Spracovanie a uchovávanie osobných údajov v Ruskej federácii. Osobné údaje ruských občanov a serverov v cudzích krajinách

Terminológia skladovania osobné údaje vznikla neskôr.

V roku 2001 v Zákonníka práce V Rusku sa objavila kapitola 14 venovaná zamestnancom a o 15 rokov neskôr vláda konečne vytvorila podmienky na zaobchádzanie s dôvernými informáciami.

Ukladanie informácií sa týka spôsobu, akým sú distribuované v čase a priestore. pomocou špecifického média. Hlavnou podmienkou a účelom uchovávania údajov je poskytovanie trvalého prístupu k nim alebo prístupu na požiadanie.

Dátové úložisko je neoddeliteľnou súčasťou spracovávanie informácií. Keď občan dáva, ide o zhromažďovanie, zhromažďovanie, objasňovanie, extrahovanie, aktualizáciu a uchovávanie informácií.

Kde sa môže skladovať na území Ruskej federácie?

Každý operátor by mal mať zásady ochrany osobných údajov vrátane nasledujúcich položiek:

Elektronické

Osobné informácie sú klasifikované ako dôverné, a preto musia byť chránené. Pre všetky operácie s takýmito výpismi, vrátane uloženia, sa používajú (ISPD).

V Rusku sa zvyčajne delia do štyroch kategórií v závislosti od dôležitosti a objemu informácií.

  • Kategória 1. Typický informačný systém osobných údajov s výpismi pre viac ako 100 tisíc subjektov. Obsahuje informácie o rase, národnosti, politických názoroch, náboženstve, intímnom živote a iné vyjadrenia, ktorých šírenie bude mať prehľadný Negatívny vplyv na životoch jednotlivcov.
  • Kategória 2. Systém obsahuje osobné výpisy, ktorých zverejnenie umožní tretím stranám získať dodatočné výpisy o fyzickej osobe, s výnimkou údajov týkajúcich sa prvej kategórie.
  • Kategória 3. Systém s osobnými informáciami, ktorý umožňuje identifikovať jednotlivca.
  • Kategória 4. Poskytuje úložisko, ktorého zverejnenie nebude mať negatívny vplyv.

Proces ukladania sa začína vytvorením takéhoto systému a jeho overením ruskými vládnymi agentúrami. Potom musí prevádzkovateľ zabezpečiť všetky požiadavky na technickú ochranu priestorov, súlad systému sa kontroluje podľa:

  1. požiadavky požiarnej bezpečnosti;
  2. ochrana;
  3. elektrická energia;
  4. uzemnenie;
  5. hygienické požiadavky.

Posledným bodom je atestácia alebo certifikácia ISPD. Ak je ISPD pripravený, spoločnosť sa bude musieť zaregistrovať právny základ všetky procesy s osobnými údajmi, ktoré sa objavia na stránke pred zadaním vyhlásení o používateľovi do formulára.

Môže sa nazývať akokoľvek, napríklad „Zásady spracovania osobných údajov“ alebo „Súhlas s uchovávaním osobných údajov“.

Hlavná vec je, že sa s ním klient môže zoznámiť a kliknúť na „zaškrtnutie“, čím vyjadruje súhlas s poskytnutím informácií prevádzkovateľovi. Celý proces uchovávania takýchto informácií je regulovaný legislatívne akty o dôverných údajoch.

Je zakázané prenášať ich na tretiu osobu, ako aj použitie na účely, ktoré neboli pôvodne uvedené.

Pre operátorov pracujúcich s elektronickými médiami bude pokyn vyzerať takto:

  1. Prístup k údajom musí byť obmedzený.
  2. Prenášajte informácie cez šifrované kanály.
  3. mať .
  4. Uchovávajte záznamy o fyzických médiách, ak existujú.
  5. Zabráňte úniku.
  6. Oddelene uchovávajte informácie, ktoré sa spracúvajú rôzne účely.
  7. informácie po spracovaní po 30 dňoch skladovania (požadované) alebo po šiestich mesiacoch (v celkom určite).

Spoločnosti môžu zverejňovať údaje, ako uznajú za vhodné. vrátane moderných cloudov.

