Prelucrarea și stocarea datelor cu caracter personal în Federația Rusă. Datele personale ale cetățenilor ruși și ale serverelor din țări străine

Terminologia de stocare date personale formată mai târziu.

În 2001 în Codul MunciiÎn Rusia a apărut capitolul 14, dedicat angajaților, iar 15 ani mai târziu, guvernul a format în sfârșit condițiile pentru manipularea informațiilor confidențiale.

Stocarea informațiilor se referă la modul în care acestea sunt distribuite în timp și spațiu. folosind un mediu specific. Principala condiție și scopul stocării datelor este de a oferi acces permanent la acestea sau acces la cerere.

Stocarea datelor este parte integrantă procesarea informatiei. Când un cetățean dă, este vorba de colectarea, acumularea, clarificarea, extragerea, actualizarea și stocarea informațiilor.

Unde poate fi depozitat pe teritoriul Federației Ruse?

Fiecare operator ar trebui să aibă o politică de confidențialitate inclusiv următoarele articole:

Electronic

Informațiile personale sunt clasificate drept confidențiale și, prin urmare, trebuie protejate. Pentru toate operațiunile cu astfel de declarații, inclusiv stocarea, sunt utilizate (ISPD).

În Rusia, acestea sunt de obicei împărțite în patru categorii, în funcție de importanța și volumul de informații.

  • Categoria 1. Sistem informatic tipic de date cu caracter personal cu declarații pentru mai mult de 100 de mii de subiecți. Conține informații despre rasă, naționalitate, opinii politice, religie, viață intimă și alte declarații, a căror difuzare va avea o claritate. Influență negativă asupra vieții indivizilor.
  • Categoria 2. Sistemul conține declarații personale, a căror dezvăluire va permite terților să primească declarații suplimentare despre o persoană, cu excepția datelor referitoare la prima categorie.
  • Categoria 3. Un sistem cu informații personale care face posibilă identificarea unei persoane.
  • Categoria 4. Oferă stocare, a cărei dezvăluire nu va avea un impact negativ.

Procesul de stocare începe cu crearea unui astfel de sistem și verificarea acestuia de către agențiile guvernamentale ruse. După aceea, operatorul trebuie să asigure toate cerințele pentru protecția inginerească a incintei, conformitatea sistemului este verificată conform:

  1. cerințe de securitate la incendiu;
  2. protecţie;
  3. putere electrica;
  4. împământare;
  5. cerințe sanitare.

Ultimul punct este atestarea sau certificarea ISPD. Dacă ISPD este gata, atunci compania va trebui să se înregistreze Bază legală toate procesele cu informații personale care vor apărea pe site înainte de a introduce declarații despre utilizator în formular.

Poate fi numit orice, de exemplu, „Politica de prelucrare a datelor cu caracter personal” sau „Consimțământ pentru stocarea informațiilor personale”.

Principalul lucru este că clientul se poate familiariza cu acesta și face clic pe „bifă”, exprimându-și astfel consimțământul de a furniza informații operatorului. Întregul proces de stocare a acestor informații este reglementat acte legislative despre datele confidențiale.

Este interzisă transferul acestora către un terț, precum și utilizarea în scopuri care nu au fost indicate inițial.

Pentru operatorii care lucrează cu medii electronice, instrucțiunea va arăta astfel:

  1. Accesul la date trebuie restricționat.
  2. Transmite informații prin canale criptate.
  3. Avea .
  4. Păstrați înregistrări ale suporturilor fizice, dacă există.
  5. Preveniți scurgerile.
  6. Stocați separat informațiile cu care sunt procesate scopuri diferite.
  7. informații după procesare după 30 de zile de stocare (de dorit) sau după șase luni (în fara esec).

Companiile pot posta date după cum consideră de cuviință., inclusiv pe norii moderni.

Statul reglementează clar procesele de stocare a PD, toți operatorii de astfel de informații trebuie să fie supuși unei serii de verificări și să își dovedească capacitatea de a furniza informații. În cazul distribuirii sau accesului neautorizat la date, operatorul poartă răspundere civilă, materială și chiar penală.

Cetățenie

După cum rezultă din prevederile părților 2 și 3 ale articolului 105 din Codul aerian Federația Rusă, contractul de transport aerian de pasageri, contractul de transport de mărfuri pe calea aerului sau contractul de transport de corespondență pe calea aerului se certifică, respectiv, printr-un bilet și, respectiv, un bon de bagaj în cazul transportului de bagaje. de către un pasager, o scrisoare de trăsură, o notă poștală; se pot elibera bilet, check bagaje, alte documente utilizate în prestarea serviciilor de transport aerian pentru pasageri în format electronic(document electronic de transport) cu plasarea informațiilor privind condițiile contractului de transport aerian în sistemul informatic automatizat pentru emiterea transportului aerian. Astfel, în vederea punerii în aplicare a prevederilor de mai sus ale legii, transportatorii aerieni sunt obligați să prelucreze datele personale ale pasagerilor în vederea întocmirii documentelor care să ateste încheierea unui acord de transport aerian.

În conformitate cu art. 85.1 din Codul aerian al Federației Ruse, pentru a asigura securitatea aviației transportatorii asigură transferul datelor cu caracter personal ale pasagerilor aeronavelor către bazele de date centralizate automatizate de date cu caracter personal despre pasageri, în conformitate cu legislația Federației Ruse privind securitatea transporturilor și legislația Federației Ruse în domeniul datelor cu caracter personal, și în transportul aerian internațional. organismelor autorizate ale statelor străine, în conformitate cu tratatele internaționale ale Federației Ruse sau cu legislația statelor străine de plecare, destinație sau tranzit, în măsura prevăzută de legislația Federației Ruse, cu excepția cazului în care se prevede altfel prin tratatele internaționale ale Federației Ruse. Federația Rusă. În același timp, trebuie avut în vedere faptul că Federația Rusă este parte la un număr de conventii internationaleîn domeniul transportului aerian, în special, Convenția de la Chicago („Convenția Internațională aviatie Civila” a fost încheiat la Chicago la 7 decembrie 1944, a intrat în vigoare pentru Federația Rusă la 16 august 2005 - „Colecția de legislație a Federației Ruse”, 30/10/2006, nr. 44), Convenția de la Varșovia ( „Convenția pentru unificarea anumitor reguli referitoare la transportul aerian internațional” încheiată la Varșovia la 12 octombrie 1929, a intrat în vigoare pentru URSS la 13 februarie 1933, Colectare acordurile existente, acorduri și convenții încheiate de URSS cu state străine, Vol. VIII, - M., 1935, p. 326 - 339.) și Convenția de la Gualadajara ( „Convenția suplimentară la Convenția de la Varșovia pentru unificarea anumitor reguli referitoare la transportul aerian internațional efectuat de o persoană care nu este transportator conform contractului” a fost încheiată la Guadalajara la 18 septembrie 1961, a intrat în vigoare pentru URSS în decembrie 21, 1983, „Vedomosti al Forţelor Armate URSS” , 15.02.1984, nr. 7), care fac, de asemenea, parte integrantă din reglementare legală activitățile transportatorilor aerieni și procesele de informare aferente.

Pe baza celor de mai sus, cerințele h. 5 Art. 18 din Legea federală „Cu privire la datele cu caracter personal” nu se aplică activităților transportatorilor aerieni ruși și străini în ceea ce privește colectarea și prelucrarea datelor cu caracter personal ale cetățenilor-pasageri în scopul rezervării, emiterii și emiterii biletelor către aceștia ( bilete de călătorie), bonuri de bagaje și altele acte de transport, întrucât intră sub incidența excepției prevăzute la paragraful 2 al părții 1 a art. 6 din Legea federală „Cu privire la datele cu caracter personal”.

Cerințe h. 5 Articolul. 18 din Legea federală „Cu privire la datele cu caracter personal” nu se aplică, de asemenea, activităților persoanelor care acționează în numele transportatorului aerian (agent autorizat), ale căror activități sunt prevăzute de clauza 6 din Regulile generale pentru transportul aerian al pasagerilor, Bagaj, încărcătură și cerințe pentru deservirea pasagerilor, expeditorilor, destinatarilor, aprobate prin Ordinul Ministerului Transporturilor al Rusiei nr. 82 din 28 iunie 2007 „Cu privire la aprobarea Regulilor Federale de Aviație” Reguli generale transportul aerian de pasageri, bagaje, mărfuri și cerințe pentru deservirea pasagerilor, expeditorilor, destinatarilor”, precum și a altor persoane, în ceea ce privește prelucrarea datelor cu caracter personal ale cetățenilor-pasageri exclusiv în scopul rezervării, emiterii și emiterii biletelor de avion (bilete de călătorie); ), chitanțele de bagaje și alte documente de transport, inclusiv în formă electronică pentru zboruri interne și internaționale, dacă activitățile de mai sus ale acestor persoane sunt prevăzute de legislația Federației Ruse sau de legislația relevantă. tratat international, inclusiv în scopul asigurării securității aviației.

