Обработка и съхранение на лични данни в Руската федерация. Лични данни на руски граждани и сървъри в чужди страни

Терминология за съхранение лични данниформира по-късно.

През 2001 г. в Кодекс на трудаВ Русия се появи глава 14, посветена на служителите, а 15 години по-късно правителството най-накрая формира условията за работа с поверителна информация.

Съхранението на информация се отнася до начина, по който тя се разпределя във времето и пространството.използвайки специфична среда. Основното условие и цел на съхранението на данни е да осигури постоянен достъп до тях или достъп при поискване.

Съхранението на данни е интегрална частобработка на информация. Когато гражданин дава, става дума за събиране, натрупване, изясняване, извличане, актуализиране и съхраняване на информация.

Къде може да се съхранява на територията на Руската федерация?

Всеки оператор трябва да има политика за поверителноствключително следните елементи:

Електронна

Личната информация е класифицирана като поверителна и следователно трябва да бъде защитена.За всички операции с такива изявления, включително съхранение, се използват (ISPD).

В Русия те обикновено се разделят на четири категории в зависимост от важността и обема на информацията.

  • Категория 1.Типична информационна система за лични данни с изявления за повече от 100 хиляди субекта. Той съдържа информация за раса, националност, политически възгледи, религия, интимен живот и други твърдения, чието разпространение ще има ясна Отрицателно влияниевърху живота на отделните хора.
  • Категория 2. Системата съдържа лични изявления, чието разкриване ще позволи на трети лица да получат допълнителни изявления за физическо лице, с изключение на данни, свързани с първа категория.
  • Категория 3. Система с лична информация, която дава възможност за идентифициране на физическо лице.
  • Категория 4. Осигурява съхранение, чието разкриване няма да има отрицателно въздействие.

Процесът на съхранение започва със създаването на такава система и нейната проверка от руските държавни агенции. След това операторът трябва да осигури всички изисквания за инженерна защита на помещенията, съответствието на системата се проверява според:

  1. изисквания за пожарна безопасност;
  2. защита;
  3. електрическа сила;
  4. заземяване;
  5. санитарни изисквания.

Последната точка е атестиране или сертифициране на ISPD. Ако ISPD е готов, тогава компанията ще трябва да се регистрира правно основаниевсички процеси с лична информация, която ще се появи на сайта, преди да въведете изявления за потребителя във формата.

Може да се нарече каквото и да е, например „Политика за обработка на лични данни“ или „Съгласие за съхранение на лична информация“.

Основното е, че клиентът може да се запознае с него и да щракне върху „отметката“, като по този начин изрази съгласието си за предоставяне на информация на оператора. Целият процес на съхраняване на такава информация е регламентиран законодателни актовеотносно поверителни данни.

Забранено е прехвърлянето им на трето лице, както и използване за цели, които не са били първоначално посочени.

За оператори, работещи с електронни медии, инструкцията ще изглежда така:

  1. Достъпът до данни трябва да бъде ограничен.
  2. Предайте информация по криптирани канали.
  3. Имайте .
  4. Съхранявайте записи на физически носители, ако има такива.
  5. Предотвратете течове.
  6. Отделно съхранявайте информацията, която се обработва с различни цели.
  7. информация след обработка след 30 дни съхранение (желателно) или след шест месеца (в без провал).

Компаниите могат да публикуват данни, както намерят за добре., включително върху съвременните облаци.

Държавата ясно регламентира процесите за съхранение на ДП, всички оператори на такава информация трябва да преминат поредица от проверки и да докажат способността си да предоставят информация. В случай на неоторизирано разпространение или достъп до данни, операторът носи гражданска, материална и дори наказателна отговорност.

Гражданство

Както следва от разпоредбите на части 2 и 3 на член 105 от Въздушния кодекс Руска федерация, договорът за въздушен превоз на пътник, договорът за въздушен превоз на товари или договорът за превоз на поща по въздух се удостоверява съответно с билет и багажна разписка в случай на превоз от пътник на багаж, товарителница, пощенска сметка; билет, чек за багаж, други документи, използвани при предоставяне на услуги за въздушен превоз на пътници, могат да се издават в в електронен формат(електронен превозен документ) с поставяне на информация за условията на договора за въздушен превоз в автоматизираната информационна система за издаване на въздушен превоз. По този начин, за да приложат горните разпоредби на закона, въздушните превозвачи са длъжни да обработват лични данни на пътниците, за да изготвят документи, удостоверяващи сключването на договор за въздушен превоз.

В съответствие с чл. 85.1 от Въздушния кодекс на Руската федерация, за да се гарантира авиационна сигурностпревозвачите осигуряват прехвърлянето на лични данни на пътниците на самолети към автоматизирани централизирани бази данни с лични данни за пътниците в съответствие със законодателството на Руската федерация за сигурност на транспорта и законодателството на Руската федерация в областта на личните данни, в международния въздушен транспорт също на упълномощени органи на чужди държави в съответствие с международните договори на Руската федерация или законодателството на чуждите държави на отправяне, местоназначение или транзит до степента, предвидена от законодателството на Руската федерация, освен ако не е предвидено друго в международните договори на Руската федерация Федерация. В същото време трябва да се има предвид, че Руската федерация е страна по редица международни конвенциив областта на въздушния транспорт, по-специално, Чикагската конвенция („Конвенция за международната гражданска авиация” е сключен в Чикаго на 7 декември 1944 г., влязъл в сила за Руската федерация на 16 август 2005 г. - „Сборник на законодателството на Руската федерация”, 30.10.2006 г., № 44), Варшавска конвенция ( „Конвенция за уеднаквяване на някои правила, свързани с международните въздушни превози“, сключена във Варшава на 12 октомври 1929 г., влязла в сила за СССР на 13 февруари 1933 г., сб. съществуващи споразумения, споразумения и конвенции, сключени от СССР с чужди държави, бр. VIII, - М., 1935, с. 326 - 339.) и Конвенцията от Гуаладахара ( „Конвенция в допълнение към Варшавската конвенция за уеднаквяване на някои правила, свързани с международния въздушен транспорт, извършван от лице, което не е превозвач по договора“ е сключено в Гуадалахара на 18 септември 1961 г., влиза в сила за СССР на декември 21, 1983, "Ведомости на въоръжените сили на СССР", 15.02.1984, № 7), които също са неразделна част от правна регулациядейности на въздушните превозвачи и свързани с тях информационни процеси.

Въз основа на гореизложеното, изискванията ч. 5 чл. 18 от Федералния закон „За личните данни“ не се прилага за дейността на руски и чуждестранни въздушни превозвачи по отношение на събиране и обработка на лични данни на граждани-пътници за целите на резервирането, издаването и издаването на билети за тях ( билети за пътуване), багажни бележки и други транспортни документи, тъй като попадат в изключението, предвидено в параграф 2 на част 1 на чл. 6 от Федералния закон „За личните данни“.

Изисквания ч. 5 чл. 18 от Федералния закон „За личните данни“ също не се прилага за дейността на лица, действащи от името на въздушния превозвач (упълномощен агент), чиято дейност е предвидена в клауза 6 от Общите правила за въздушен превоз на пътници, Багаж, товари и изискванията за обслужване на пътници, изпращачи, получатели, одобрени със Заповед на Министерството на транспорта на Русия № 82 от 28 юни 2007 г. „За одобрение на Федералните авиационни правила“ Общи правилавъздушен превоз на пътници, багаж, товари и изисквания за обслужване на пътници, изпращачи, получатели“, както и други лица, относно обработката на лични данни на граждани-пътници единствено за целите на резервиране, издаване и издаване на самолетни билети (пътни билети ), разписки за багаж и други превозни документи, включително в електронна форма за вътрешни и международни полети, ако горните дейности на тези лица са предвидени от законодателството на Руската федерация или съответните международен договор, включително за целите на осигуряване на авиационната сигурност.