Štát jasne upravuje procesy uchovávania PD, všetci prevádzkovatelia takýchto informácií musia prejsť sériou kontrol a preukázať svoju informačnú schopnosť. V prípade neoprávneného rozširovania alebo prístupu k údajom nesie prevádzkovateľ občianskoprávnu, hmotnú a dokonca aj trestnoprávnu zodpovednosť.

Občianstvo

Ako vyplýva z ustanovení časti 2 a 3 článku 105 zákona o ovzduší Ruská federácia, zmluva o leteckej preprave cestujúcich, zmluva o leteckej preprave tovaru alebo zmluva o leteckej preprave pošty sa osvedčuje letenkou a potvrdením o batožine, ak ide o prepravu batožiny cestujúcim nákladný list, poštový lístok; môže byť vystavená letenka, kontrola batožiny, iné doklady používané pri poskytovaní služieb leteckej dopravy pre cestujúcich v elektronickom formáte(elektronický prepravný doklad) s umiestnením informácie o podmienkach zmluvy o leteckej preprave v automatizovanom informačnom systéme na vydávanie leteckej prepravy. Za účelom implementácie vyššie uvedených ustanovení zákona sú leteckí dopravcovia povinní spracúvať osobné údaje cestujúcich za účelom vyhotovenia dokladov osvedčujúcich uzavretie zmluvy o leteckej preprave.

V súlade s čl. 85.1 Leteckého zákonníka Ruskej federácie, aby sa zabezpečilo bezpečnostná ochrana letectva dopravcovia zabezpečujú prenos osobných údajov cestujúcich lietadiel do automatizovaných centralizovaných databáz osobných údajov cestujúcich v súlade s právnymi predpismi Ruskej federácie o bezpečnosti dopravy a právnymi predpismi Ruskej federácie v oblasti osobných údajov, v medzinárodnej leteckej preprave aj oprávneným orgánom cudzích štátov v súlade s medzinárodnými zmluvami Ruskej federácie alebo právnymi predpismi cudzích štátov odoslania, určenia alebo tranzitu v rozsahu ustanovenom právnymi predpismi Ruskej federácie, ak medzinárodné zmluvy Ruskej federácie neustanovujú inak. federácie. Zároveň treba mať na pamäti, že Ruská federácia je zmluvnou stranou viacerých medzinárodné dohovory najmä v oblasti leteckej dopravy, Chicagsky dohovor („Dohovor o medzinárodnom civilné letectvo” bola uzavretá v Chicagu 7. decembra 1944, pre Ruskú federáciu nadobudla platnosť 16. augusta 2005 - „Zbierka zákonov Ruskej federácie“, 30.10.2006, č. 44), Varšavský dohovor ( „Dohovor o zjednotení niektorých pravidiel o medzinárodnej leteckej preprave“ uzavretý vo Varšave 12. októbra 1929, pre ZSSR nadobudol platnosť 13. februára 1933, Zb. existujúce dohody, dohody a dohovory uzatvorené ZSSR s cudzími štátmi, zv. VIII, - M., 1935, s. 326 - 339.) a Gualadajarský dohovor ( "Doplnkový dohovor k Varšavskému dohovoru o zjednotení niektorých pravidiel týkajúcich sa medzinárodnej leteckej dopravy vykonávanej osobou, ktorá nie je podľa zmluvy dopravcom" bol uzavretý v Guadalajare 18. septembra 1961, pre ZSSR nadobudol platnosť 12. 21, 1983, "Vedomosti ozbrojených síl ZSSR", 15.02.1984, č.), ktoré sú tiež neoddeliteľnou súčasťou právna úpravačinnosti leteckých dopravcov a súvisiace informačné procesy.

Na základe vyššie uvedeného, ​​požiadavky h) 5 Článok. 18 federálneho zákona „o osobných údajoch“ sa nevzťahujú na činnosť ruských a zahraničných leteckých dopravcov, pokiaľ ide o zhromažďovanie a spracúvanie osobných údajov občanov-cestujúcich na účely rezervácie, vydávania a vydávania leteniek ( cestovné lístky), potvrdenia o batožine a iné prepravné dokumenty, keďže sa na ne vzťahuje výnimka ustanovená v odseku 2 prvej časti čl. 6 federálneho zákona „o osobných údajoch“.