În cazul în care prelucrarea datelor cu caracter personal intră sub incidența excepțiilor prevăzute la alineatele 2, 3, 4, 8 al paragrafului 1 al articolului 6 lege federala„Cu privire la datele cu caracter personal”, prevederile părții 5 a articolului 18 din 152-FZ nu se aplică. Calificarea adecvată a acțiunilor întreprinse pentru prelucrarea datelor cu caracter personal și asigurarea conformității acesteia cu cerințele legii se realizează de către operatorul de date cu caracter personal atunci când asigură (organizează furnizarea) unei astfel de prelucrări. Corectitudinea calificării menționate și asigurării procesării într-o anumită situație este verificată de către un autorizat organism federalîn timpul activităților de control.

Bunuri si servicii

Din totalitatea prevederilor părții 5 a articolului 18 din Legea federală „Cu privire la datele cu caracter personal” (“la colectarea datelor cu caracter personal, inclusiv prin intermediul rețelei de informații și telecomunicații pe internet, operatorul este obligat să asigure înregistrarea, sistematizarea, acumularea, stocarea , clarificare (actualizare, modificare), preluare a datelor cu caracter personal ale cetățenilor Federației Ruse folosind baze de date situate pe teritoriul Federației Ruse, cu excepția cazurilor specificate la alineatele 2, 3, 4, 8 din partea 1 a articolului 6 din prezentul articol. Legea federală) și paragraful 2 din partea 1 a articolului 6 din Legea federală „Cu privire la datele cu caracter personal” („prelucrarea datelor cu caracter personal este necesară pentru a atinge obiectivele stipulate de un tratat internațional al Federației Ruse sau de lege, pentru a exercita și îndeplinește funcțiile, puterile și obligațiile atribuite operatorului de legislația Federației Ruse”), rezultă că prelucrarea datelor cu caracter personal în scopurile și în conformitate cu cerințele stabilite a ratificat Convenția Federației Ruse a Consiliului Europei pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal nu contravine legislației Federației Ruse care reglementează relațiile în domeniul protecției datelor cu caracter personal. În plus, partea 5 a articolului 18 152-FZ nu restricționează transferul transfrontalier de date cu caracter personal ale cetățenilor Federației Ruse.

Legea nu prevede conceptul de „colectare inițială”, dar stabilește cerințe pentru prelucrarea datelor cu caracter personal în orice culegere de informații, evidențiind în același timp astfel de operațiuni cu PD ca clarificarea (actualizarea, modificarea) informațiilor care conțin date cu caracter personal. În sensul legii, procesul de colectare a informațiilor include și proceduri de stocare și acumulare a informațiilor, care în sine nu permit utilizarea unui astfel de concept ca „colectare primară”. Astfel, legea impune operatorului obligația, la prelucrarea datelor cu caracter personal colectate prin sistematizare, acumulare, stocare, clarificare, extragere, de a utiliza baze de date situate pe teritoriul Federației Ruse. Astfel, dacă pentru a întocmi rapoarte sau a analiza informațiile care conțin date cu caracter personal, operatorul trebuie să efectueze formele menționate de prelucrare a datelor cu caracter personal, atunci astfel de acțiuni ar trebui efectuate folosind baze de date situate pe teritoriul Federației Ruse.

Interpretarea cu privire la colecția primară este incorectă din următoarele motive. Legea nu prevede conceptul de „colectare inițială”, dar stabilește cerințe pentru prelucrarea datelor cu caracter personal în orice culegere de informații, evidențiind în același timp astfel de operațiuni cu PD ca clarificarea (actualizarea, modificarea) informațiilor care conțin date cu caracter personal. În sensul legii, procesul de colectare a informațiilor include și proceduri de stocare și acumulare a informațiilor, care în sine nu permit utilizarea unui astfel de concept ca „colectare primară”. Astfel, legea impune operatorului obligația, la prelucrarea datelor cu caracter personal colectate prin sistematizare, acumulare, stocare, clarificare, extragere, de a utiliza baze de date situate pe teritoriul Federației Ruse.

În conformitate cu prevederile clauzei 7 din partea 4 a articolului 16 din Legea federală nr. 149-FZ din 27 iulie 2006 „Cu privire la informații, tehnologii informaționale și protecția informațiilor”, proprietarul informațiilor, operatorul sistemului informatic, în cazurile stabilite de legislația Federației Ruse, sunt obligați să asigure amplasarea pe teritoriul Federației Ruse a bazelor de date de informații, care sunt utilizate pentru colectarea, înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), extragerea datele personale ale cetățenilor Federației Ruse.

Ținând cont și de prevederile părții 5 a articolului 18 din Legea federală nr. 152-FZ din 27 iulie 2006 „Cu privire la datele cu caracter personal” (în vigoare de la 1 septembrie 2015), stabilindu-se că la colectarea datelor cu caracter personal, inclusiv prin informații rețeaua de telecomunicații Internet, operatorul este obligat să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), extragerea datelor personale ale cetățenilor Federației Ruse folosind baze de date situate pe teritoriul Federației Ruse, considerăm că prelucrarea datelor cu caracter personal ale cetățenilor Federației Ruse pe teritoriul altui stat poate fi efectuată exclusiv în cazurile prevăzute la alineatele 2, 3, 4, 8 din partea 1 a articolului 6 din Legea federală „Cu privire la personal”. Date”, pentru care există o excepție în partea 5 a articolului 18 din 152-FZ. De asemenea, trebuie avut în vedere faptul că nu există diviziuni legale în baza de date cu caracter personal „principală” și „copia acesteia”. În ambele cazuri, vorbim de o bază de date cu care sunt prelucrate datele personale. În același timp, Legea federală nu conține indicii privind interzicerea generală a prelucrării datelor cu caracter personal ale cetățenilor Federației Ruse care utilizează baze de date care nu sunt situate pe teritoriul Federației Ruse.

În acest sens, considerăm că prelucrarea datelor cu caracter personal ale cetățenilor Federației Ruse prin colectarea, înregistrarea, sistematizarea, acumularea, stocarea, clarificarea, extragerea poate fi efectuată folosind baze de date care nu sunt situate pe teritoriul Federației Ruse. in urmatoarele cazuri:

  • dacă o astfel de activitate se încadrează în cazurile prevăzute la alineatele 2-4, 8 din partea 1 a articolului 6 din 152-FZ;
  • dacă o astfel de activitate nu se încadrează în cazurile prevăzute la alineatele 2-4, 8 din partea 1 a articolului 6 din 152-FZ, iar pe teritoriul Federației Ruse există baze de date utilizate pentru o astfel de prelucrare a datelor cu caracter personal care conțin o cantitate mai mare de date cu caracter personal sau egală cu cea situată în afara teritoriului Federației Ruse (în acest caz, este inacceptabil să se găsească date cu caracter personal în afara teritoriului Federației Ruse care nu se află simultan pe teritoriul Federației Ruse).

Transferul transfrontalier de date cu caracter personal nu este interzis, sub rezerva respectării cerințelor stabilite la articolul 12 din Legea federală nr. 152-FZ. Totodată, transferul transfrontalier de date trebuie să aibă un scop prestabilit de prelucrare, la atingerea căruia subiectului datelor cu caracter personal trebuie garantată distrugerea datelor transferate pe teritoriul unui stat străin. Dacă aceste cerințe sunt îndeplinite, răspunderea conform Legislația rusă, este aplicabil operatorului in cazul incalcarii procedurii si conditiilor stabilite pentru contractul de comision.

În conformitate cu prevederile paragrafului 2 al articolului 3 din Legea federală „Cu privire la datele cu caracter personal”, operatorul este un organism de stat, un organism municipal, o persoană juridică sau o persoană fizică, independent sau împreună cu alte persoane care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determinarea scopurilor prelucrării datelor cu caracter personal, componența datelor cu caracter personal care urmează a fi prelucrate, acțiunile (operațiunile) efectuate cu datele personale. Astfel, prevederile Legii federale nr. 242-FZ se aplică tuturor entităților de mai sus. Legea federală adoptată nu obligă distribuirea părții 5 a articolului 18 din 152-FZ numai către operatorii în care prelucrarea datelor cu caracter personal este activitatea lor principală sau către operatorii care prelucrează date cu caracter personal numai utilizând rețelele de informații și telecomunicații.

În conformitate cu prevederile paragrafului 2 al articolului 3 din Legea federală „Cu privire la datele cu caracter personal”, operatorul este un organism de stat, un organism municipal, o persoană juridică sau o persoană fizică, independent sau împreună cu alte persoane care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determinarea scopurilor prelucrării datelor cu caracter personal, componența datelor cu caracter personal care urmează a fi prelucrate, acțiunile (operațiunile) efectuate cu datele personale. Astfel, prevederile Legii federale nr. 242-FZ se aplică tuturor entităților de mai sus. Legea federală adoptată nu obligă distribuirea părții 5 a articolului 18 din 152-FZ numai către operatorii în care prelucrarea datelor cu caracter personal este activitatea lor principală sau către operatorii care prelucrează date cu caracter personal numai utilizând rețelele de informații și telecomunicații. Planurile existente pentru activități legislative nu prevăd elaborarea unui proiect de lege federală care să corecteze această prevedere.

Cerințele legii de mai sus se aplică, printre altele, prelucrării de către operator a datelor cu caracter personal obținute în urma colectării, respectiv înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), extragerea.

