пожалуйста, подсказать какие технические требования выдвигает закон по обеспечению защиты ПД?

Михаил Петров
Михаил Петров
Юрист, г. Москва
рейтинг 10
То есть закон о персональных данных или какие-то иные законы не обязывают, грубо говоря, шифровать персональные данные на физическом накопителе («жестком диске»)?

Иван

Разработчика ПО нет.

Такая обязанность лежит на администраторе (операторе), который обязан разработать соответствующие меры защиты

В законе прямо указано, что 

2. Обеспечение безопасности персональных данных достигается, в частности:
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
Можете, пожалуйста, подробнее рассмотреть этот момент? Если заказчик попросит помощь с настройкой сервера, можете, пожалуйста, подсказать какие технические требования выдвигает закон по обеспечению защиты ПД?

Иван

Например, в приказе ФСТЭК России от 18.02.2013 N 21 указано

8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.

Но выбор данных мер и их применение — забота оператора, а не разработчика ПО.

0
0
0
0
Есть ли какие-то законодательные требования ко мне как к разработчику по тому, как организовано хранение этих данных на серверах заказчика?

Иван

Здравствуйте. Если Вы только разрабатываете приложение, то к Вам требований соотносящихся с Законом «О персональных данных» не будет. А вот если помимо разработки Вы осуществляете еще и какие-то иные действия, которые могут расцениваться как одно из упомянутых в законе, тогда к Вам могут применяться требования как к оператору данных.

Статья 3 Закона:

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

То есть если помимо разработки алгоритма, приложения, иных каких-то программных инструментов, Вы больше ничего не делаете, то то, что потом Ваш инструмент используется для действий с персональными данными Вас ни к чему не обязывает.

1
0
1
0
Похожие вопросы
1150 ₽
Вопрос решен
Исполнительное производство
После выявления ситуации он: признал наличие долга (есть записи разговора), оформил расписку от физического лица на сумму 1, 5 млн рублей, обязался вернуть денежные средства
Здравствуйте. Суть конфликта: Я вёл совместную деятельность с гражданином (ФИО сообщу отдельно). Формально трудовые отношения были выстроены как с ИП. В рамках работы: Я занял ему 600 000 рублей личных денежных средств. В период моего отсутствия он отвечал за расчёты с сотрудниками и финансовые операции. В это время он дополнительно изъял денежные средства из кассы без согласования со мной. Общая сумма задолженности в итоге составила 1 500 000 рублей. После выявления ситуации он: признал наличие долга (есть записи разговора), оформил расписку от физического лица на сумму 1,5 млн рублей, обязался вернуть денежные средства. Сроки возврата прошли. Денежные средства не возвращены. Дополнительные обстоятельства После возникновения конфликта: Я опубликовал наш конфликт в инсте должник привлёк третье лицо («представителя»), передал ему мой личный номер телефона без моего согласия, через это лицо осуществлялист навязчивые контакты типа "договриться досудебно" . Вопросы к юристу Перспектива взыскания 1,5 млн рублей по расписке и записям разговора. Возможная квалификация изъятия денежных средств из кассы (гражданско-правовой спор / состав преступления). Правовая оценка передачи моих персональных данных третьему лицу. Что нужно: досудебная претензия → иск → возможное параллельное обращение в правоохранительные органы. Ищу юриста который закроет все вопросы вплоть до работы с приставами.
, вопрос №4857836, Константин, г. Москва
18 ответов
Трудовое право
Начальник производства на заводе заставил взять отпуск не отгулянный (32 дня), во время которого, я сама должна подыскать себе работу на заводе, или за его пределами
Здравствуйте. Вышла с больничного, а на моём месте работает другой человек. На больничном была почти девять месяцев (сломала ногу). Начальник производства на заводе заставил взять отпуск не отгулянный (32 дня) , во время которого, я сама должна подыскать себе работу на заводе, или за его пределами. Что делать?
, вопрос №4857694, Алла, г. Москва
1 ответ
Военное право
Аннулирует ли это мою будущую отсрочку или отправят же меня в армию?
Здравствуйте! Выпустился из университета в этом году по специальности искусственный интеллект магистратуры и уже работал в айти-организации с аккредитацией на разработчика. Все документы были отправлены организацией на получение отсрочки, отсрочка ещё в рассмотрении. Сейчас мне пришла повестка на медосвидетельсовование, нужно ли мне ее проходить? Аннулирует ли это мою будущую отсрочку или отправят же меня в армию? Что делать в таком случае, когда у остальных этого не проходило хотя я подхожу по всем параметрам и все на этапе рассмотрения
, вопрос №4857423, Виктор, г. Санкт-Петербург
1 ответ
Уголовное право
Скажите пожалуйста, мне нужно что то предпринимать или просто игнорировать их телодвижения?
Здравствуйте ! Если коротко, то уговорили открыть брокерский счёт на платформе wiqybig PQ. Посредством перевода на физ. лицо (кассира) открыли счет на 100$ Данные паспорта не предоставляла. Из персональных данных- имя фамилия, а может и ФИО, эл. почта, телефон. Был предоставлен помощник- аналитик. В процессе я заподозрила, что сайт липовый и перестала выходить с ними на связь. Так же нашла в нескольких ресурсах что этот брокер- мошенник. Вчера пришло письмо на E-mail. Они пугают, что если не закрыть счёт, то за хранение капитала будет взиматься комиссия- 550$ в сутки. Если комиссия не будет оплачена, то будет принудительное взыскание и арест банковских счетов и имущества. Скажите пожалуйста, мне нужно что то предпринимать или просто игнорировать их телодвижения?
, вопрос №4857228, Лариса, г. Иркутск
-1 ответов
Дата обновления страницы 25.11.2020