Požiadavky h) 5 Článok. 18 spolkového zákona „o osobných údajoch“ sa nevzťahujú ani na činnosť osôb konajúcich v mene leteckého dopravcu (splnomocneného zástupcu), ktorých činnosť upravuje odsek 6 všeobecných pravidiel pre leteckú prepravu cestujúcich, Batožina, náklad a požiadavky na obsluhu cestujúcich, odosielateľov, príjemcov, schválené vyhláškou Ministerstva dopravy Ruska č. 82 z 28. júna 2007 „O schválení Federálnych leteckých pravidiel“ Všeobecné pravidlá letecká preprava cestujúcich, batožín, nákladu a požiadavky na obsluhu cestujúcich, odosielateľov, príjemcov“, ako aj iných osôb, pri spracúvaní osobných údajov občanov-cestujúcich výlučne na účely rezervácie, výdaja a výdaja leteniek (cestovných lístkov ), potvrdenia o batožine a iné prepravné doklady, a to aj v elektronickej forme pre vnútroštátne a medzinárodné lety, ak vyššie uvedené činnosti týchto osôb ustanovujú právne predpisy Ruskej federácie alebo príslušné medzinárodná zmluva, a to aj na účely zaistenia bezpečnosti letectva.

Ak spracúvanie osobných údajov spadá pod výnimky ustanovené v odsekoch 2, 3, 4, 8 odseku 1 článku 6 federálny zákon„O osobných údajoch“ sa neuplatňujú ustanovenia časti 5 článku 18 152-FZ. Príslušnú kvalifikáciu úkonov vykonávaných na spracúvanie osobných údajov a zabezpečenie ich súladu s požiadavkami zákona vykonáva prevádzkovateľ osobných údajov pri zabezpečovaní (organizácii poskytovania) takéhoto spracúvania. Správnosť uvedenej kvalifikácie a zabezpečenia spracovania v konkrétnej situácii kontroluje oprávnená osoba federálny orgán pri kontrolnej činnosti.

Tovary a služby

Zo súhrnu ustanovení časti 5 článku 18 spolkového zákona „o osobných údajoch“ („pri získavaní osobných údajov, a to aj prostredníctvom internetovej informačnej a telekomunikačnej siete, je prevádzkovateľ povinný zabezpečiť zaznamenávanie, systematizáciu, zhromažďovanie, uchovávanie , spresňovanie (aktualizácia, zmena), vyhľadávanie osobných údajov občanov Ruskej federácie pomocou databáz nachádzajúcich sa na území Ruskej federácie, okrem prípadov uvedených v odsekoch 2, 3, 4, 8 časti 1 článku 6 tohto federálny zákon) a odsek 2 časti 1 článku 6 federálneho zákona „o osobných údajoch“ („spracúvanie osobných údajov je nevyhnutné na dosiahnutie cieľov stanovených medzinárodnou zmluvou Ruskej federácie alebo zákonom, a plniť funkcie, právomoci a povinnosti pridelené prevádzkovateľovi právnymi predpismi Ruskej federácie“) vyplýva, že spracúvanie osobných údajov na účely a v súlade s ustanovenými požiadavkami bolo ratifikované Dohovor Ruskej federácie Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov nie je v rozpore s právnymi predpismi Ruskej federácie upravujúcimi vzťahy v oblasti ochrany osobných údajov. Okrem toho, časť 5 článku 18 152-FZ neobmedzuje cezhraničný prenos osobných údajov občanov Ruskej federácie.

Zákon neustanovuje pojem „prvotné zhromažďovanie“, ale stanovuje požiadavky na spracúvanie osobných údajov pri akomkoľvek zhromažďovaní informácií, pričom zdôrazňuje také operácie s OÚ, ako je spresnenie (aktualizácia, zmena) informácií obsahujúcich osobné údaje. Proces zhromažďovania informácií na účely zákona zahŕňa aj postupy uchovávania a zhromažďovania informácií, čo samo osebe neumožňuje použiť taký pojem ako „primárny zber“. Zákon teda ukladá prevádzkovateľovi povinnosť pri spracúvaní zhromaždených osobných údajov systematizáciou, zhromažďovaním, uchovávaním, objasňovaním, extrakciou využívať databázy umiestnené na území Ruskej federácie. Ak teda prevádzkovateľ potrebuje na prípravu správ alebo analýzu informácií obsahujúcich osobné údaje vykonať uvedené formy spracúvania osobných údajov, potom sa takéto činnosti musia vykonať pomocou databáz nachádzajúcich sa na území Ruskej federácie.