Înțelegerea este corectă. 152-FZ nu dezvăluie termenul „utilizarea datelor cu caracter personal”. În sensul interpretării, „utilizarea datelor cu caracter personal” poate fi înțeleasă ca acțiuni cu date cu caracter personal care nu au legătură cu alte forme de prelucrare a datelor cu caracter personal, inclusiv luarea deciziilor pe baza datelor cu caracter personal, pentru implementarea cărora au fost colectate date cu caracter personal. (scopul colectării datelor cu caracter personal trebuie să respecte scopurile utilizării datelor cu caracter personal).

Conceptul de „operator” este cuprins în articolul 3 din Legea nr. 152-FZ, care se referă la un organ de stat, organ municipal, persoană juridică sau persoană fizică, independent sau în comun cu alte persoane care organizează și (sau) prelucrează date cu caracter personal, ca precum și determinarea scopurilor prelucrării datelor cu caracter personal.date, componența datelor cu caracter personal care urmează a fi prelucrate, acțiuni (operațiuni) efectuate cu datele personale. Ținând cont că articolul 3 din Legea nr. 152-FZ nu conține excepții cu privire la punerea în aplicare de către o persoană operațiuni individuale privind prelucrarea datelor cu caracter personal, precum și alte definiții care diferă de operator, persoana care determină scopul prelucrării datelor cu caracter personal, sau realizează anumite acțiuni de prelucrare a datelor cu caracter personal în contextul prevederilor Legii nr. 152-FZ, este operatorul care efectuează prelucrarea datelor cu caracter personal.

- Chiar nu este necesar să re-sau notificarea suplimentară a prelucrării datelor cu caracter personal după 1 septembrie 2015. Trebuie să spun suplimentar unde se află bazele de date?

Nu există conceptul de notificare „repetată” sau „suplimentară”. Articolul 22 din Legea federală „Cu privire la datele cu caracter personal” stabilește obligația operatorului de a trimite o notificare înainte de prelucrarea datelor cu caracter personal. Partea 2 a acestui articol conține o serie de excepții atunci când o astfel de notificare nu este necesară. Legea federală nr. 242-FZ este modificată în partea 3, care definește cerințele pentru conținutul anunțului. Dacă o organizație a trimis anterior o notificare către Roskomnadzor cu privire la prelucrarea datelor cu caracter personal, atunci după intrarea în vigoare a legii, operatorii, îndrumați de partea 7 a acestui articol, trebuie să furnizeze informații despre locația bazei de date în termen de zece zile lucrătoare. .

- Colectarea inițială a datelor cu caracter personal pe hârtie cu intrarea ulterioară a acestora într-o bază de date electronică se încadrează în cerințele părții 5 a articolului 18 din Legea federală nr. 152-FZ?

În conformitate cu cerințele părții 5 a articolului 18 din Legea federală nr. 152-FZ, la colectarea datelor cu caracter personal, inclusiv prin intermediul rețelei de informații și telecomunicații „Internet”, operatorul este obligat să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificare (actualizare, modificare), preluare a datelor cu caracter personal cetățeni ai Federației Ruse folosind baze de date situate pe teritoriul Federației Ruse, cu excepția cazurilor specificate la alineatele 2, 3, 4, 8 din partea 1 a articolului 6 din prezentul regulament federal. Lege. Un principiu fundamental al legislației privind datele cu caracter personal este principiul conform căruia prelucrarea datelor cu caracter personal ar trebui limitată la realizarea unor scopuri specifice, predeterminate și legitime. În acest sens, introducerea datelor cu caracter personal în sistemul informatic de date cu caracter personal utilizat în scopuri similare cu colectarea datelor privind suport de hârtie, ar trebui să fie considerat un proces unic, a cărui implementare trebuie efectuată în strictă conformitate cu cerințele părții 5 a articolului 18 din Legea federală nr. 152-FZ. Împărțirea acestui proces unic în acțiuni separate nu este prevăzută de legislația Federației Ruse în domeniul datelor cu caracter personal. În acest fel, anumite tipuri prelucrarea datelor cu caracter personal prevăzută de partea 5 a articolului 18 din Legea federală nr. 152-FZ, inclusiv colectarea datelor cu caracter personal pe hârtie cu intrarea ulterioară a acestora într-o bază de date electronică, ar trebui să fie efectuată ca un proces unic în domeniul juridic a normei legislative care obligă să păstreze datele cu caracter personal pe teritoriul Federației Ruse.

infrastructura cloud este o soluție de la Integrus Group, care oferă afacerilor moderne o infrastructură IT gata făcută, fără a implica resurse materiale și umane semnificative.

Integrus oferă servicii de protecție și stocare a datelor cu caracter personal pentru clienții corporativi din Rusia. Contactându-ne, puteți fi complet sigur că aveți la dispoziție un sistem sigur și fiabil și că respectați în totalitate cerințele legii.

Pentru cine sunt potrivite serviciile noastre

Prețuri pentru stocarea datelor personale pe un server securizat din Sankt Petersburg

Plan tarifar Preț pentru închirierea unui server ISPD cu certificat, rub./lună **
Prețul închirierii unui server ISPD fără certificat, ruble / lună
ISPDn-1 5Gb 4 990 2 490
ISPDn-2 50Gb 9 990 4 990
ISPDn-3 100Gb 19 990 9 990
ISPDn-4 200Gb 29 990 14 990
ISPDn-5 400Gb 39 990 19 990
Configurați plata * 10 000

* - Pe langa costul unui server virtual securizat in cadrul planului tarifar, la comandarea primului server in ISPD se percepe o taxa de instalare in

în valoare de 10.000 de ruble.

** - Costul unui server ISPD securizat cu un pachet de documente și o procedură de atestare la locul de muncă.

Vânzarea unei infrastructuri securizate pentru stocarea și prelucrarea datelor cu caracter personal conform planurilor tarifare prezentate se realizează din termen minim- 1 an.

Exemple de lucru

Am finalizat cu succes un proiect de transfer în cloud a datelor personale ale studenților Institutului din Moscova. Au fost emise certificate ale locului de muncă, canalului de comunicare și serverului cloud. A fost creată o bază de date non-standard, ocupând 5 GB pe un server securizat.

Certificatele noastre

  • Ce este inclus în serviciile noastre de stocare a datelor cu caracter personal

    • Organizăm prelucrarea și stocarea informațiilor într-un centru extern de prelucrare a datelor (DPC), vă punem la dispoziție o mașină virtuală protejată în conformitate cu cerințele Legii federale privind protecția datelor cu caracter personal nr. 152-FZ.
    • Implementam normele legale, organizatorice si tehnice ale legii.
    • Întocmim și oferim organizației dumneavoastră un set complet de documente solicitate (ținând cont de specificul tipului dvs. de activitate), inclusiv un certificat de conformitate cu cerințele de siguranță
    • Nu trebuie să încheiați un acord cu subiecții prin care informațiile lor personale vor fi transferate pentru procesare către un centru de date extern.

    Merită menționat două nuanțe:

    • Perioada minimă pentru un server este de 6 luni. Dacă păstrați 5 GB, atunci prețul va fi de 4990 de ruble pe lună. Dacă mai aveți nevoie de mai mult, atunci aveți nevoie de următorul tarif: 50 GB și 9990 de ruble. pe luna.
    • Costul plății de instalare în valoare de 10.000 de ruble. este valabil pentru un set standard de documente, în cazul dumneavoastră este „Platforma de învățare la distanță”, nu este standard la noi și poate fi necesară o dezvoltare individuală a unui pachet de documentație. Costul dezvoltării unei configurații non-standard este de +15.000 de ruble. Acest lucru se face o singură dată.

    Pentru a înțelege dacă va fi nevoie de dezvoltare individuală, avem nevoie scurta descriere serviciu (care bază de date și unde este stocată (MySQL; SQL, etc.)) care va fi găzduit pe serverul ISPD. Acestea. algoritm de operare a serviciului, cine este subiectul PD în serviciu, cine și cum are acces la serviciu.

    Cum functioneaza

    Orice întreprindere utilizează acum în activitatea sa sisteme informatice care prelucrează date cu caracter personal (PD). De exemplu, acestea sunt SI contabile, financiare, de personal și altele. Prelucrarea, conform legii, înseamnă colectarea, înregistrarea, sistematizarea, stocarea, clarificarea, utilizarea, transferul, ștergerea și alte operațiuni cu aceste informații.

    În consecință, mai devreme sau mai târziu se pune problema de a-și aduce munca în conformitate cu Legea federală „Cu privire la datele cu caracter personal” și de a obține dovezi documentare ale acestei conformări.

    Este destul de dificil să îndepliniți toate cerințele pentru stocarea datelor cu caracter personal pe cont propriu și fără experiența necesară, acest lucru poate duce la pierderi inutile de timp și resurse. Prin urmare, oferim serviciile specialiștilor noștri. Ei au rezolvat deja problemele de organizare a stocării și transferului de date cu caracter personal de mai multe ori și sunt bine conștienți de „capcanele”.