Ако обработването на лични данни попада в изключенията, предвидени в параграфи 2, 3, 4, 8 на параграф 1 на член 6 федерален закон„За личните данни“ не се прилагат разпоредбите на част 5 на член 18 от 152-FZ. Подходящата квалификация на предприетите действия за обработка на лични данни и осигуряване на съответствието им с изискванията на закона се извършват от оператора на лични данни при осигуряване (организиране на предоставянето) на такова обработване. Коректността на посочената квалификация и гаранция за обработка в конкретна ситуация се проверява от упълномощен федерален органпо време на контролни дейности.

Стоки и услуги

От съвкупността на разпоредбите на част 5 на член 18 от Федералния закон „За личните данни“ („при събиране на лични данни, включително чрез интернет информационна и телекомуникационна мрежа, операторът е длъжен да осигури запис, систематизиране, натрупване, съхранение , изясняване (актуализиране, промяна), извличане на лични данни на граждани на Руската федерация с помощта на бази данни, разположени на територията на Руската федерация, с изключение на случаите, посочени в параграфи 2, 3, 4, 8 на част 1 на член 6 от настоящия Федерален закон) и параграф 2 на част 1 на член 6 от Федералния закон „За личните данни“ („обработването на лични данни е необходимо за постигане на целите, предвидени в международен договор на Руската федерация или закона, за упражняване и изпълнява функциите, правомощията и задълженията, възложени на оператора от законодателството на Руската федерация“) следва, че обработването на лични данни за целите и в съответствие с установените изисквания ратифицирано Конвенцията на Руската федерация на Съвета на Европа за защита на физическите лица по отношение на автоматичното обработване на лични данни не противоречи на законодателството на Руската федерация, уреждащо отношенията в областта на защитата на личните данни. В допълнение, част 5 от член 18 152-FZ не ограничава трансграничното предаване на лични данни на граждани на Руската федерация.

Законът не предвижда понятието „първоначално събиране“, но установява изисквания за обработка на лични данни при всяко събиране на информация, като подчертава такива операции с ДП като изясняване (актуализиране, промяна) на информация, съдържаща лични данни. За целите на закона процесът на събиране на информация включва и процедури за съхраняване и натрупване на информация, което само по себе си не позволява използването на такова понятие като „първично събиране”. По този начин законът налага на оператора задължението, когато обработва събраните лични данни чрез систематизиране, натрупване, съхранение, изясняване, извличане, да използва бази данни, разположени на територията на Руската федерация. По този начин, ако за изготвяне на отчети или анализиране на информация, съдържаща лични данни, операторът трябва да извърши посочените форми на обработка на лични данни, тогава такива действия трябва да се извършват с помощта на бази данни, разположени на територията на Руската федерация.

Тълкуването по отношение на първичната колекция е неправилно поради следните причини. Законът не предвижда понятието „първоначално събиране“, но установява изисквания за обработка на лични данни при всяко събиране на информация, като подчертава такива операции с ДП като изясняване (актуализиране, промяна) на информация, съдържаща лични данни. За целите на закона процесът на събиране на информация включва и процедури за съхраняване и натрупване на информация, което само по себе си не позволява използването на такова понятие като „първично събиране”. По този начин законът налага на оператора задължението, когато обработва събраните лични данни чрез систематизиране, натрупване, съхранение, изясняване, извличане, да използва бази данни, разположени на територията на Руската федерация.

В съответствие с разпоредбите на клауза 7 от част 4 на член 16 от Федералния закон № 149-FZ от 27 юли 2006 г. "За информацията, информационните технологии и защитата на информацията", собственикът на информацията, операторът на информационната система, в случаите, установени от законодателството на Руската федерация, са длъжни да осигурят местоположението на територията на Руската федерация на информационни бази данни, които се използват за събиране, записване, систематизиране, натрупване, съхраняване, изясняване (актуализиране, промяна), извличане лични данни на граждани на Руската федерация.

Като се вземат предвид и разпоредбите на част 5 на член 18 от Федералния закон № 152-FZ от 27 юли 2006 г. „За личните данни“ (в сила от 1 септември 2015 г.), установявайки, че при събиране на лични данни, включително чрез информация телекомуникационна мрежа Интернет, операторът е длъжен да осигури запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане на лични данни на граждани на Руската федерация, използвайки бази данни, разположени на територията на Руската федерация, ние вярваме, че Обработката на лични данни на граждани на Руската федерация на територията на друга държава може да се извършва изключително в случаите, предвидени в параграфи 2, 3, 4, 8 на част 1 на член 6 от Федералния закон „За личните Данни", за които има изключение в част 5 на член 18 от 152-FZ. Трябва също да се има предвид, че няма правно разделение на „основната“ база лични данни и нейното „копие“. И в двата случая говорим за база данни, с която се обработват лични данни. В същото време Федералният закон не съдържа индикации за обща забрана за обработка на лични данни на граждани на Руската федерация с помощта на бази данни, които не се намират на територията на Руската федерация.

В тази връзка смятаме, че обработването на лични данни на граждани на Руската федерация чрез събиране, записване, систематизиране, натрупване, съхранение, изясняване, извличане може да се извършва с помощта на бази данни, които не се намират на територията на Руската федерация в следните случаи:

  • ако такава дейност попада в случаите, предвидени в параграфи 2-4, 8 от част 1 на член 6 от 152-FZ;
  • ако такава дейност не попада в случаите, предвидени в клаузи 2-4, 8 от част 1 на член 6 от 152-FZ, и на територията на Руската федерация има бази данни, използвани за такова обработване на лични данни, които съдържат по-голямо количество лични данни или равно на това, което се намира извън територията на Руската федерация (в този случай е неприемливо намирането на лични данни извън територията на Руската федерация, които не се намират едновременно на територията на Руската федерация).

Трансграничното предаване на лични данни не е забранено, при спазване на изискванията, установени в член 12 от Федерален закон № 152-FZ. В същото време трансграничното предаване на данни трябва да има предварително определена цел на обработване, при достигане на която на субекта на личните данни трябва да се гарантира унищожаването на прехвърлените данни на територията на чужда държава. Ако тези изисквания са изпълнени, отговорността по руското законодателство, е приложимо за оператора при нарушаване на реда и условията, установени за комисионния договор.

В съответствие с разпоредбите на параграф 2 на член 3 от Федералния закон „За личните данни“ операторът е държавен орган, общински орган, юридическо или физическо лице, самостоятелно или съвместно с други лица, организиращи и (или) извършващи обработка на лични данни, както и определяне на целите на обработване на лични данни, състава на личните данни, които ще се обработват, действия (операции), извършени с лични данни. По този начин разпоредбите на Федерален закон № 242-FZ се прилагат за всички горепосочени субекти. Приетият федерален закон не обвързва разпространението на част 5 на член 18 от 152-FZ само за оператори, при които обработката на лични данни е тяхната основна дейност, или за оператори, които обработват лични данни само с помощта на информационни и телекомуникационни мрежи.

В съответствие с разпоредбите на параграф 2 на член 3 от Федералния закон „За личните данни“ операторът е държавен орган, общински орган, юридическо или физическо лице, самостоятелно или съвместно с други лица, организиращи и (или) извършващи обработка на лични данни, както и определяне на целите на обработване на лични данни, състава на личните данни, които ще се обработват, действия (операции), извършени с лични данни. По този начин разпоредбите на Федерален закон № 242-FZ се прилагат за всички горепосочени субекти. Приетият федерален закон не обвързва разпространението на част 5 на член 18 от 152-FZ само за оператори, при които обработката на лични данни е тяхната основна дейност, или за оператори, които обработват лични данни само с помощта на информационни и телекомуникационни мрежи. Съществуващите планове за законодателни дейности не предвиждат разработването на проект на федерален закон, коригиращ тази разпоредба.