Výklad týkajúci sa primárneho zberu je nesprávny z nasledujúcich dôvodov. Zákon neustanovuje pojem „prvotné zhromažďovanie“, ale stanovuje požiadavky na spracúvanie osobných údajov pri akomkoľvek zhromažďovaní informácií, pričom zdôrazňuje také operácie s OÚ, ako je spresnenie (aktualizácia, zmena) informácií obsahujúcich osobné údaje. Proces zhromažďovania informácií na účely zákona zahŕňa aj postupy uchovávania a zhromažďovania informácií, čo samo osebe neumožňuje použiť taký pojem ako „primárny zber“. Zákon teda ukladá prevádzkovateľovi povinnosť pri spracúvaní zhromaždených osobných údajov systematizáciou, zhromažďovaním, uchovávaním, objasňovaním, extrakciou využívať databázy umiestnené na území Ruskej federácie.

V súlade s ustanoveniami odseku 7 časti 4 článku 16 federálneho zákona č. 149-FZ z 27. júla 2006 „o informáciách, informačných technológiách a ochrane informácií“ vlastník informácií, prevádzkovateľ informačného systému, v prípadoch ustanovených právnymi predpismi Ruskej federácie sú povinní zabezpečiť na území Ruskej federácie umiestnenie informačných databáz, ktoré slúžia na zhromažďovanie, evidenciu, systematizáciu, zhromažďovanie, uchovávanie, objasňovanie (aktualizáciu, zmenu), extrahovanie osobné údaje občanov Ruskej federácie.

Berúc do úvahy aj ustanovenia 5. časti článku 18 federálneho zákona č. telekomunikačnej siete Internet je prevádzkovateľ povinný zabezpečiť evidenciu, systematizáciu, zhromažďovanie, uchovávanie, spresňovanie (aktualizáciu, zmenu), extrakciu osobných údajov občanov Ruskej federácie pomocou databáz nachádzajúcich sa na území Ruskej federácie, domnievame sa, že spracúvanie osobných údajov občanov Ruskej federácie na území iného štátu možno vykonávať výlučne v prípadoch ustanovených v odsekoch 2, 3, 4, 8 časti 1 článku 6 federálneho zákona „O osobných Údaje“, pre ktoré existuje výnimka v časti 5 článku 18 152-FZ. Malo by sa tiež pamätať na to, že neexistujú žiadne právne rozdelenia na „hlavnú“ základňu osobných údajov a jej „kópiu“. V oboch prípadoch hovoríme o databáze, pomocou ktorej sa spracúvajú osobné údaje. Federálny zákon zároveň neobsahuje náznaky všeobecného zákazu spracúvania osobných údajov občanov Ruskej federácie pomocou databáz, ktoré sa nenachádzajú na území Ruskej federácie.

V tejto súvislosti sa domnievame, že spracúvanie osobných údajov občanov Ruskej federácie prostredníctvom zhromažďovania, zaznamenávania, systematizácie, zhromažďovania, uchovávania, objasňovania, extrakcie je možné vykonávať pomocou databáz, ktoré sa nenachádzajú na území Ruskej federácie. v nasledujúcich prípadoch:

  • ak takáto činnosť spadá pod prípady uvedené v odsekoch 2-4, 8 časti 1 článku 6 152-FZ;
  • ak takáto činnosť nespadá pod prípady uvedené v odsekoch 2-4, 8 časti 1 článku 6 152-FZ a na území Ruskej federácie existujú databázy používané na takéto spracúvanie osobných údajov, ktoré obsahujú väčší objem osobných údajov alebo rovnaký ako ten, ktorý sa nachádza mimo územia Ruskej federácie (v tomto prípade je neprijateľné nájsť mimo územia Ruskej federácie osobné údaje, ktoré sa súčasne nenachádzajú na území Ruskej federácie).