    Stocarea datelor personale pe un server de centru de date: avantajele abordării

    Pentru a construi un sistem de securitate complet sisteme de informare date cu caracter personal (ISPD) la întreprindere, este necesar să se efectueze un studiu înainte de proiect al ISDN, să se dezvolte un model de amenințări de securitate, să se creeze un concept și apoi să se proiecteze un sistem pentru protejarea ISDN, să se livreze, să se implementeze, să se dezvolte certificare metode, efectuează verificarea și eliberează un certificat de conformitate.

    Dacă organizați stocarea datelor personale ale clienților într-o infrastructură virtuală certificată situată într-un centru de date extern, atunci implementarea tuturor acestor lucrări este simplificată și se reduce la aprobarea documentelor standard preelaborate, iar costurile corespunzătoare sunt semnificativ redus. În plus, stocarea datelor într-un centru de date de încredere și modern asigură că informațiile dvs. sunt întotdeauna la dispoziție, complete și protejate împotriva pierderii.

    Cu toate acestea, dacă transferați PD într-un centru de date extern, atunci, de regulă, apar o serie de dificultăți. Deci, de exemplu, conform Legii federale nr. 152-FZ „Cu privire la datele cu caracter personal” (articolul 7 și părțile 3-5 ale articolului 6), care determină procedura de stocare a datelor cu caracter personal în Rusia, un operator trebuie să încredințeze prelucrarea PD către un centru de date terță parte , este necesar să obțineți consimțământul fiecărui subiect pentru colectarea și stocarea datelor cu caracter personal, care conține o listă de date și acțiuni permise cu acestea, obiective, termene limită și există o semnătură scrisă de mână a fiecărui subiect (de fapt, să încheiem un acord cu clientul pentru depozitare Informații personale).

    Fig.1. Schema clasică: organizația operatorului trimite PD pentru procesare către un centru de date extern, transferând toate preocupările privind asigurarea securității acestor date către operatorul centrului de date.

    Organizația operatorului PD cu o schemă atât de clasică de lucru cu un centru de date se confruntă cu inconveniente și limitări semnificative în activitatea sa:

    • Toate problemele organizatorice și juridice ale prelucrării datelor rămân relevante: este necesar să se emită un regulament privind datele cu caracter personal, să se rezolve temeiuri legale pentru prelucrarea datelor cu caracter personal și pentru transferul datelor cu caracter personal către terți (inclusiv centrul de date).
    • În virtutea articolului 7 și a părților 3-5 ale articolului 6 din Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal”, apare o obligație de a obține consimțământul pentru transferul datelor cu caracter personal pentru prelucrare către centrul de date de la fiecare subiect de date. Mai mult, un astfel de consimțământ trebuie emis în conformitate cu cerințele articolului 9 din legea federală menționată, i.e. conțin, printre altele, scopurile prelucrării, o listă completă a datelor cu caracter personal, o listă completă a acțiunilor cu date personale pentru care este dat consimțământul, perioada de valabilitate a consimțământului și semnătură de mână subiectul datelor cu caracter personal sau analogul electronic al acestora.Și, de obicei, obținerea unui astfel de consimțământ provoacă dificultăți organizației operatorului.

    Pentru a evita aceste dificultăți, oferim următoarea tehnologie de lucru:

    • Cu ajutorul instrumentelor de protecție criptografică certificate, PD transmise prin canalele de comunicare sunt protejate de furnizorul de servicii de comunicații.
    • În mod similar, ne propunem să protejăm datele cu caracter personal și, la prelucrarea într-un centru de date, să folosim mijloace protectia informatiilor, excluzând absolut orice posibilitate tehnică de acces de către angajații centrului de date. Pentru a face acest lucru, implementăm una sau mai multe mașini virtuale, fiecare dintre acestea fiind un obiect complet izolat, orice acces la care de la furnizorul de găzduire este blocat. Acest lucru se realizează atât prin funcțiile hipervizorului, cât și prin intermediul protecției împotriva accesului neautorizat. În viitor, puteți lucra cu o astfel de mașină virtuală securizată închiriată de la un loc de muncă de la biroul clientului folosind un terminal la distanță („Remote Desktop”, terminal VNC sau terminal SSH).

    Astfel, nici furnizorul, nici centrul de date nu pot stabili în vreun fel subiectul datelor personale, să determine cantitatea de informații din mașina virtuală a clientului, prezența oricăror informații confidențiale. Prin urmare, o astfel de muncă cu PD într-o mașină virtuală izolată nu poate fi considerată un transfer de PD către operatorul centrului de date sau o instrucțiune de procesare a PD, care scutește clientul de nevoia de a obține consimțământul subiecților.

    Un exemplu de organizare a transferului și procesării datelor cu caracter personal prin canale de comunicare securizate

    Iată un mic caz care ilustrează această tehnologie folosind exemplul unui operator de date cu caracter personal, format teritorial dintr-un birou central și sucursale.

    Fig.2. Organizația transferă date personale prin canale deschise

    ISP transmite pachete IP care conțin date personale. Conform paragrafului 3 al articolului 3 din FZ-152, acest lucru este deja caz special prelucrarea datelor cu caracter personal. Deci, conform paragrafului 2 al articolului 3 din Legea federală-152, furnizorul de internet se transformă deja într-un operator PD. Și în conformitate cu cerințele articolului 6 și articolului 7 din FZ-152, organizația noastră imaginară care transmite PD prin canale deschise către acest caz este deja necesar să se obțină consimțământul subiecților datelor cu caracter personal pentru a-și transfera datele personale în text clar prin rețelele furnizorului. Iar furnizorul de internet, la rândul său, trebuie să ia toate măsurile organizatorice și tehnice necesare pentru a proteja aceste date.

    Totuși, dacă se iau măsuri de criptare a datelor (protecție criptografică) înainte de a fi transmise prin canalele de comunicare ale unui furnizor de internet, atunci din punct de vedere legal nu se va mai pune la iveală faptul de a transfera PD pentru prelucrare. pentru că conform paragrafului 1 al articolului 3 din Legea federală-152 „datele cu caracter personal sunt orice informație referitoare la o persoană fizică identificată sau identificabilă direct sau indirect (subiectul datelor cu caracter personal).”

    Figura 3 ilustrează faptul că furnizorului de servicii de comunicații nu i se furnizează informații care ar putea identifica direct sau indirect subiectul datelor cu caracter personal.

    Fig.3. Organizația transferă date personale prin canale securizate

    REZULTAT: Folosirea mijloacelor criptografice de protejare a datelor cu caracter personal înainte de transmiterea acestora prin canalele furnizorului permite, din punct de vedere legal, să se scape de faptul transferării lor în vederea prelucrării către acest furnizor.

    Protecția datelor cu caracter personal în timpul prelucrării într-o infrastructură virtuală

    În același mod, Integrus oferă să protejeze datele cu caracter personal utilizând canale securizate de transmisie a datelor atunci când le procesează în centre de date, stocări în cloud și găzduiri virtuale folosind mijloace speciale protectia informatiilor.

    Protecția va fi instalată și configurată în așa fel încât să excludă complet posibilitatea tehnică de acces de către angajații centrului de date (administratori, ingineri, operatori) la datele personale pe care organizația le va avea în centrul de date. O astfel de protecție se realizează în conformitate cu proiectul sistemului de protecție a datelor cu caracter personal folosind certificate FSTEC din Rusia instrumente de protecție a informațiilor (inclusiv hypervisorul mașinii virtuale și mijloace de protecție împotriva accesului neautorizat), precum și utilizarea instrumentelor de protecție a informațiilor criptografice certificate conform cerințelor Serviciului Federal de Securitate al Rusiei (în timpul transmiterii prin canale de comunicație și la procesarea într-un sistem virtual). infrastructură). O astfel de schemă este ilustrată în detaliu în Figura 4.

    Fig.4. Tehnologia de protecție PD în infrastructura virtuală.

    Protecția datelor cu caracter personal – servicii „Integrus” în sfera organizațională și juridică

    Pe lângă organizarea unui sistem de securitate, efectuăm toate lucrările organizatorice și juridice:

    • Lucrăm la temeiurile legale pentru prelucrarea datelor cu caracter personal, sarcinile, metodele și termenii acesteia.
    • Pregătim și publicăm un document care declară o politică în domeniul lucrului cu datele personale (regulamente privind stocarea, prelucrarea datelor cu caracter personal) și un set de documente organizatorice și administrative (acte de clasificare IP, instrucțiuni, reglementări și reviste).
    • Elaborăm notificări cu privire la prelucrarea datelor cu caracter personal care urmează să fie trimise către Roskomnadzor (dacă este necesar).

    Dacă doriți să obțineți un sistem informatic gata făcut, care să îndeplinească cerințele Legii privind stocarea datelor cu caracter personal și să îndeplinească toate standardele, doriți să lucrați cu datele personale fără probleme și să nu vă fie frică de pretențiile clienților, angajaților sau autorităților de reglementare, contactați specialiștii Integrus. Lăsați o solicitare prin formularul de feedback de pe site, sunați sau scrieți-ne și vom fi bucuroși să vă sfătuim cu privire la partea tehnică și juridică a problemei.