Горните изисквания на закона се прилагат, наред с други неща, за обработването от оператора на лични данни, получени в резултат на събирането, а именно записване, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане.

Разбирането е правилно. 152-FZ не разкрива термина "използване на лични данни". За целите на тълкуването, „използване на лични данни“ може да се разбира като действия с лични данни, които не са свързани с други форми на обработка на лични данни, включително вземане на решения въз основа на лични данни, за изпълнението на които са събрани лични данни. (целта на събиране на лични данни трябва да съответства на целите на използване на лични данни).

Понятието "оператор" се съдържа в член 3 от Закон № 152-FZ, който се отнася до държавен орган, общински орган, юридическо или физическо лице, независимо или съвместно с други лица, организиращи и (или) обработващи лични данни, т.к. както и определяне на целите на обработване на лични данни.данни, състава на личните данни, които ще се обработват, действия (операции), извършени с лични данни. Като се има предвид, че член 3 от Закон № 152-FZ не съдържа изключения относно изпълнението от лице отделни операцииотносно обработката на лични данни, както и други определения, които са различни от оператора, лицето, което определя целта на обработването на лични данни или извършва определени действия за обработка на лични данни в контекста на разпоредбите на Закон №. 152-FZ е операторът, който обработва лични данни.

- Наистина ли не се изисква повторно или допълнително уведомяване за обработката на лични данни след 1 септември 2015 г. Трябва ли да кажа допълнително къде се намират базите данни?

Няма понятие за "повторно" или "допълнително" известие. Член 22 от Федералния закон „За личните данни“ установява задължението на оператора да изпрати уведомление преди обработката на лични данни. Част 2 на този член съдържа редица изключения, когато такова уведомление не се изисква. Федерален закон № 242-FZ е изменен в част 3, която определя изискванията за съдържанието на известието. Ако организация преди това е изпратила уведомление до Роскомнадзор за обработката на лични данни, тогава след влизането в сила на закона операторите, ръководени от част 7 от този член, трябва да предоставят информация за местоположението на базата данни в рамките на десет работни дни .

- Първоначалното събиране на лични данни на хартиен носител с последващото им въвеждане в електронна база данни попада ли в изискванията на част 5 на член 18 от Федерален закон № 152-FZ?

Съгласно изискванията на част 5 на член 18 от Федерален закон № 152-FZ, при събиране на лични данни, включително чрез информационната и телекомуникационна мрежа "Интернет", операторът е длъжен да осигури запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане на лични данни на гражданите на Руската федерация с помощта на бази данни, разположени на територията на Руската федерация, с изключение на случаите, посочени в параграфи 2, 3, 4, 8 на част 1 на член 6 от този федерален закон. Основен принцип на правото за лични данни е принципът, че обработването на лични данни трябва да бъде ограничено до постигането на конкретни, предварително определени и законни цели. В тази връзка въвеждането на лични данни в информационната система за лични данни, използвана за цели, подобни на събирането на данни за хартиени носители, трябва да се разглежда като единен процес, чието изпълнение трябва да се извършва в строго съответствие с изискванията на част 5 на член 18 от Федерален закон № 152-FZ. Разделянето на този единен процес на отделни действия не е предвидено от законодателството на Руската федерация в областта на личните данни. По този начин, определени видовеобработката на лични данни, предвидена в част 5 на член 18 от Федерален закон № 152-FZ, включително събирането на лични данни на хартиен носител с последващото им въвеждане в електронна база данни, трябва да се извършва като единен процес в правната област на законодателната норма, задължаваща съхраняването на лични данни на територията на Руската федерация.

облачна инфраструктурае решение на Integrus Group, което предоставя на модерен бизнес готова ИТ инфраструктура, без да включва значителни материални и човешки ресурси.

Integrus предлага услуги за защита и съхранение на лични данни за корпоративни клиенти в Русия. Свързвайки се с нас, можете да сте напълно сигурни, че получавате на ваше разположение надеждна сигурна система и напълно отговаряте на изискванията на закона.

За кого са подходящи нашите услуги

Цени за съхранение на лични данни на защитен сървър в Санкт Петербург

Тарифен план Цена за наем на ISPD сървър със сертификат, рубли/месец **
Цената за наемане на ISPD сървър без сертификат, рубли / месец
ISPDn-1 5Gb 4 990 2 490
ISPDn-2 50Gb 9 990 4 990
ISPDn-3 100Gb 19 990 9 990
ISPDn-4 200Gb 29 990 14 990
ISPDn-5 400Gb 39 990 19 990
Плащане за настройка * 10 000

* - В допълнение към цената на защитен виртуален сървър в рамките на тарифния план, при поръчка на първия сървър в ISPD има такса за инсталиране в

в размер на 10 000 рубли.

** - Цената на защитен ISPD сървър с пакет документи и процедура за атестиране на работното място.

Продажбата на защитена инфраструктура за съхранение и обработка на лични данни по представените тарифни планове се извършва от минимален срок- Една година.

Примери за работа

Успешно завършихме проект за прехвърляне на лични данни на студенти от Московския институт в облака. Издадени са удостоверения за работното място, комуникационния канал и облачния сървър. Създадена е нестандартна база данни, заемаща 5GB на защитен сървър.

Нашите сертификати

  • Какво е включено в нашите услуги за съхранение на лични данни

    • Ние организираме обработката и съхранението на информация във външен център за обработка на данни (DPC), предоставяме ви виртуална машина, защитена в съответствие с изискванията на Федералния закон за защита на личните данни № 152-FZ.
    • Прилагаме правни, организационни и технически норми на закона.
    • Ние изготвяме и предоставяме на вашата организация пълен набор от необходими документи (като се вземат предвид спецификите на вашия вид дейност), включително сертификат за съответствие с изискванията за безопасност
    • Не е необходимо да сключвате споразумение със субектите, че тяхната лична информация ще бъде прехвърлена за обработка към външен център за данни.

    Струва си да се спомене два нюанса:

    • Минималният период за сървър е 6 месеца. Ако останете в рамките на 5GB, тогава цената ще бъде 4990 рубли на месец. Ако все още имате нужда от повече, тогава имате нужда от следната тарифа: 50GB и 9990 рубли. на месец.
    • Цената на плащането за инсталация в размер на 10 000 рубли. е валиден за стандартен набор от документи, във вашия случай това е „Платформа за дистанционно обучение“, не е стандартен при нас и може да се наложи индивидуална разработка на пакет от документи. Цената за разработване на нестандартна конфигурация е +15 000 рубли. Това се прави еднократно.

    За да разберем дали ще е необходимо индивидуално развитие, трябва Кратко описаниеуслуга (коя база данни и къде се съхранява (MySQL; SQL и др.)), която ще бъде хоствана на ISPD сървъра. Тези. алгоритъм за работа на услугата, кой е обект на ПД в услугата, кой и как получава достъп до услугата.

    Как работи

    Всяко предприятие вече използва в работата си информационни системи, които обработват лични данни (PD). Например това са счетоводни ИС, финансови, кадрови и други. Обработка, съгласно закона, означава събиране, записване, систематизиране, съхранение, изясняване, използване, прехвърляне, изтриване и други операции с тази информация.

    Съответно, рано или късно възниква въпросът за привеждане на работата им в съответствие с Федералния закон „За личните данни“ и получаване на документални доказателства за това съответствие.

    Доста трудно е да изпълните всички изисквания за съхранение на лични данни самостоятелно и без необходимия опит, това може да доведе до ненужна загуба на време и ресурси. Затова ние предлагаме услугите на нашите специалисти. Те вече са решавали проблемите с организирането на съхранението и трансфера на лични данни повече от веднъж и са добре запознати с „подводните камъни“.