Cezhraničný prenos osobných údajov nie je zakázaný, ak sú dodržané požiadavky stanovené v článku 12 federálneho zákona č. 152-FZ. Cezhraničný prenos údajov musí mať zároveň vopred stanovený účel spracovania, pri dosiahnutí ktorého musí byť subjektu osobných údajov garantované zničenie prenášaných údajov na území cudzieho štátu. Ak sú tieto požiadavky splnené, zodpovednosť podľa Ruská legislatíva, sa vzťahuje na prevádzkovateľa v prípade porušenia postupu a podmienok ustanovených pre komisionársku zmluvu.

V súlade s ustanovením § 3 ods. 2 spolkového zákona o osobných údajoch je prevádzkovateľom štátny orgán, orgán obce, právnická osoba alebo fyzická osoba, a to samostatne alebo spoločne s inými osobami, ktoré organizujú a (alebo) vykonávajú spracúvanie osobných údajov, ako aj určenie účelov spracúvania osobných údajov, zloženie osobných údajov, ktoré sa majú spracúvať, úkony (operácie) vykonávané s osobnými údajmi. Na všetky vyššie uvedené subjekty sa teda vzťahujú ustanovenia federálneho zákona č. 242-FZ. Prijatý federálny zákon nezaväzuje distribúciu 5. časti článku 18 152-FZ len prevádzkovateľom, u ktorých je spracúvanie osobných údajov ich hlavnou činnosťou, alebo prevádzkovateľom, ktorí spracúvajú osobné údaje len prostredníctvom informačných a telekomunikačných sietí.

V súlade s ustanovením § 3 ods. 2 spolkového zákona o osobných údajoch je prevádzkovateľom štátny orgán, orgán obce, právnická osoba alebo fyzická osoba, a to samostatne alebo spoločne s inými osobami, ktoré organizujú a (alebo) vykonávajú spracúvanie osobných údajov, ako aj určenie účelov spracúvania osobných údajov, zloženie osobných údajov, ktoré sa majú spracúvať, úkony (operácie) vykonávané s osobnými údajmi. Na všetky vyššie uvedené subjekty sa teda vzťahujú ustanovenia federálneho zákona č. 242-FZ. Prijatý federálny zákon nezaväzuje distribúciu 5. časti článku 18 152-FZ len prevádzkovateľom, u ktorých je spracúvanie osobných údajov ich hlavnou činnosťou, alebo prevádzkovateľom, ktorí spracúvajú osobné údaje len prostredníctvom informačných a telekomunikačných sietí. Existujúce plány legislatívnych činností nepočítajú s vypracovaním návrhu federálneho zákona, ktorý by toto ustanovenie opravoval.

Vyššie uvedené požiadavky zákona sa okrem iného vzťahujú aj na spracúvanie prevádzkovateľom osobných údajov získaných v dôsledku zhromažďovania, a to zaznamenávanie, systematizácia, zhromažďovanie, uchovávanie, spresňovanie (aktualizovanie, zmena), extrakcia.

Pochopenie je správne. 152-FZ nezverejňuje pojem „použitie osobných údajov“. Pre účely výkladu možno „použitím osobných údajov“ chápať úkony s osobnými údajmi, ktoré nesúvisia s inými formami spracúvania osobných údajov, vrátane rozhodovania na základe osobných údajov, na realizáciu ktorých boli osobné údaje zhromaždené. (účel zhromažďovania osobných údajov musí byť v súlade s účelmi použitia osobných údajov).

Pojem „prevádzkovateľ“ je obsiahnutý v § 3 zákona č. 152-FZ, ktorým sa rozumie štátny orgán, orgán obce, právnická osoba alebo fyzická osoba, samostatne alebo spoločne s inými osobami, ktoré organizujú a (alebo) spracúvajú osobné údaje, ako ako aj určenie účelov spracúvania osobných údajov.údaje, zloženie osobných údajov, ktoré sa majú spracúvať, úkony (operácie) vykonávané s osobnými údajmi. Berúc do úvahy, že článok 3 zákona č. 152-FZ neobsahuje výnimky týkajúce sa vykonávania osobou jednotlivé operácie o spracúvaní osobných údajov, ako aj ďalšie definície, ktoré sa líšia od prevádzkovateľa, osoby, ktorá určuje účel spracúvania osobných údajov, prípadne vykonáva určité úkony na spracúvanie osobných údajov v zmysle ustanovení zákona č. 152-FZ, je prevádzkovateľ vykonávajúci spracúvanie osobných údajov.