    • Unii numesc această lege o întoarcere la Cortina de Fier și o reflecție tardivă asupra schimbării spațiului informațional. Alții asociază cu aceasta consolidarea pozițiilor și dezvoltarea în continuare a capacităților companiilor IT autohtone. Autorii amendamentelor insistă că lege noua ajuta la protejarea drepturilor cetățeni rușiîn domeniul prelucrării și stocării datelor cu caracter personal. Pentru clarificări cu privire la ce vor avea de a face utilizatorii de afaceri și obișnuiți în viitorul apropiat, am apelat la managerul de proiect al companiei Global Office, Martynova Kristina.

    Astăzi, legile 242-FZ și 152-FZ sunt ascultate pe scară largă. În ultimele luni, acestea au devenit zone de durere acută în discuțiile oamenilor de afaceri, specialiștilor IT și simplilor muritori. Legea federală 242-FZ, adoptată în iulie anul acesta, a stabilit noi reguli pentru toți participanții implicați în prelucrarea și stocarea datelor cu caracter personal. Una dintre principalele inovații a afectat textul legii 152-FZ, ale cărei prevederi au fost completate cu cerința de la 1 ianuarie 2016 de a stoca datele personale ale rușilor pe servere situate în Federația Rusă:

    La colectarea datelor cu caracter personal, inclusiv prin intermediul rețelei de informații și telecomunicații „Internet”, operatorul este obligat să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), extragerea datelor cu caracter personal ale cetățenilor Federației Ruse folosind baze de date. situat pe teritoriul Federației Ruse.

    În același timp, orice acțiuni cu date pot fi interzise - până la afișarea pe ecranul unui computer, dacă bazele de date se află fizic în străinătate. Adevărat, până acum nici parlamentarii, nici Roskomnadzor nu au dat răspunsuri fără echivoc la întrebarea ce anume ar trebui înțeles ca extragerea datelor, sistematizarea lor și baza de date în sine.

    Și mai vag este conținutul noului termen „persoană care asigură prelucrarea informațiilor în rețeaua de informații și telecomunicații, inclusiv internetul, introdus în Legea 149-FZ”. Cine este eligibil pentru a primi acest statut și ce semne legale o astfel de față? Este posibil ca analiza zborurilor legislative să aibă loc deja pe faptul presupusei încălcări. În acest caz, clarificarea literei legii va ajuta practica de arbitraj. Dar din nou, nu este clar pe ce bază va începe proces- la cererea Roskomnadzor sau a oricărei alte persoane.

    Blocarea site-ului infractorului, adăugarea lui pe „lista neagră” a Roskomnadzor și dreptul utilizatorilor de a-și șterge datele personale prin hotărâre judecătorească - toate acestea cu greu pot fi considerate noutăți ale legii. De fapt, acesta este un mic „upgrade” al prevederilor legilor „Cu privire la datele cu caracter personal” și „Cu privire la informații”, care stabilesc destul de complet atât procedurile punitive (inclusiv formarea unui registru al contravenienților), cât și mecanismele. protectie judiciara cetăţenii.

    Despre datele personale

    Merită să aducem un omagiu clamorului public larg care s-a dezvăluit concomitent cu discuțiile oficiale ale legii. Utilizatorii care credeau anterior că datele personale sunt un nume complet, informații despre pașaport și un număr de telefon au primit în sfârșit o suflare de sobrietate și minte. S-a dovedit că abrevierea PD ascunde „orice informație care se referă direct sau indirect la o persoană fizică anume sau identificabilă (subiect al datelor cu caracter personal)” (clauza 1 al articolului 3 din 152-FZ). Acestea pot fi date de sănătate și informații despre tranzacțiile finalizate și corespondența în rețelele sociale și conturile înregistrate în magazinele online.

    Pentru companii, datele personale sunt o informație omniprezentă. De exemplu, pentru clienții Global Office care lucrează pe un server dedicat 1C: Enterprise. Managementul salarizării și al resurselor umane, problema datelor cu caracter personal se pune de fiecare dată când se întocmesc rapoarte, se calculează salariile și plățile de concediu, se calculează concediile medicale și se încasează impozite. Mai mult decât atât, documentele aparent inofensive create folosind produse software Microsoft Word, Excel, Power Point etc. pot intra sub incidența articolului noii legi, chiar dacă conținutul lor principal nu are nicio legătură cu expeditorul sau destinatarul. Cum este posibil acest lucru? Datorită metadatelor care pot fi stocate nu numai în documentul în sine, ci și în descrierea proprietăților acestuia: de exemplu, numele autorului, numele de utilizator, adresa poștală a ultimei persoane care a salvat documentul, antetele mesajelor E-mail etc. Același pericol ascuns este înregistrarea unui profil și trimiterea de scrisori prin Microsoft Outlook.

    Alături de datele personale ale angajaților, companiile trebuie să se ocupe de alte tipuri de informații confidențiale, care includ detalii despre companie, informații despre contrapărți etc. Conform legii, datele personale sunt unul dintre cele șase tipuri de informații. caracter confidențial(a se vedea Decretul președintelui Federației Ruse „Cu privire la aprobarea Listei de informații confidențiale”). Pentru comoditate, există un acord între noi și clienții noștri că toate informațiile stocate în produsele software 1C pe care le oferim sunt personale și, prin urmare, li se aplică proceduri de criptare, depersonalizare și alte mecanisme de protecție a datelor.

    Ce ar trebui să facă o afacere?

    Să vă construiți propriul centru de date și să dormiți bine este un lux tehnologic companii mari. Yandex a avut nevoie de aproximativ doi ani și chiar mai mulți bani pentru a construi prima fază a centrului de date. Soluția cea mai probabilă pentru majoritatea țăranilor mijlocii ruși este apelul la un centru de date care funcționează deja, care oferă servicii de colocare a serverelor.

    Un alt cale legală pentru a stabili un contact prietenesc cu noua lege – depersonalizarea datelor. Unii experți au mari speranțe în asta. Datele personale vor fi separate de subiect în așa fel încât să nu poată fi atribuite unei anumite persoane. Într-o astfel de formă „amorfă”, puteți face orice cu ele. Se presupune că legarea inversă a unei persoane va fi efectuată la returnarea datelor anonime pe teritoriul Federației Ruse. Astăzi, această tehnologie este folosită cu succes în medicină. Puteți anonimiza datele folosind soluții populare ERP și CRM produse de Microsoft, SAP sau Oracle.

    Pentru o altă portiță legea adoptată au spus avocații. Legislația actuală nu interzice trimiterea datelor în străinătate și duplicarea informațiilor. Teoretic, datele personale pot fi stocate pe teritoriul Rusiei și apoi pot fi trimise liber într-o formă duplicată pe servere străine.

    În mod formal, cerința de stocare a datelor pe serverele rusești permite și programe speciale(în Global Office este SecurityIP). Ele ascund adresa IP finală a serverului de lucru, astfel încât locația exactă a serverului nu poate fi determinată.

    Desigur, modificările în legea principală a datelor cu caracter personal creează dificultăți nu numai pentru comunitatea de afaceri, ci și pentru utilizatori. Și cu tăcerea persistentă a lui Roskomnadzor, răspunsurile la întrebările emergente rămân încă deschise. În birourile guvernamentale încă se discută modificări pentru amânarea intrării în vigoare a legii la 1 ianuarie 2015. Afacerile cer încă mai mult limbaj concret și mai puține fraze vagi de la parlamentari. Prima pe listă este înlocuirea definiției datelor cu caracter personal. Fără o înțelegere clară a tipurilor de informații care pot fi clasificate drept PD, cu greu este posibilă protejarea drepturilor cetățenilor, afirmate cu voce tare în noua lege.

    Procesul de prelucrare a datelor cu caracter personal ale oricărui cetățean este prevăzut în Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal”. Inițial această lege a fost adoptată la 27 iulie 2006, iar ulterior a fost supusă diferitelor modificări și completări.

    Legea „Cu privire la datele cu caracter personal” reglementează relațiile dintre stat, autorităţile municipale, persoane fizice și juridice din domeniul prelucrării și protecției informațiilor cu caracter personal, care se realizează cu ajutorul instrumentelor de automatizare sau fără acesta.

    Scopul prezentei legi este de a asigura protejarea libertăților și drepturilor cetățenilor prin metode legale în prelucrarea datelor lor personale, inclusiv inviolabilitatea. intimitate, secrete de familie și personale.

    Care organizație este supusă cerințelor Legii federale „Cu privire la datele cu caracter personal”?

    Orice organizație are posibilitatea de a nu-și reglementa acțiunile în conformitate cu capitolul 1 al articolului 2 din Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal” cu privire la prelucrarea datelor cu caracter personal, în astfel de cazuri:

    1. Prelucrarea datelor cu caracter personal de către persoane fizice exclusiv pentru nevoi personale și familiale, dacă drepturile persoanelor vizate nu sunt încălcate;
    2. Organizații de stocare, achiziție, contabilizare și utilizare a documentelor care conțin date cu caracter personal Fond de arhivă Federația Rusă și altele documente de arhivăîn conformitate cu legislația privind arhivarea din Federația Rusă;
    3. Prelucrarea datelor cu caracter personal la care se face referire la la momentul potrivit la informații care constituie secret de stat;
    4. Prevedere organisme autorizate informații despre activitățile instanțelor din Federația Rusă, în conformitate cu Legea federală din 22 decembrie 2008 N 262-FZ „Cu privire la asigurarea accesului la informații cu privire la activitățile instanțelor din Federația Rusă”.