    Съхранение на лични данни на сървър на център за данни: предимства на подхода

    За изграждане на цялостна система за сигурност информационни системилични данни (ISPD) в предприятието, е необходимо да се извърши предпроектно проучване на ISPD, да се разработи модел на заплахи за сигурността, да се създаде концепция и след това да се проектира система за защита на ISPD, да се достави, внедри, разработи сертифициране методи, извършват проверка и издават сертификат за съответствие.

    Ако организирате съхранението на лични данни на клиенти в сертифицирана виртуална инфраструктура, разположена във външен център за данни, тогава изпълнението на всички тези работи се опростява и се свежда до одобрение на предварително разработени стандартни документи, а съответните разходи са значително намален. Освен това съхраняването на данни в надежден и модерен център за данни гарантира, че вашата информация е винаги достъпна за вас, пълна и защитена от загуба.

    Въпреки това, ако прехвърлите PD във външен център за данни, тогава, като правило, възникват редица трудности. Така например, съгласно Федерален закон № 152-FZ „За личните данни“ (член 7 и части 3-5 от член 6), който определя процедурата за съхранение на лични данни в Русия, операторът да възложи обработката на PD до център за данни на трета страна, е необходимо да се получи съгласието на всеки субект за събиране и съхранение на лични данни, което съдържа списък с данни и допустими действия с тях, цели, срокове и има саморъчен подпис на всеки предмет (всъщност да се сключи споразумение с клиента за съхранение лична информация).

    Фиг. 1. Класическата схема: операторската организация изпраща PD за обработка към външен център за данни, прехвърляйки всички грижи за осигуряване на сигурността на тези данни на оператора на центъра за данни.

    Операторската организация на PD с такава класическа схема на работа с център за данни е изправена пред значителни неудобства и ограничения в работата си:

    • Всички организационни и правни въпроси на обработката на данни остават релевантни: необходимо е да се издаде регламент относно личните данни, да се изработи правни основанияза обработка на лични данни и за предаване на лични данни на трети страни (включително центъра за данни).
    • По силата на член 7 и части 3-5 на член 6 от Федерален закон № 152-FZ „За личните данни“ възниква задължение за получаване на съгласие за прехвърляне на лични данни за обработка в центъра за данни от всеки субект на лични данни данни. Освен това такова съгласие трябва да бъде издадено в съответствие с изискванията на член 9 от посочения федерален закон, т.е. съдържат, наред с други неща, целите на обработването, пълен списък с лични данни, пълен списък на действията с лични данни, за които е дадено съгласие, срока на валидност на съгласието и саморъчен подписсубектът на личните данни или техния електронен аналог.И обикновено получаването на такова съгласие създава затруднения за организацията оператор.

    За да избегнем тези трудности, ние предлагаме следната технология на работа:

    • С помощта на сертифицирани инструменти за криптографска защита, PD, предавани по комуникационни канали, са защитени от доставчика на комуникационни услуги.
    • По подобен начин предлагаме да защитим личните данни и при обработка в център за данни да използваме средства защита на информацията, изключвайки абсолютно всякаква техническа възможност за достъп от служители на центъра за данни. За да направим това, ние разгръщаме една или повече виртуални машини, всяка от които е напълно изолиран обект, всеки достъп до който от хостинг доставчика е блокиран. Това се постига както чрез функциите на хипервизора, така и чрез защита срещу неоторизиран достъп. В бъдеще можете да работите с такава наета защитена виртуална машина от работно място от офиса на клиента, като използвате отдалечен терминал („Отдалечен работен плот“, VNC терминал или SSH терминал).

    По този начин нито доставчикът, нито центърът за данни могат по никакъв начин да установят субекта на личните данни, да определят количеството информация във виртуалната машина на клиента, наличието на каквато и да е поверителна информация. Следователно подобна работа с ПД в изолирана виртуална машина не може да се счита за прехвърляне на ПД към оператора на центъра за данни или инструкция за обработка на ПД, което освобождава клиента от необходимостта да получи съгласието на субектите.

    Пример за организиране на пренос и обработка на лични данни чрез защитени комуникационни канали

    Ето малък случай, илюстриращ тази технология с примера на оператор на лични данни, териториално състоящ се от централен офис и клонове.

    Фиг.2. Организацията прехвърля лични данни по отворени канали

    Интернет доставчикът предава IP пакети, съдържащи лични данни. Съгласно параграф 3 на член 3 от FZ-152, това вече е специален случайобработка на лични данни. И така, съгласно параграф 2 на член 3 от Федерален закон-152, интернет доставчикът вече се превръща в PD оператор. И съгласно изискванията на член 6 и член 7 от FZ-152, нашата въображаема организация, предаваща PD по открити канали до този случайвече е необходимо да се получи съгласието на субектите на лични данни за прехвърляне на личните им данни в ясен текст през мрежите на доставчика. А интернет доставчикът от своя страна трябва да предприеме всички необходими организационни и технически мерки за защита на тези данни.

    Въпреки това, ако се вземат мерки за криптиране на данни (криптографска защита) преди изпращането им през комуникационните канали на интернет доставчика, тогава от правна гледна точка фактът на прехвърляне на PD за обработка вече няма да възниква. Защото съгласно параграф 1 на член 3 от Федерален закон-152 „лични данни е всяка информация, свързана с пряко или косвено идентифицирано или идентифицирано физическо лице (субект на лични данни)“.

    Фигура 3 илюстрира, че на доставчика на комуникационни услуги не е предоставена информация, която би могла пряко или косвено да идентифицира субекта на лични данни.

    Фиг.3. Организацията прехвърля лични данни по сигурни канали

    РЕЗУЛТАТ: Използването на криптографски средства за защита на лични данни преди изпращането им през каналите на доставчика позволява от правна гледна точка да се отървем от факта на прехвърлянето им за обработка на този доставчик.

    Защита на личните данни по време на обработка във виртуална инфраструктура

    По същия начин Integrus предлага защита на личните данни с помощта на сигурни канали за предаване на данни, когато се обработват в центрове за данни, облачни хранилища и виртуални хостинги чрез специални средствазащита на информацията.

    Защитата ще бъде инсталирана и конфигурирана по такъв начин, че да изключи напълно техническата възможност за достъп на служителите в центъра за данни (администратори, инженери, оператори) до личните данни, които организацията ще разполага в центъра за данни. Такава защита се осъществява в съответствие с проекта на системата за защита на личните данни с помощта на сертифицирани FSTEC на Русияинструменти за защита на информацията (включително хипервизор на виртуална машина и средства за защита срещу неоторизиран достъп), както и използване на криптографски инструменти за защита на информацията, сертифицирани в съответствие с изискванията на Федералната служба за сигурност на Русия (когато се предава по комуникационни канали и когато се обработва във виртуална среда инфраструктура). Такава схема е илюстрирана подробно на фигура 4.

    Фиг.4. Технология за защита на PD във виртуална инфраструктура.

    Защита на личните данни - услуги "Интегрус" в организационно-правната сфера

    Освен организирането на охранителна система, ние извършваме цялата организационна и правна работа:

    • Работим върху законовите основания за обработка на лични данни, нейните задачи, методи и срокове.
    • Изготвяме и публикуваме документ, който декларира политика в областта на работата с лични данни (правила за съхранение, обработка на лични данни) и набор от организационни и административни документи (актове за класификация на IP, инструкции, правилници и списания).
    • Разработваме уведомления за обработката на лични данни, които да се изпращат до Роскомнадзор (ако е необходимо).

    Ако искате да получите готова информационна система, която отговаря на изискванията на Закона за съхранение на лични данни и отговаря на всички стандарти, искате да работите с лични данни безпроблемно, и да не се страхувате от претенции от клиенти, служители или регулаторни органи, свържете се със специалисти на Интегрус. Оставете заявка чрез формата за обратна връзка на уебсайта, обадете се или ни пишете и ние ще се радваме да ви посъветваме относно техническата и правната страна на въпроса.