- Naozaj sa po 1.9.2015 nevyžaduje opätovné alebo dodatočné oznámenie o spracúvaní osobných údajov? Musím dodatočne povedať, kde sa nachádzajú databázy?

Neexistuje pojem „opakované“ alebo „dodatočné“ oznámenie. Článok 22 spolkového zákona „o osobných údajoch“ stanovuje povinnosť prevádzkovateľa zaslať oznámenie pred spracovaním osobných údajov. Časť 2 tohto článku obsahuje niekoľko výnimiek, keď sa takéto oznámenie nevyžaduje. Federálny zákon č. 242-FZ sa mení v časti 3, ktorá definuje požiadavky na obsah oznámenia. Ak organizácia predtým zaslala Roskomnadzoru oznámenie o spracúvaní osobných údajov, potom po nadobudnutí účinnosti zákona musia prevádzkovatelia, ktorí sa riadia časťou 7 tohto článku, poskytnúť informácie o umiestnení databázy do desiatich pracovných dní .

- Spadá počiatočný zber osobných údajov na papieri s ich následným vložením do elektronickej databázy pod požiadavky časti 5 článku 18 federálneho zákona č. 152-FZ?

Podľa požiadaviek časti 5 článku 18 federálneho zákona č. 152-FZ je prevádzkovateľ povinný pri získavaní osobných údajov, a to aj prostredníctvom informačnej a telekomunikačnej siete „Internet“, zabezpečiť zaznamenávanie, systematizáciu, zhromažďovanie, uchovávanie, objasňovanie (aktualizácia, zmena), získavanie osobných údajov občanov Ruskej federácie pomocou databáz nachádzajúcich sa na území Ruskej federácie, okrem prípadov uvedených v odsekoch 2, 3, 4, 8 časti 1 článku 6 tejto federálnej zákon. Základnou zásadou práva osobných údajov je zásada, že spracúvanie osobných údajov by sa malo obmedziť na dosiahnutie konkrétnych, vopred stanovených a legitímnych účelov. V tejto súvislosti je zadávanie osobných údajov do informačného systému osobných údajov používaného na účely obdobné zberu údajov o papierové médiá, by sa malo považovať za jeden proces, ktorého realizácia sa musí vykonávať v prísnom súlade s požiadavkami časti 5 článku 18 federálneho zákona č. 152-FZ. Rozdelenie tohto jediného procesu na samostatné úkony neustanovujú právne predpisy Ruskej federácie v oblasti osobných údajov. Touto cestou, určité typy spracúvanie osobných údajov ustanovené v časti 5 článku 18 federálneho zákona č. 152-FZ, vrátane zhromažďovania osobných údajov v papierovej forme s ich následným vložením do elektronickej databázy, by sa malo vykonávať ako jeden proces v právnej oblasti legislatívnej normy, ktorá ukladá povinnosť uchovávať osobné údaje na území Ruskej federácie.

cloudová infraštruktúra je riešenie od Integrus Group, ktoré poskytuje moderným podnikom hotovú IT infraštruktúru bez toho, aby bolo potrebné zapájať značné materiálne a ľudské zdroje.

Integrus ponúka služby ochrany a ukladania osobných údajov pre firemných klientov v Rusku. Ak nás budete kontaktovať, môžete si byť úplne istí, že máte k dispozícii spoľahlivý bezpečný systém a plne spĺňate požiadavky zákona.

Pre koho sú naše služby vhodné

Ceny za uchovávanie osobných údajov na zabezpečenom serveri v Petrohrade

Tarifný plán Cena za prenájom servera ISPD s certifikátom, rub./mesiac **
Cena za prenájom servera ISPD bez certifikátu, rubľov / mesiac
ISPDn-1 5Gb 4 990 2 490
ISPDn-2 50 Gb 9 990 4 990
ISPDn-3 100 Gb 19 990 9 990
ISPDn-4 200 Gb 29 990 14 990
ISPDn-5 400 Gb 39 990 19 990
Nastaviť platbu * 10 000

* - Okrem ceny zabezpečeného virtuálneho servera v rámci tarify sa pri objednávke prvého servera v ISPD účtuje inštalačný poplatok v r.

vo výške 10 000 rubľov.