    Atunci când o organizație nu se încadrează în punctele de mai sus, trebuie să respecte în mod necesar cerințele legii. Toate celelalte cazuri legate de colectarea, prelucrarea și stocarea datelor cu caracter personal sunt reglementate în conformitate cu Legea federală nr. 152 „Cu privire la datele cu caracter personal”. Aproape toate organizațiile se încadrează în aceste cerințe, deoarece aproape toate companiile într-un fel sau altul prelucrează datele personale ale angajaților lor sau ale altor persoane. Toate datele personale trebuie păstrate strict confidențiale.

    Pentru a risca pretenții de la proprietarii de date cu caracter personal și agentii guvernamentale a fost minimă, este necesară efectuarea unui set de lucrări care să justifice necesitatea prelucrării datelor cu caracter personal. De asemenea, este necesar să se respecte cerințele pentru asigurarea confidențialității atât în ​​prelucrările neautomatizate, cât și în cazul prelucrării datelor cu caracter personal în sistemele informaționale.

    Date personale - ce sunt?

    În capitolul 1, articolul 3 din Legea federală „cu privire la datele cu caracter personal” există o definiție a datelor cu caracter personal:

    - date cu caracter personal - orice informație referitoare la o persoană fizică direct sau indirect identificată sau identificabilă (subiectul datelor cu caracter personal).

    Acesta poate fi un prenume, prenume, patronim, adresa de reședință și e-mail, numere de contact, locul de reședință, religie, starea civilă, fotografii, informații despre rude și multe altele. Fiecare organizație care deține astfel de informații este obligată să protejeze sistemele informaționale în care urmează să fie stocate astfel de date.

    Colectarea, stocarea și prelucrarea datelor cu caracter personal

    Atunci când este necesar să se obțină date personale ale unui angajat sau altuia individual organizaţia are dreptul de a-l colecta direct de la subiect însuşi. În cazul în care informațiile pot fi obținute numai de la terți, atunci subiectul trebuie în mod obligatoriu notificat și, de asemenea, trebuie să își dea acordul scris pentru această procedură. La rândul său, operatorul este obligat să informeze cetățeanul cu privire la scopurile pe care acesta le urmărește atunci când primește și prelucrează datele sale personale.

    Tot ceea ce este legat de temeiul juridic al prelucrării informațiilor cu caracter personal este precizat în Capitolul 2, Articolul 6, Clauza 1 Nr. 152 din Legea federală „Cu privire la datele cu caracter personal”:

    1) prelucrarea datelor cu caracter personal se realizează cu acordul subiectului datelor cu caracter personal la prelucrarea datelor sale cu caracter personal;
    2) prelucrarea datelor cu caracter personal este necesară pentru atingerea scopurilor prevăzute de un tratat internațional al Federației Ruse sau de lege, pentru implementarea și îndeplinirea funcțiilor, atribuțiilor și atribuțiilor atribuite de legislația Federației Ruse operatorului; ;
    3) prelucrarea datelor cu caracter personal este necesară pentru înfăptuirea justiției, executarea act judiciar, un act al unui alt organism sau funcționar supus executării în conformitate cu legislația Federației Ruse privind proceduri de executare silita(denumită în continuare executarea unui act judiciar);
    4) prelucrarea datelor cu caracter personal este necesară pentru furnizarea de servicii de stat sau municipale în conformitate cu Legea federală din 27 iulie 2010 N 210-FZ „Cu privire la organizarea prestării de servicii de stat și municipale”, pentru a asigura furnizarea a unui astfel de serviciu, pentru a înregistra subiectul datelor cu caracter personal pe portal unic servicii de stat și municipale;
    5) prelucrarea datelor cu caracter personal este necesară pentru îndeplinirea unui acord la care subiectul datelor cu caracter personal este parte sau beneficiar sau garant, precum și pentru încheierea unui acord la inițiativa subiectului datelor cu caracter personal sau a unui acord în temeiul care subiectul datelor cu caracter personal va fi beneficiarul sau garantul;
    6) prelucrarea datelor cu caracter personal este necesară pentru a proteja viața, sănătatea sau alte interese vitale ale subiectului datelor cu caracter personal, dacă obținerea consimțământului subiectului datelor cu caracter personal este imposibilă;
    7) prelucrarea datelor cu caracter personal este necesară pentru exercitarea drepturilor și intereselor legitime ale operatorului sau ale terților sau pentru realizarea unor scopuri semnificative din punct de vedere social, cu condiția ca drepturile și libertățile subiectului datelor cu caracter personal să nu fie încălcate;
    8) prelucrarea datelor cu caracter personal este necesară pentru implementare activitate profesională jurnalist și/sau activitate juridică mass-media sau activitate științifică, literară sau de altă natură creativă, cu condiția ca aceasta să nu încalce drepturile și interesele legitime ale subiectului datelor cu caracter personal;
    9) prelucrarea datelor cu caracter personal se realizează în scopuri statistice sau alte scopuri de cercetare, cu excepția scopurilor specificate la articolul 15 din prezenta lege federală, sub rezerva depersonalizării obligatorii a datelor cu caracter personal;
    10) se efectuează prelucrarea datelor cu caracter personal, accesul unui număr nelimitat de persoane cărora le este furnizat de către subiectul datelor cu caracter personal sau la cererea acestuia (denumite în continuare date cu caracter personal făcute publice de către subiectul datelor cu caracter personal);
    11) se realizează prelucrarea datelor cu caracter personal care fac obiectul publicării sau dezvăluirii obligatorii în conformitate cu legea federală.

    Dacă o organizație prelucrează date cu caracter personal care sunt contrare paragrafelor de mai sus, atunci aceasta este o încălcare a legii federale.

    Organizația este obligată să asigure confidențialitatea datelor cu caracter personal disponibile în conformitate cu articolul 7 din Legea federală „Cu privire la datele cu caracter personal”. Excepție fac acele cazuri în care datele personale sunt anonimizate sau când sunt disponibile publicului.
    Articolul 8 prevede că pot exista surse publice de date cu caracter personal. Acestea pot conține numele de familie, prenumele, patronimul, țara și anul nașterii, adresa de domiciliu, numărul de telefon, informații despre profesia sau alte date personale ale subiectului, pe care acesta le furnizează cu acordul său scris. Acestea includ, de exemplu, directoare sau agende de adrese. Aceste informații pot fi lipsite de disponibilitate prin decizie a subiectului sau a organismelor autorizate de stat.

    Principii și condiții pentru prelucrarea datelor cu caracter personal

    În procesul de prelucrare a datelor cu caracter personal, fiecare organizație trebuie să adere la principiile care sunt enunțate în capitolul 2 al articolului 5 din Legea federală „Cu privire la datele cu caracter personal”:

    1. Prelucrarea datelor cu caracter personal trebuie efectuată pe o bază legală și echitabilă.
    2. Prelucrarea datelor cu caracter personal ar trebui să se limiteze la realizarea unor scopuri specifice, predeterminate și legitime. Nu este permisă prelucrarea datelor cu caracter personal care sunt incompatibile cu scopurile colectării datelor cu caracter personal.
    3. Nu este permisă combinarea bazelor de date care conțin date cu caracter personal, a căror prelucrare se efectuează în scopuri care sunt incompatibile între ele.
    4. Sunt supuse prelucrării numai datele cu caracter personal care îndeplinesc scopurile prelucrării lor.
    5. Conținutul și domeniul de aplicare al datelor cu caracter personal prelucrate trebuie să respecte scopurile declarate ale prelucrării. Datele cu caracter personal prelucrate nu trebuie să fie excesive în raport cu scopurile declarate ale prelucrării lor.
    6. La prelucrarea datelor cu caracter personal, acuratețea datelor cu caracter personal, suficiența acestora și în cazurile necesareși relevanța pentru scopurile prelucrării datelor cu caracter personal. Operatorul trebuie să ia măsurile necesare sau să se asigure că acestea sunt luate pentru eliminarea sau clarificarea datelor incomplete sau inexacte.
    7. Stocarea datelor cu caracter personal ar trebui să fie efectuată într-o formă care să permită determinarea subiectului datelor cu caracter personal, nu mai mult decât este cerut de scopurile prelucrării datelor cu caracter personal, dacă perioada de stocare a datelor cu caracter personal nu este stabilită de legea federală, un acord la care beneficiarul sau garantul este parte, în temeiul căruia subiectul sunt date cu caracter personal. Datele cu caracter personal prelucrate sunt supuse distrugerii sau depersonalizării la atingerea scopurilor prelucrării sau în cazul pierderii necesității de a atinge aceste obiective, cu excepția cazului în care legea federală prevede altfel.

    Condițiile pe care o organizație trebuie să le respecte în procesul de prelucrare a datelor cu caracter personal sunt prevăzute la articolul 6 din Legea federală „Cu privire la datele cu caracter personal” și constau în faptul că operatorul, atunci când prelucrează datele cu caracter personal ale subiectului, are dreptul de a prelucra ei numai cu acordul lui scris.
    Cu toate acestea, în unele cazuri, un astfel de consimțământ nu este necesar. Deci, de exemplu, dacă prelucrarea informațiilor cu caracter personal este efectuată în diverse scopuri științifice și statistice cu condiție prealabilă depersonalizarea datelor cu caracter personal. Sau atunci când prelucrarea datelor cu caracter personal este necesară pentru sănătatea, viața sau alte interese vitale ale subiectului acestor date.