    • Някои наричат ​​този закон връщане към желязната завеса и закъснял размисъл върху променящото се информационно пространство. Други свързват с това укрепването на позициите и по-нататъшното развитие на капацитета на родните ИТ компании. На това настояват авторите на поправките нов законпомагат за защитата на правата руски гражданив областта на обработката и съхранението на лични данни. За изясняване с какво ще трябва да се справят бизнесът и обикновените потребители в близко бъдеще, се обърнахме към ръководителя на проекта на компанията Global Office Мартинова Кристина.

    Днес законите 242-FZ и 152-FZ са широко чути. През последните няколко месеца те се превърнаха в остри болкови зони в дискусиите на бизнесмени, IT специалисти и простосмъртни. Федерален закон 242-FZ, приет през юли тази година, установи нови правила на играта за всички участници, участващи в обработката и съхранението на лични данни. Едно от основните нововъведения засегна текста на закон 152-FZ, чиито разпоредби бяха допълнени от изискването от 1 януари 2016 г. за съхраняване на личните данни на руснаците на сървъри, разположени в Руската федерация:

    При събиране на лични данни, включително чрез информационната и телекомуникационната мрежа "Интернет", операторът е длъжен да осигури записване, систематизиране, натрупване, съхранение, изясняване (актуализация, промяна), извличане на лични данни на граждани на Руската федерация с помощта на бази данни намиращ се на територията на Руската федерация.

    В същото време могат да бъдат забранени всякакви действия с данни - до показване на екран на компютър, ако базите данни физически "лежат" в чужбина. Вярно е, че досега нито парламентаристите, нито Роскомнадзор са дали еднозначни отговори на въпроса какво точно трябва да се разбира като извличане на данни, тяхната систематизация и самата база данни.

    Още по-неясно е съдържанието на новия термин "лице, което осигурява обработка на информация в информационната и телекомуникационната мрежа, включително Интернет, въведено в Закон 149-FZ". Кой има право да получи този статут и какво правни знацитакова лице? Възможно е анализът на законодателните полети да се извърши вече по факта на предполагаемото нарушение. В този случай изясняването на буквата на закона ще помогне арбитражна практика. Но отново не е ясно на какво основание ще започне пробен период- по искане на Роскомнадзор или друго лице.

    Блокирането на уебсайта на нарушителя, добавянето му към "черния списък" на Роскомнадзор и правото на потребителите да изтриват личните си данни по съдебен ред - всичко това трудно може да се счита за новости на закона. Всъщност това е малка „надстройка“ на разпоредбите на законите „За личните данни“ и „За информацията“, които доста пълно определят както наказателните процедури (включително формирането на регистър на нарушителите), така и механизмите съдебна защитаграждани.

    Относно личните данни

    Струва си да отдадем почит на широкия обществен протест, който се разви едновременно с официалните обсъждания на закона. Потребителите, които преди това вярваха, че личните данни са пълно име, паспортна информация и телефонен номер, най-накрая получиха глътка трезвост и разум. Оказа се, че абревиатурата PD крие „всяка информация, свързана пряко или косвено с конкретно или идентифицируемо физическо лице (субект на лични данни)“ (клауза 1 от чл. 3 от 152-FZ). Това могат да бъдат здравни данни и информация за извършени транзакции, и кореспонденция в социалните мрежи, и регистрирани акаунти в онлайн магазини.

    За бизнеса личните данни са повсеместна информация. Например за клиенти на Global Office, работещи на специален сървър 1C: Enterprise. РЗП и управление на човешките ресурси, въпросът с личните данни възниква всеки път при изготвяне на отчети, изчисляване на заплати и отпуски, изчисляване на болнични и събиране на данъци. Освен това, привидно безобидни документи, създадени с помощта на софтуерни продукти на Microsoft Word, Excel, Power Point и др., може да попаднат в обхвата на члена на новия закон, дори ако основното им съдържание няма нищо общо с подателя или получателя. Как е възможно? Благодарение на метаданните, които могат да се съхраняват не само в самия документ, но и в описанието на неговите свойства: например името на автора, потребителско име, пощенски адрес на последния човек, който е запазил документа, заглавки на съобщението електронна пощаи т.н. Същата скрита опасност е регистрацията на профил и препращането на писма през Microsoft Outlook.

    Наред с личните данни на служителите, компаниите трябва да се справят и с други видове поверителна информация, която включва данни за компанията, информация за контрагенти и др. Според закона личните данни са един от шестте вида информация поверителен характер(виж Указ на президента на Руската федерация „За одобрение на списъка с поверителна информация“). За удобство между нас и нашите клиенти има споразумение, че цялата информация, съхранявана в софтуерните продукти 1C, които предоставяме, е лична и следователно към тях се прилагат процедури за криптиране, обезличаване и други механизми за защита на данните.

    Какво трябва да прави един бизнес?

    Изграждането на свой собствен център за данни и добър сън е единствен технологичен лукс големи компании. Отне на Yandex около две години и още повече пари за изграждането на първата фаза на центъра за данни. Най-вероятното решение за повечето руски средни селяни е обаждане до вече работещ център за данни, който предлага услуги за колокация на сървъри.

    Друг законен начинда установи приятелски контакт с новия закон – обезличаване на данните. Някои експерти имат големи надежди за това. Личните данни ще бъдат отделени от субекта по такъв начин, че да не могат да бъдат приписани на конкретно лице. В такава "аморфна" форма можете да правите всичко с тях. Предполага се, че обратното обвързване към дадено лице ще се извърши при връщане на анонимни данни на територията на Руската федерация. Днес тази технология се използва успешно в медицината. Можете да анонимизирате данни, като използвате популярни ERP и CRM решения, произведени от Microsoft, SAP или Oracle.

    За поредната вратичка в приет законказаха адвокати. Действащото законодателство не забранява изпращането на данни в чужбина и дублирането на информация. Теоретично личните данни могат да се съхраняват на територията на Русия и след това свободно да отиват в дублирана форма на чужди сървъри.

    Формално изискването за съхраняване на данни на руски сървъри също позволява специални програми(в Global Office това е SecurityIP). Те скриват крайния IP адрес на работещия сървър, така че да не може да се определи точното местоположение на сървъра.

    Разбира се, промените в основния закон за личните данни създават трудности не само за бизнес общността, но и за потребителите. И с упорито мълчание на Роскомнадзор, отговорите на възникващите въпроси все още остават отворени. Все още в държавните служби се обсъждат изменения за отлагане на влизането в сила на закона от 1 януари 2015 г. Бизнесът все още изисква по-конкретен език и по-малко неясни фрази от парламентаристите. Първо в списъка е замяната на определението за лични данни. Без ясно разбиране за това какви видове информация може да се класифицира като PD, едва ли е възможно да се защитят правата на гражданите, гласно заявени в новия закон.

    Процесът на обработка на лични данни на всеки гражданин е предписан във Федералния закон № 152-FZ „За личните данни“. Първоначално този законе прието на 27 юли 2006 г. и впоследствие е подложено на различни промени и допълнения.

    Законът „За личните данни“ урежда отношенията между държавата, общинските власти, физически и юридически лица в областта на обработката и защитата на лична информация, които се извършват с помощта на средства за автоматизация или без тях.

    Целта на този закон е да осигури защитата на свободите и правата на гражданите чрез законови методи при обработката на личните им данни, включително неприкосновеността на поверителност, семейни и лични тайни.

    Коя организация е обект на изискванията на Федералния закон „За личните данни“?

