Статья 3, 152-ФЗ гласит, что «Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.»
Из всех этих действий зона ответственности сервис-провайдера относительно ПДн, с которыми вы работаете, составляет лишь хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Всё остальное обязан обеспечивать оператор персональных данных.
Другими словами, обращаясь к услугам любого хостинг-провайдера или дата-центра, невозможно передать ему обязанности оператора персональных данных и избавиться от ответственности, разместившись в некоем «защищённом по всем правилам 152-ФЗ» месте.
Именно оператор, а не провайдер ИТ-инфраструктуры определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных и так далее. Провайдер может помочь оператору тем, что обеспечивает, как в нашем случае, соответствие требованиям закона на уровне инфраструктуры, где оператор будет размещать свою ИСПДн. С соответствующими документами вы можете ознакомиться на страницах: «ATLEX и 152-ФЗ» и «Политика в отношении обработки персональных данных ООО "ОКЕЙ-ТЕЛЕКОМ"».
Мы, в свою очередь, всегда рады помочь по мере наших возможностей нашим клиентам, которым необходимо обеспечить соответствие их ИС закону 152-ФЗ, а именно: внести необходимые для их уровня защищённости изменения в предоставляемую им услугу (будь то виртуальный сервер, виртуальный дата-центр, аренда физического сервера или аренда стойки и т.д.), если окажется, что имеющего сейчас уровня не достаточно, а также можем давать рекомендации по специалистам и профильным компаниям, но это не услуга «из коробки», а индивидуальная работа.
Процесс в общем случае выглядит так:
- вы описываете (сами или с помощью привлечённых специалистов) свою ИС;
- понимаете, какой уровень защищённости вам нужен;
- понимаете, какой уровень защищённости у вас сейчас;
- составляете (сами или с помощью привлечённых специалистов) перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности ПДн;
- если какие-либо требования из перечня будут относиться к предоставляемым нами услугам, то вы обращаетесь с данными требованиями к нам и мы, работая в контакте с вами, делаем всё возможное для их удовлетворения.
Возможно Вас также заинтересует:
Должны ли все средства защиты персональных данных быть сертифицированы ФСТЭК России по 152-ФЗ?
Достаточно ли защитить сервер или стойку для соответствия 152-ФЗ?
Какой уровень защищённости может обеспечить ATLEX по 152-ФЗ?
Можно ли купить аттестованную по 152-ФЗ информационную систему (сервер, хостинг и т.д.)?