    Obligațiile operatorului de date cu caracter personal

    Capitolul 4 al articolului 18 din Legea federală nr. 3.152 „Cu privire la datele cu caracter personal” conține informații complete despre care este responsabilitatea operatorului de date.
    Luand in considerare puncte cheie Acest articol de lege poate evidenția câteva dintre cele mai importante principii.

    Operatorul este obligat:

    – să prelucreze datele cu caracter personal în condițiile legii,
    — să aibă permisiunea proprietarului datelor cu caracter personal în cazurile prevăzute de lege,
    - asigurarea confidentialitatii,
    – răspunde la toate întrebările proprietarului cu privire la datele sale personale, din set termen statutar,
    – distruge datele cu caracter personal după ce au fost atinse termenele limită pentru prelucrarea acestora;
    - să informeze Departamentul Roskomnadzor cu privire la prelucrarea datelor cu caracter personal și la măsurile pe care le ia pentru a le proteja.

    Acest articol mai precizează că, dacă proprietarul datelor cu caracter personal refuză să furnizeze informații personale pe care este obligat să le furnizeze în conformitate cu legea federală, operatorul trebuie să explice proprietarului consecințele unui astfel de refuz.

    Activități independente ale organizațiilor în protecția datelor cu caracter personal

    Colectarea, prelucrarea și protecția datelor cu caracter personal în Federația Rusă este o activitate autorizată. Dezvoltarea metodelor de protecție a informațiilor personale este responsabilitatea FSB al Rusiei și a FSTEC din Rusia.
    Organizația, la rândul său, poate face doar o parte din această muncă. De exemplu, colectați informații. Restul lucrărilor necesită o licență pentru a funcționa protectie tehnica informații confidențiale, precum și instalarea de instrumente de protecție criptografică.

    Verificarea activităților de prelucrare a datelor cu caracter personal

    Organizația care verifică procesarea legală a datelor cu caracter personal se numește Serviciul Federal de Supraveghere în Sfera Comunicațiilor, tehnologia Informatieiși comunicațiile de masă (Roskomnadzor).
    Roskomnadzor efectuează controlul de stat și supravegherea conformității cu cerințele legislatia actuala in domeniu:
    - Mass-media, radiodifuziunea TVR și comunicațiile de masă - cerințele Legii Federației Ruse nr. 2124-1 din 27 decembrie 1991 „Cu privire la mijloacele de comunicare în masă”, precum și respectarea conditii de licenta,
    - comunicații - cerințele Legii federale nr. 126 din 7 iulie 2003 „Cu privire la comunicații”, precum și regulamentele, inclusiv valabilitatea licenței și utilizarea spectrului de frecvențe radio;
    - date personale - Legea federală din 27 iulie 2006 nr. 152 „Cu privire la datele cu caracter personal”.

    Temeiul legal pentru implementare controlul statuluiși supravegherea este Legea federală din 26 decembrie 2008 nr. 294 „Cu privire la protecția drepturilor persoanelor juridice și antreprenori individuali la exercitarea controlului de stat (supravegherea) și controlului municipal”.

    Roskomnadzor efectuează mai multe tipuri de inspecții:

    unu). Verificare programată.
    Acest audit poate fi efectuat în baza și în termenele exacte specificate în planul de audit întocmit de Roskomnadzor și aprobat de parchet. Conform paragrafului 4 al articolului 27 din Legea federală „Cu privire la comunicații”, Roskomnadzor are dreptul de a efectua acest tip de inspecție nu mai mult de o dată la 3 ani.
    Orice organizație implicată în prelucrarea datelor cu caracter personal poate fi inclusă în Planul de inspecție Roskomnadzor.
    Baza efectuării unei inspecții programate este faptul că prelucrarea datelor cu caracter personal de către operator a început, inclusiv trecerea a trei ani de la data înregistrare de stat ca operator de date cu caracter personal sau finalizarea unei inspecții programate în raport cu operatorul după trei ani de la inspecția programată anterioară.

    2). Verificare neprogramată.
    Motivele pentru acest tip de revizuire sunt:
    – verificarea executării ordinului de înlăturare a încălcării identificate, care a fost emis anterior,
    — depistarea încălcărilor cerințe obligatorii ca urmare a observației sistematice,
    - cererea procurorului de a conduce inspecție neprogramată pe baza materialelor primite și a contestațiilor la parchet de la cetățeni, întreprinzători individuali, persoane juridice, stat și administrația municipală,
    — încălcări drepturi legaleși interesele entităților constitutive ale Federației Ruse din cauza inacțiunii operatorilor implicați în prelucrarea datelor cu caracter personal,
    - un ordin al șefului serviciului, care este emis în conformitate cu instrucțiunile președintelui Federației Ruse sau ale Guvernului Federației Ruse.
    Verificarea se efectuează într-o perioadă de cel mult 20 de zile lucrătoare, dar în același timp, în caz de motive serioase, poate fi prelungită în baza unui ordin din partea șefului Departamentului Roskomnadzor pentru încă 20 de lucrări suplimentare. zile.
    În plus, activitățile de verificare pot fi efectuate prin una dintre următoarele metode:
    a) câmp, adică verificarea are loc la locul controlului.
    b) cerere documentară, scrisă a operatorului de a furniza documente necesareși informații. În cazul în care documentele nu au fost furnizate, iar furnizarea lor trebuie făcută prin lege fără greșeală, atunci aceasta atrage amendă. Dacă amenda administrativă nu a fost plătită, aceasta poate fi dublată.
    c) observarea sistematica, efectuata fara interactiune cu persoana verificata, si nu se cer documente si informatii de la persoana verificata. Specialiști-inspectori de stat Administrația Teritorială Roskomnadzor trage concluzii despre activitățile celor inspectați, pe baza acțiunilor sale în raport cu o gamă nedefinită de subiecți.

    Responsabilitatea pentru prelucrarea ilegală a datelor cu caracter personal

    Operatorul nu trebuie să permită colectarea, stocarea, utilizarea și difuzarea informațiilor referitoare la personal și viață de familie, corespondență secretă, mesaje telegrafice, poștale sau de altă natură, convorbiri telefonice, dacă nu hotărâre sau Bază legală pentru aceste actiuni.

    Operatorul nu are dreptul de a utiliza datele cu caracter personal în scopul de a provoca daune morale și materiale cetățenilor, precum și pentru a îngreuna exercitarea libertăților și drepturilor acestora. În plus, operatorul de date cu caracter personal nu are dreptul de a restricționa drepturile cetățenilor Federației Ruse, în timp ce utilizează informațiile lor personale referitoare la afilieri naționale, rasiale, religioase, lingvistice sau de partid.
    Persoanele fizice și juridice care, în conformitate cu competențele lor, dețin orice informații private despre cetățeni, le folosesc, încălcând Legea federală „Cu privire la datele cu caracter personal”, sunt răspunzătoare pentru acest act în conformitate cu legislația actuală a Federației Ruse.

    Persoanele care prin acțiunile lor au încălcat Legea federală „Cu privire la datele cu caracter personal” poartă răspundere civilă, administrativă, disciplinară, penală sau de altă natură prevăzută de legislația actuală a Federației Ruse.

    Codul de Încălcări administrative(CoAP):

    A) Articolul 13.11 Încălcare statutar procedura de colectare, stocare, utilizare sau diseminare a informațiilor despre cetățeni (date cu caracter personal). Acest articol presupune un avertisment sau impunerea unei amenzi administrative asupra:
    - cetățeni în valoare de 300-500 de ruble,
    - funcționari în valoare de 500-1000 de ruble,
    - persoane juridice în valoare de 5000-10000 de ruble.

    B) articolul 13.12 Încălcarea regulilor de protecție a informațiilor.
    Potrivit acestui articol, contravenienților li se aplică o amendă administrativă în valoare de 500 până la 30 de mii de ruble. În plus față de entitati legale se poate aplica confiscarea sau suspendarea administrativă a activităților pe o perioadă de 3 luni.
    C) articolul 13.14 Dezvăluirea informațiilor cu acces restricționat.
    În conformitate cu acest articol, este posibilă aplicarea unei amenzi administrative pentru:
    - cetățeni în valoare de 4 până la 5 mii de ruble.

    D) Articolul 19.5 Nerespectarea în termen a unei ordini legale (decret, prezentare, decizie) a organului (oficial) care desfășoară supravegherea statului(Control).
    Cei care încalcă acest articol se confruntă cu o amendă administrativă cuprinsă între 300 de ruble și 500 de mii de ruble sau descalificare pe o perioadă de până la 3 ani.

    Cod penal (CC).