    Всяка организация има възможността да не регулира действията си в съответствие с глава 1 на член 2 от Федералния закон № 152-FZ „За личните данни“ относно обработката на лични данни, в такива случаи като:

    1. Обработка на лични данни от физически лица единствено за лични и семейни нужди, ако правата на субектите на лични данни не са нарушени;
    2. Организации за съхранение, придобиване, отчитане и използване на документи, съдържащи лични данни Архивен фондРуската федерация и др архивни документив съответствие със законодателството за архивиране на Руската федерация;
    3. Обработка на лични данни по в своевременнона информация, представляваща държавна тайна;
    4. Предоставяне упълномощени органиинформация за дейността на съдилищата в Руската федерация в съответствие с Федералния закон от 22 декември 2008 г. N 262-FZ "За осигуряване на достъп до информация за дейността на съдилищата в Руската федерация".

    Когато една организация не попада в горните точки, тя непременно трябва да отговаря на изискванията на закона. Всички други случаи, свързани със събирането, обработката и съхранението на лични данни, се регулират в съответствие с Федералния закон № 152 „За личните данни“. Почти всички организации попадат в тези изисквания, тъй като почти всички компании по един или друг начин обработват личните данни на своите служители или други лица. Всички лични данни трябва да бъдат строго поверителни.

    С цел риск от искове от собственици на лични данни и правителствени агенциие бил минимален, е необходимо да се извърши набор от работи, които оправдават необходимостта от обработка на лични данни. Необходимо е също така да се спазват изискванията за гарантиране на конфиденциалност както при неавтоматизирана обработка, така и в случай на обработване на лични данни в информационни системи.

    Лични данни - какво е това?

    В глава 1, член 3 от Федералния закон "за личните данни" има определение за лични данни:

    - лични данни - всяка информация, свързана с пряко или косвено идентифицирано или идентифицирано физическо лице (субект на лични данни).

    Това може да бъде фамилия, собствено име, отчество, адрес на пребиваване и имейл, телефони за връзка, място на пребиваване, религия, семейно положение, снимки, информация за роднини и много други. Всяка организация, която притежава такава информация, е длъжна да защитава информационните системи, в които тези данни трябва да се съхраняват.

    Събиране, съхранение и обработка на лични данни

    Когато е необходимо получаване на лични данни на служител или др индивидуаленорганизацията има право да го събира директно от самия субект. Ако информацията може да бъде получена само от трети страни, тогава субектът трябва задължително да бъде уведомен и също така трябва да даде своето писмено съгласие за тази процедура. От своя страна операторът е длъжен да уведоми гражданина за целите, които преследва при получаване и обработка на личните му данни.

    Всичко, свързано с правните основания за обработка на лична информация, е посочено в глава 2, член 6, клауза 1 № 152 от Федералния закон „За личните данни“:

    1) обработването на лични данни се извършва със съгласието на субекта на личните данни за обработка на личните му данни;
    2) обработването на лични данни е необходимо за постигане на целите, предвидени в международен договор на Руската федерация или закона, за изпълнението и изпълнението на функциите, правомощията и задълженията, възложени от законодателството на Руската федерация на оператора ;
    3) обработването на лични данни е необходимо за правораздаването, изпълнението съдебен акт, акт на друг орган или длъжностно лице, подлежащ на изпълнение в съответствие със законодателството на Руската федерация за изпълнително производство(наричано по-долу изпълнение на съдебен акт);
    4) обработването на лични данни е необходимо за предоставяне на държавни или общински услуги в съответствие с Федералния закон от 27 юли 2010 г. N 210-FZ „За организацията на предоставянето на държавни и общински услуги“, за да се гарантира предоставянето на такава услуга, за регистриране на субекта на лични данни на единичен порталдържавни и общински услуги;
    5) обработването на лични данни е необходимо за изпълнението на споразумение, по което субектът на личните данни е страна или бенефициент или поръчител, както и за сключване на споразумение по инициатива на субекта на лични данни или споразумение по който субект на лични данни ще бъде бенефициент или поръчител;
    6) обработването на лични данни е необходимо за защита на живота, здравето или други жизненоважни интереси на субекта на лични данни, ако получаването на съгласието на субекта на лични данни е невъзможно;
    7) обработването на лични данни е необходимо за упражняване на правата и законните интереси на оператора или трети лица или за постигане на обществено значими цели, при условие че не се нарушават правата и свободите на субекта на лични данни;
    8) обработката на лични данни е необходима за изпълнението професионална дейностжурналист и/или правна дейностсредства за масова информация или научна, литературна или друга творческа дейност, при условие че това не нарушава правата и законните интереси на субекта на лични данни;
    9) обработването на лични данни се извършва за статистически или други изследователски цели, с изключение на целите, посочени в член 15 от този федерален закон, подлежащи на задължително обезличаване на личните данни;
    10) обработването на лични данни се извършва, достъп на неограничен брой лица до който се предоставя от субекта на лични данни или по негово искане (наричани по-долу лични данни, оповестени публично от субекта на лични данни);
    11) се извършва обработка на лични данни, подлежащи на публикуване или задължително разкриване в съответствие с федералния закон.

    Ако организация обработва лични данни, които противоречат на горните параграфи, това е нарушение на федералния закон.

    Организацията е длъжна да гарантира поверителността на наличните лични данни в съответствие с член 7 от Федералния закон „За личните данни“. Изключение правят случаите, когато личните данни са анонимни или когато са публично достъпни.
    Член 8 гласи, че може да има публично достъпни източници на лични данни. Те могат да съдържат фамилно име, собствено име, отчество, държава и година на раждане, адрес на местоживеене, телефон, информация за професията или други лични данни на субекта, които той предоставя с писменото му съгласие. Те включват например указатели или адресни книги. Тази информация може да бъде лишена от достъпност по решение на субекта или държавни упълномощени органи.

    Принципи и условия за обработка на лични данни

    В процеса на обработка на лични данни всяка организация трябва да се придържа към принципите, посочени в глава 2 на член 5 от Федералния закон „За личните данни“:

    1. Обработката на лични данни трябва да се извършва на законна и справедлива основа.
    2. Обработката на лични данни следва да бъде ограничена до постигането на конкретни, предварително определени и законни цели. Не е разрешено обработването на лични данни, които са несъвместими с целите на събиране на лични данни.
    3. Не се допуска комбиниране на бази данни, съдържащи лични данни, чието обработване се извършва за цели, които са несъвместими една с друга.
    4. На обработка подлежат само лични данни, които отговарят на целите на тяхното обработване.
    5. Съдържанието и обхватът на обработваните лични данни трябва да отговарят на посочените цели на обработването. Обработените лични данни не трябва да бъдат прекомерни по отношение на посочените цели на тяхното обработване.
    6. При обработване на лични данни, точността на личните данни, тяхната достатъчност и в необходими случаии уместност за целите на обработката на лични данни. Операторът трябва да предприеме необходимите мерки или да гарантира, че те са взети за премахване или изясняване на непълни или неточни данни.
    7. Съхранението на лични данни трябва да се извършва във форма, която позволява да се определи предметът на личните данни, не по-дълъг от изискваното за целите на обработката на лични данни, ако срокът на съхранение на лични данни не е установен от федералния закон, споразумение, по което бенефициент или поръчител е страна, по което предмет са лични данни. Обработените лични данни подлежат на унищожаване или обезличаване при постигане на целите на обработването или в случай на загуба на необходимостта от постигане на тези цели, освен ако федералният закон не предвижда друго.

    Условията, които организацията трябва да спазва в процеса на обработка на лични данни, са предвидени в член 6 от Федералния закон „За личните данни“ и се състоят във факта, че операторът, когато обработва личните данни на субекта, има право да обработва ги само с негово писмено съгласие.
    В някои случаи обаче такова съгласие не се изисква. Така например, ако обработката на лична информация се извършва за различни научни и статистически цели с предпоставкаобезличаване на лични данни. Или когато обработването на лични данни е необходимо за здравето, живота или други жизненоважни интереси на субекта на тези данни.

