Сам себе юрист

Мы делали проект для гос. учреждения. Данный проект содержит БД граждан РФ города X

1) Данные хранятся в БД на серврере в интернете у нашего хостинг партнера, с которым наша компания заключила договор и внем есть пункт о неразглашении информации в свою очередь с наша компания с заказчиком тоже обязалась неразглашать информацию.
2) Доступ к базе имеет некоторое число частных лиц, но они не являются сотрудниками гос.организации(заказчика), но тоже подписались о неразглашении
3) Доступ к БД возможен только пройдя систему авторизации, и имеется всего ограниченое число учетных записей

У меня возникает следущие вопросы:
1. Какие права нарушает наша компания (мы являемся и разработчиками и размещаем БД на сервере нашего провайдера)
2. Нарушает ли какие-либо права заказчик?

>1. Какие права нарушает наша компания (мы являемся и разработчиками и размещаем БД на сервере нашего провайдера)
Вы, судя по всему, никакие прав не нарушаете. Вам поручили проект, вы подписались о неразглашении, все нормально. "Судя по всему" - это на случай некоторых ситуаций, которые изредка имеют место быть. (Из Вашего текста не ясна ситуация в конкретике, а она, конкретика, нередко играет первую роль). К примеру: некоторые госпроекты имеют делать право только госинституты или НПО.

>2. Нарушает ли какие-либо права заказчик?
Зависит от того, кто заказчик.

>>1. Какие права нарушает наша компания (мы являемся и разработчиками и размещаем БД на сервере нашего провайдера)
>Вы, судя по всему, никакие прав не нарушаете. Вам поручили проект, вы подписались о неразглашении, все нормально. "Судя по всему" - это на случай некоторых ситуаций, которые изредка имеют место быть. (Из Вашего текста не ясна ситуация в конкретике, а она, конкретика, нередко играет первую роль). К примеру: некоторые госпроекты имеют делать право только госинституты или НПО.
Нет, просто мы выиграли тендер, точнее заказчик уже хотел что бы проект разрабатывали мы.
Поэтому тендер был уже заранее определен :)
>>2. Нарушает ли какие-либо права заказчик?
>Зависит от того, кто заказчик. Заказчик гос.организации, заключила с нами договор на разработку АИС. Но вообще проект поручили по требованию администрации города и соответственно мэр подписывался.

Меня волнует вообще такой вопрос - Можно ли хранить персональные данные граждан на сервере, подключенному к интернуту, учитывая что все стороны имеющие доступ к БД подписались о неразгл. и доступ защищен системой авторизации, причем используется несколько уровней защиты?

>Меня волнует вообще такой вопрос - Можно ли хранить персональные данные граждан на >сервере, подключенному к интернуту, учитывая что все стороны имеющие доступ к БД >подписались о неразгл. и доступ защищен системой авторизации, причем используется >несколько уровней защиты?

Думаю, что нет. Во-первых, вся конфиденциальная информация, насколько я в курсе, гоняется по спецсетям, с Интернетом не пересекающимися. К охране конфиденциальных данных Закон предъявляет достаточно жеские требования в части средсв защиты.
В частности ст. 19 Закона о персональных данных гласит:

1. Оператор при обработке персональных данных обязан принимать необходимые
организационные и технические меры, в том числе использовать шифровальные
(криптографические) средства, для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных

А постановление Правительства РФ № 781 от 17.11.2007 г., на которое ссылается п.2 ст. 19 Закона о Персональных данных ("ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ")
говорит на этот счет следующее:

1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
2. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
4. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
6. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
7. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
8. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
9. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
10. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
11. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.

На основании вышеизложенного, думаю, что Ваших средств защиты конфиденциальной информации недостаточно :) По Закону :) Разрешение ФСБ на такие работы получали? Росконтроль все принял? Вряд ли.

Это получается чтобы вообще заниматься разработкой приложений, оперирующих персональными данными необходиомо иметь вроде сертификата?
Это получается если проект отдать заказчику, и запустить его, мы все-таки нарушаем права?

>Это получается чтобы вообще заниматься разработкой приложений, оперирующих персональными данными необходиомо иметь вроде сертификата?
По закону так. Только не сертификат, а лицензию, скорее.
>Это получается если проект отдать заказчику, и запустить его, мы все-таки нарушаем права?
Получается так. По закону. Другое дело, что его нередко нарушают.

>Получается так. По закону. Другое дело, что его нередко нарушают.
Тоесть иногие разработчики, неимеющие право на разработку подобных АИС, оперируещих с ПД берутся за подобные проекты?
А какая ответственость преследуется?

>А какая ответственость преследуется?
Сложный вопрос. Здесь все смотрится по конкретному факту. Это может быть и "незаконное предпринимательство" и все, что угодно. Очень много статей под это можно подвести.