    Articolul 137 Încălcarea vieții private.
    Acest articol prevede că pentru colectarea sau difuzarea ilegală a informațiilor despre viața privată a subiectului, care este secretul său de familie sau personal, fără consimțământul acestuia, sau difuzarea unor astfel de informații prin intermediul mass-media, este răspunzătoare sub forma
    - o amendă de până la 200 de mii de ruble sau într-o sumă egală cu salariile timp de 18 luni,
    lucrări obligatorii până la 360 de ore
    - munca corecțională de până la 1 an,
    muncă forțată pana la 2 ani
    – interdicția de a se angaja în anumite activități pe o perioadă de până la 3 ani,
    - Arestare până la 2 ani.

    Codul Muncii (TC).

    Articolul 90 Răspunderea pentru încălcarea regulilor care reglementează prelucrarea și protecția datelor cu caracter personal ale unui angajat.
    Acest articol prevede pedepse sub formă de concediere sau posibilitatea de pedeapsă în conformitate cu Codul penal al Federației Ruse.

    Cerințe pentru protecția datelor cu caracter personal

    În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, cerințele pentru protecția informațiilor cu caracter personal sunt considerate obligatorii. La prelucrarea datelor cu caracter personal, operatorul este obligat să ia măsurile legale, organizatorice și tehnice necesare sau să asigure adoptarea acestora pentru a proteja datele cu caracter personal de accesul neautorizat sau accidental la acestea, distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea datelor cu caracter personal, precum și din alte acțiuni ilegale privind datele personale.

    Se realizează asigurarea securității datelor cu caracter personal, în special:

    1) determinarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal;
    2) aplicarea măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informatice a datelor cu caracter personal necesare îndeplinirii cerințelor de protecție a datelor cu caracter personal, a căror îndeplinire asigură stabilit de Guvern Nivelurile Federației Ruse de protecție a datelor cu caracter personal;
    3) utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității în conformitate cu procedura stabilită;
    4) evaluarea eficacității măsurilor luate pentru asigurarea securității datelor cu caracter personal înainte de punerea în funcțiune a sistemului informațional de date cu caracter personal;
    5) luarea în considerare a mașinilor purtătoare de date cu caracter personal;
    6) detectarea faptelor de acces neautorizat la datele cu caracter personal și luarea de măsuri;
    7) recuperarea datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea;
    8) stabilirea regulilor de acces la datele cu caracter personal prelucrate în sistemul informatic al datelor cu caracter personal, precum și asigurarea înregistrării și contabilizării tuturor acțiunilor efectuate cu datele cu caracter personal în sistemul informatic al datelor cu caracter personal.

    Pentru a atinge obiectivele de mai sus, toate organizațiile care prelucrează date cu caracter personal trebuie să respecte următoarele cerințe:

    — să respecte cerințele Legii federale nr. 152 „Cu privire la datele cu caracter personal”, oferind în același timp toate dovezile necesare privind legalitatea colectării și prelucrării informațiilor cu caracter personal;
    — oferă protecție împotriva distribuirii neautorizate de date cu caracter personal;
    - elaborarea reglementărilor acte localeși documentație tehnică organizatorică pentru a asigura prelucrarea reglementată a datelor cu caracter personal,
    — se anunță Departamentul Roskomnadzor.

    Pentru a îndeplini aceste cerințe, trebuie să faceți următoarele:

    1. Efectuați un studiu al proceselor de colectare și prelucrare a informațiilor personale în companie. Și anume, în ce loc și sub ce formă sunt prelucrate, în ce loc sunt stocate, cine este responsabil pentru acest lucru și are acces la ele, care este sursa datelor cu caracter personal și întrebări similare. Este necesar să se colecteze informații complete despre toate procesele legate de datele personale.

    2. Este necesară elaborarea unui pachet de documente care se referă la procesul de prelucrare a datelor cu caracter personal și anume
    A. Actul de categorizare,
    B. Conceptul de creare a unui sistem de protecție a datelor cu caracter personal,
    B. Modelul de amenințare,
    D. Modelul intrus,
    D. Sarcina tehnică pentru a construi un sistem de protecție a datelor cu caracter personal,
    E. Proiectare tehnică ( notă explicativă proiect tehnic) pentru a construi un sistem de protecție a datelor cu caracter personal,
    G. Documentație organizatorică și administrativă.

    În general, numărul documentelor într-o organizație medie este de aproximativ 80 de bucăți, inclusiv registre și comenzi.

    3. Implementarea mijloacelor tehnice de protecție în organizație, conform documentației elaborate.

    4. Efectuați o evaluare a conformității sau o certificare a sistemelor informaționale.

    Certificarea și evaluarea sunt documente speciale stabilite, datorită cărora organizația are posibilitatea de a confirma că respectă toate cerințele legislației actuale a Federației Ruse.

    Baza dezvoltării documente aprobate operatorii de date cu caracter personal este Serviciul Federal pentru Tehnici și controlul exporturilor al Federației Ruse (FSTEC) și al Serviciului Federal de Securitate al Federației Ruse (FSB), care este specificat în reglementările lor documente metodologice si comenzi.

    Unul dintre aceste documente este:

    Ordin Serviciul Federal privind controlul tehnic și al exporturilor (FSTEC din Rusia) din 5 februarie 2010 nr. 58 „Cu privire la aprobarea regulamentelor privind metodele și modalitățile de protecție a informațiilor în sistemele de informații cu date cu caracter personal”.

    V aceasta comanda pentru toate organizațiile, astfel de metode și modalități de protejare a datelor cu caracter personal împotriva persoanelor neautorizate acces ca,
    — implementarea unui sistem permisiv de admitere a utilizatorilor ( personal de serviciu) la resursele informaţionale, sistemul informaţional şi lucrările conexe, documentele;
    - restricționarea accesului utilizatorilor la sediul în care se află mijloace tehnice care permit prelucrarea datelor cu caracter personal, precum și mediile de stocare;
    - delimitarea accesului utilizatorilor și personalului de întreținere la resursele informaționale, instrumentele software de prelucrare (transfer) și protejarea informațiilor;
    - înregistrarea acțiunilor utilizatorilor și personalului de întreținere, controlul accesului neautorizat și a acțiunilor utilizatorilor, personalului de întreținere și persoanelor neautorizate;
    - contabilizarea și depozitarea suporturilor amovibile, precum și circulația acestora, excluzând furtul, înlocuirea și distrugerea;
    - rezervare mijloace tehnice, duplicarea matricelor și a mediilor de stocare;
    utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității în modul prescris;
    — utilizarea canalelor de comunicații securizate;
    - plasarea de mijloace tehnice care permit prelucrarea datelor cu caracter personal in cadrul ariei protejate;
    - organizarea protectiei fizice a spatiilor si a mijloacelor tehnice propriu-zise, ​​care sa permita prelucrarea datelor cu caracter personal;
    — prevenirea introducerii de programe rău intenționate (programe virus) și marcaje de software în sistemele informaționale.

    Principalele metode și mijloace de protejare a datelor împotriva accesului neautorizat în cazul interacțiunii între rețelele de informații și telecomunicații ale sistemelor internaționale de schimb de informații și informații includ:

    — firewalling pentru controlul accesului, filtrarea pachetelor de rețea și traducerea adreselor de rețea pentru a ascunde structura sistemului informațional;
    - detectarea intruziunilor în sistemul informatic care încalcă sau creează precondiții pentru încălcarea cerințelor stabilite pentru asigurarea securității datelor cu caracter personal;
    — analiza de securitate a sistemelor informatice, care implică utilizarea unor instrumente software specializate (scanere de securitate);
    - protectia informatiilor in timpul transmiterii acesteia prin canale de comunicatie;
    - utilizarea cardurilor inteligente, încuietorilor electronice și a altor suporturi de informații pentru identificarea și autentificarea fiabilă a utilizatorilor;
    - utilizarea protecției antivirus;
    gestionarea centralizată a sistemului de protecție a datelor cu caracter personal al sistemului informațional;
    — filtrarea pachetelor de rețea de intrare (ieșire) conform regulilor stabilite de operator ( persoană autorizată);
    — analiza periodică a securității firewall-urilor instalate bazată pe imitarea atacurilor externe asupra sistemelor informaționale;
    — audit de securitate activ al sistemului informatic pentru detectarea în timp real a activității neautorizate în rețea;
    - analiza informațiilor primite prin intermediul rețelelor de informații și telecomunicații de schimb internațional de informații (rețele publice de comunicații), inclusiv pentru prezența virușilor informatici;
    — utilizarea atributelor de securitate;
    - crearea unui canal de comunicare care să asigure protecția informațiilor transmise;
    - implementarea autentificarii sistemelor informatice care interactioneaza si verificarea autentificarii utilizatorilor si a integritatii datelor transmise.

    V Cerințe suplimentare pentru organizații incluse:

    - crearea unui canal de comunicare care să asigure protecția informațiilor transmise;
    - autentificarea sistemelor informatice care interacționează și verificarea autentificării utilizatorilor și a integrității datelor transmise;
    — asigurarea prevenirii posibilității utilizatorului de a nega faptul de a trimite date cu caracter personal către alt utilizator;
    - asigurarea faptului ca utilizatorul nu neaga faptul de a primi date personale de la un alt utilizator.

    Etichete: PDN 152-FZ


    © 2022 egoist24.ru Sisteme de plată. Credit ipotecar. Băncile. Bani Yandex. webmoney. Informatii generale.