    Задължения на оператора на лични данни

    Глава 4 на член 18 от Федералния закон № 3,152 „За личните данни“ съдържа пълна информация за това каква е отговорността на обработващия данните.
    Имайки в предвид ключови точкиТози член от закона може да подчертае няколко от най-важните принципи.

    Операторът е длъжен:

    – да обработва лични данни в съответствие със закона,
    — да имат разрешение от собственика на лични данни в случаите, предвидени от закона,
    - гарантиране на поверителност,
    – отговаря на всички въпроси на собственика относно личните му данни, в комплекта законов срок,
    – унищожаване на лични данни след изтичане на сроковете за тяхното обработване,
    - да уведоми отдел Роскомнадзор за обработката на лични данни и за мерките, които предприема за защитата им.

    Тази статия също така гласи, че ако собственикът на лични данни откаже да предостави лична информация, която е длъжен да предостави в съответствие с федералния закон, операторът трябва да обясни на собственика за последиците от такъв отказ.

    Самостоятелна дейност на организации по защита на личните данни

    Събирането, обработката и защитата на лични данни в Руската федерация е лицензирана дейност. Разработването на методи за защита на личната информация е отговорност на FSB на Русия и FSTEC на Русия.
    Организацията от своя страна може да свърши само част от тази работа. Например, събирайте информация. Останалата част от работата изисква лиценз за работа техническа защитаповерителна информация, както и инсталиране на инструменти за криптографска защита.

    Проверка на дейностите по обработка на лични данни

    Организацията, която проверява законната обработка на лични данни, се нарича Федерална служба за надзор в сферата на комуникациите, информационни технологиии масови комуникации (Роскомнадзор).
    Роскомнадзор извършва държавен контрол и надзор за спазването на изискванията действащото законодателствов областта:
    - Масови медии, TVR излъчване и масови комуникации - изискванията на Закона на Руската федерация № 2124-1 от 27 декември 1991 г. "За средствата за масови комуникации", както и съответствие лицензионни условия,
    - комуникации - изискванията на Федералния закон № 126 от 7 юли 2003 г. "За съобщенията", както и подзаконовите нормативни актове, включително валидността на лиценза и използването на радиочестотния спектър,
    - лични данни - Федерален закон от 27 юли 2006 г. № 152 "За личните данни".

    Правно основание за изпълнение държавен контроли надзорът е Федералният закон от 26 декември 2008 г. № 294 „За защита на правата на юридическите лица и индивидуални предприемачипри упражняване на държавен контрол (надзор) и общински контрол”.

    Роскомнадзор провежда няколко вида проверки:

    едно). Планирана проверка.
    Този одит може да се извърши въз основа и в рамките на точните срокове, посочени в плана за одит, изготвен от Роскомнадзор и одобрен от прокуратурата. Съгласно параграф 4 на член 27 от Федералния закон „За комуникациите“, Роскомнадзор има право да извършва този вид проверка не повече от веднъж на всеки 3 години.
    Всяка организация, участваща в обработката на лични данни, може да бъде включена в плана за инспекция на Роскомнадзор.
    Основанието за извършване на планова проверка е фактът, че обработката на лични данни от оператора е започнала, включително изтичането на три години от датата на държавна регистрациякато оператор на лични данни или приключване на планирана проверка по отношение на оператора след три години от предходната планирана проверка.

    2). Непланирана проверка.
    Причините за този вид преглед са:
    – проверка на изпълнението на издадената по-рано заповед за отстраняване на установеното нарушение,
    — откриване на нарушения задължителни изискванияв резултат на систематично наблюдение,
    - искането на прокурора за провеждане извънпланова проверкавъз основа на получените материали и жалби до прокуратурата от граждани, индивидуални предприемачи, юридически лица, държавни и общинско управление,
    — нарушения законни праваи интереси на съставните образувания на Руската федерация поради бездействието на операторите, участващи в обработката на лични данни,
    - заповед на ръководителя на службата, която се издава в съответствие с инструкциите на президента на Руската федерация или на правителството на Руската федерация.
    Проверката се извършва в срок от не повече от 20 работни дни, но в същото време, при сериозни причини, тя може да бъде удължена въз основа на заповед на ръководителя на отдел Роскомнадзор за още 20 допълнителни работни дни.
    В допълнение, дейностите по проверка могат да се извършват по един от следните методи:
    а) поле, тоест проверката се извършва на мястото на проверявания.
    б) документално, писмено искане на оператора за предоставяне задължителни документии информация. Ако документите не са предоставени и тяхното предоставяне трябва да бъде направено по закон непременно, това води до глоба. Ако административната глоба не е платена, тя може да бъде удвоена.
    в) системно наблюдение, извършвано без взаимодействие с проверяваното лице, като не се изискват документи и информация от проверяваното лице. Държавни специалисти-инспектори Териториална администрацияРоскомнадзор прави заключения за дейността на проверявания въз основа на неговите действия по отношение на неопределен кръг от субекти.

    Отговорност за неправомерно обработване на лични данни

    Операторът не трябва да допуска събирането, съхраняването, използването и разпространението на информация, свързана с лични и семеен живот, тайна кореспонденция, телеграфни, пощенски или други съобщения, телефонни разговори, ако не преценкаили правно основаниеза тези действия.

    Операторът няма право да използва лични данни с цел нанасяне на морални и имуществени вреди на граждани, както и затрудняване на упражняването на техните свободи и права. Освен това операторът на лични данни няма право да ограничава правата на гражданите на Руската федерация, като използва тяхната лична информация, свързана с национална, расова, религиозна, езикова или партийна принадлежност.
    Физически и юридически лица, които в съответствие с правомощията си притежават лична информация за граждани, използват я, нарушавайки Федералния закон „За личните данни“, носят отговорност за този акт в съответствие с действащото законодателство на Руската федерация.

    Лицата, които с действията си са нарушили Федералния закон „За личните данни“, носят гражданска, административна, дисциплинарна, наказателна или друга отговорност, предвидена от действащото законодателство на Руската федерация.

    Код на Административни нарушения(CoAP):

    A) Член 13.11 Нарушение законоустановенпроцедурата за събиране, съхраняване, използване или разпространение на информация за граждани (лични данни). Този член води до предупреждение или налагане на административна глоба на:
    - граждани в размер на 300-500 рубли,
    - длъжностни лица в размер на 500-1000 рубли,
    - юридически лица в размер на 5000-10000 рубли.

    Б) член 13.12 Нарушаване на правилата за защита на информацията.
    Съгласно този член на нарушителите на закона се налага административна глоба в размер от 500 до 30 хиляди рубли. В допълнение към юридически лицаможе да се приложи конфискация или административно спиране на дейността за срок от 3 месеца.
    В) член 13.14 Разкриване на информация с ограничен достъп.
    В съответствие с този член е възможно да се наложи административна глоба на:
    - граждани в размер от 4 до 5 хиляди рубли.

    Г) Член 19.5 Неизпълнение навреме със законов ред (указ, представяне, решение) на органа (служебното лице), извършващ държавен надзор(контрол).
    Нарушителите на този член са изправени пред административна глоба в размер от 300 рубли до 500 хиляди рубли или дисквалификация за срок до 3 години.

    Наказателен кодекс (НК).

    Член 137 Нарушаване на неприкосновеността на личния живот.
    В тази статия се посочва, че за незаконно събиране или разпространение на информация за личния живот на субекта, която е негова семейна или лична тайна, без негово съгласие, или разпространението на такава информация чрез медиите, се носи отговорност по реда на
    - глоба до 200 хиляди рубли или в размер, равен на заплатиза 18 месеца,
    задължителни работидо 360 часа
    - поправителен труд до 1 година,
    принудителен труддо 2 години
    – забрана за извършване на определени дейности до 3 години,
    - Арест до 2 години.

    Кодекс на труда (КТ).

    90. Отговорност за нарушаване на правилата за обработка и защита на лични данни на служител.
    Този член предвижда наказание под формата на уволнение или възможността за наказание в съответствие с Наказателния кодекс на Руската федерация.

    Изисквания за защита на личните данни

    В съответствие с член 19 от Федералния закон „За личните данни“ изискванията за защита на личната информация се считат за задължителни. При обработване на лични данни операторът е длъжен да предприеме необходимите правни, организационни и технически мерки или да осигури тяхното приемане за защита на личните данни от неоторизиран или случаен достъп до тях, унищожаване, модифициране, блокиране, копиране, предоставяне, разпространение на лични данни, както и от други незаконни действия по отношение на лични данни.

    Постига се гарантиране на сигурността на личните данни, по-специално:

    1) определяне на заплахи за сигурността на личните данни при обработката им в информационни системи за лични данни;
    2) прилагането на организационни и технически мерки за гарантиране на сигурността на личните данни по време на тяхното обработване в информационните системи на лични данни, необходими за изпълнение на изискванията за защита на личните данни, чието изпълнение гарантира установено от правителствотоНива на защита на личните данни на Руската федерация;
    3) използването на средства за информационна сигурност, преминали процедурата за оценка на съответствието по установения ред;
    4) оценка на ефективността на предприетите мерки за гарантиране сигурността на личните данни преди въвеждане в експлоатация на информационната система за лични данни;
    5) отчитане на машинни носители на лични данни;
    6) установяване на факти за неоторизиран достъп до лични данни и предприемане на мерки;
    7) възстановяване на лични данни, променени или унищожени поради неоторизиран достъп до тях;
    8) установяване на правила за достъп до лични данни, обработвани в информационната система за лични данни, както и осигуряване на регистрация и отчитане на всички действия, извършени с лични данни в информационната система за лични данни.

    За да постигнат горните цели, всички организации, които обработват лични данни трябва да се придържат към следните изисквания:

    — спазват изискванията на Федерален закон № 152 „За личните данни“, като същевременно предоставят всички необходими доказателства за законосъобразността на събирането и обработката на лична информация,
    — осигуряват защита срещу неразрешено разпространение на лични данни,
    - разработване на наредби местни актовеи техническа организационна документация за осигуряване на регламентирано обработване на лични данни,
    — уведомете отдел Роскомнадзор.

    За да изпълните тези изисквания, трябва да направите следното:

    1. Извършване на проучване на процесите на събиране и обработка на лична информация в компанията. А именно на какво място и в каква форма се обработват, на какво място се съхраняват, кой носи отговорност за това и има достъп до тях, какъв е източникът на лични данни и подобни въпроси. Необходимо е да се събира пълна информация за всички процеси, свързани с лични данни.

    2. Необходимо е да се разработи пакет от документи, които се отнасят до процеса на обработка на лични данни, а именно
    А. Актът на категоризация,
    Б. Концепцията за създаване на система за защита на личните данни,
    Б. Модел на заплахата,
    D. Модел на натрапник,
    Д. Техническа задачада изградим система за защита на личните данни,
    E. Технически дизайн ( обяснителна бележкатехнически проект) за изграждане на система за защита на личните данни,
    Ж. Организационна и административна документация.

    Като цяло броят на документите в една средна организация е около 80 броя, включително регистри и заповеди.

    3. Внедряване на технически средства за защита в организацията, съгласно разработената документация.

    4. Извършване на оценка на съответствието или сертифициране на информационни системи.

    Сертифицирането и оценката са специални установени документи, благодарение на които организацията има възможност да потвърди, че отговаря на всички изисквания на действащото законодателство на Руската федерация.

    Основа за развитие одобрени документиоператори на лични данни е Федералната служба за технически и експортен контролна Руската федерация (FSTEC) и Федералната служба за сигурност на Руската федерация (FSB), което е посочено в техните нормативни методически документии поръчки.

    Един от тези документи е:

    Поръчка Федерална службаза технически и експортен контрол (FSTEC на Русия) от 5 февруари 2010 г. № 58 „За одобряване на Правилника за методите и методите за защита на информацията в информационните системи за лични данни“.

    V тази поръчказа всички организации такива методи и начини за защита на личните данни от неоторизирани достъп като,
    — въвеждане на разрешителна система за допускане на потребители ( обслужващ персонал) към информационните ресурси, информационната система и свързаните с тях произведения, документи;
    - ограничаване на достъпа на потребителя до помещенията, където се намират технически средства, позволяващи обработването на лични данни, както и носители за съхранение;
    - разграничаване на достъпа за потребители и обслужващия персонал до информационни ресурси, софтуерни средства за обработка (прехвърляне) и защита на информация;
    - регистриране на действията на потребители и персонал по поддръжката, контрол на неоторизиран достъп и действия на потребители, персонал по поддръжката и неупълномощени лица;
    - отчитане и съхранение на сменяеми носители и тяхното разпространение, с изключение на кражба, подмяна и унищожаване;
    - резервация технически средства, дублиране на масиви и носители за съхранение;
    използване на средства за информационна сигурност, преминали процедурата за оценка на съответствието по предписания начин;
    — използване на защитени комуникационни канали;
    - разполагане на технически средства, позволяващи обработването на лични данни в рамките на защитената зона;
    - организиране на физическа защита на помещенията и собствените технически средства, позволяващи обработването на лични данни;
    — предотвратяване на въвеждането на злонамерени програми (вирусни програми) и софтуерни отметки в информационните системи.

    Основните методи и средства за защита на данните от неоторизиран достъп в случай на взаимодействие между информационни и телекомуникационни мрежи на международния обмен на информация и информационни системи включват:

    — защитна стена за контрол на достъпа, филтриране на мрежови пакети и преобразуване на мрежови адреси, за да се скрие структурата на информационната система;
    - откриване на прониквания в информационната система, които нарушават или създават предпоставки за нарушаване на установените изисквания за осигуряване сигурността на личните данни;
    — анализ на сигурността на информационните системи, включващ използването на специализирани софтуерни инструменти (скенери за сигурност);
    - защита на информацията при предаването й по комуникационни канали;
    - използване на смарт карти, електронни брави и други носители на информация за надеждна идентификация и удостоверяване на потребителите;
    - използване на антивирусна защита;
    централизирано управление на системата за защита на личните данни на информационната система;
    — филтриране на входящи (изходящи) мрежови пакети според правилата, зададени от оператора ( упълномощено лице);
    — периодичен анализ на сигурността на инсталираните защитни стени въз основа на имитация на външни атаки срещу информационни системи;
    — активен одит на сигурността на информационната система за откриване в реално време на неоторизирана мрежова дейност;
    — анализ на информацията, получена чрез информационни и телекомуникационни мрежи за международен обмен на информация (обществени комуникационни мрежи), включително за наличие на компютърни вируси;
    — използване на атрибути за сигурност;
    - създаване на комуникационен канал, който осигурява защитата на предаваната информация;
    - осъществяване на удостоверяване на взаимодействащи информационни системи и проверка на автентичността на потребителя и целостта на предаваните данни.

    V Допълнителни изискванияза организации, включени:

    - създаване на комуникационен канал, който осигурява защитата на предаваната информация;
    - удостоверяване на взаимодействащите информационни системи и проверка на автентичността на потребителя и целостта на предаваните данни;
    — осигуряване на предотвратяване на възможността потребителят да отрече факта на изпращане на лични данни на друг потребител;
    - гарантиране, че потребителят не отрича факта на получаване на лични данни от друг потребител.

    Етикети: PDN 152-FZ


    © 2022 egoist24.ru Платежни системи. Ипотека. банки. Yandex пари. webmoney. Главна информация.