** - Náklady na bezpečný server ISPD s balíkom dokumentov a atestačným postupom pracoviska.

Predaj zabezpečenej infraštruktúry na uchovávanie a spracovanie osobných údajov podľa predložených tarifných plánov sa realizuje od minimálny termín- 1 rok.

Príklady práce

Úspešne sme dokončili projekt prenosu osobných údajov študentov Moskovského inštitútu do cloudu. Boli vydané certifikáty pracoviska, komunikačného kanála a cloudového servera. Bola vytvorená neštandardná databáza, ktorá zaberá 5 GB na zabezpečenom serveri.

Naše certifikáty

  • Čo je zahrnuté v našich službách ukladania osobných údajov

    • Spracovanie a uchovávanie informácií organizujeme v externom centre na spracovanie údajov (DPC), poskytujeme vám virtuálny stroj chránený v súlade s požiadavkami federálneho zákona o ochrane osobných údajov č. 152-FZ.
    • Vykonávame právne, organizačné a technické normy zákona.
    • Vypracujeme a poskytneme vašej organizácii kompletnú sadu požadovaných dokumentov (s prihliadnutím na špecifiká vášho druhu činnosti), vrátane osvedčenia o splnení bezpečnostných požiadaviek
    • So subjektmi nemusíte uzatvárať zmluvu o tom, že ich osobné údaje budú prenesené na spracovanie do externého dátového centra.

    Stojí za zmienku dve nuansy:

    • Minimálne obdobie pre server je 6 mesiacov. Ak dodržíte 5 GB, cena bude 4990 rubľov mesačne. Ak stále potrebujete viac, potrebujete nasledujúci tarif: 50 GB a 9 990 rubľov. za mesiac.
    • Náklady na inštaláciu platby vo výške 10 000 rubľov. platí pre štandardný súbor dokumentov, vo Vašom prípade je to „Platforma dištančného vzdelávania“, u nás to nie je štandardné a môže byť potrebné individuálne vypracovanie balíka dokumentácie. Náklady na vývoj neštandardnej konfigurácie sú +15 000 rubľov. Toto sa robí raz.

    Aby sme pochopili, či bude potrebný individuálny rozvoj, potrebujeme Stručný opis služba (ktorá databáza a kde je uložená (MySQL; SQL atď.)), ktorá bude hosťovaná na serveri ISPD. Tie. algoritmus prevádzky služby, kto je subjektom PD v službe, kto a ako získa prístup k službe.

    Ako to funguje

    Každý podnik dnes vo svojej práci využíva informačné systémy, ktoré spracúvajú osobné údaje (PD). Ide napríklad o účtovné IS, finančné, personálne a iné. Spracovaním sa podľa zákona rozumie zhromažďovanie, zaznamenávanie, systematizácia, uchovávanie, objasňovanie, používanie, prenos, vymazávanie a iné operácie s týmito informáciami.

    Preto skôr či neskôr vyvstane otázka, ako zosúladiť ich prácu s federálnym zákonom „o osobných údajoch“ a získať listinné dôkazy o tomto súlade.

    Splniť všetky požiadavky na uchovávanie osobných údajov svojpomocne a bez potrebných skúseností je pomerne náročné, čo môže viesť k zbytočnému plytvaniu časom a prostriedkami. Preto ponúkame služby našich špecialistov. Problémy s organizáciou uchovávania a prenosu osobných údajov už riešili viackrát a dobre si uvedomujú „úskalia“.

    Ukladanie osobných údajov na serveri dátového centra: výhody tohto prístupu

    Na vybudovanie kompletného bezpečnostného systému informačné systémy osobných údajov (ISPD) v podniku je potrebné vykonať predprojektový prieskum ISPD, vypracovať model bezpečnostných hrozieb, vytvoriť koncepciu a následne navrhnúť systém ochrany ISPD, dodať, implementovať, vypracovať certifikáciu metódy, vykonať overenie a vydať osvedčenie o zhode.

    Ak organizujete ukladanie osobných údajov klientov v certifikovanej virtuálnej infraštruktúre umiestnenej v externom dátovom centre, potom je realizácia všetkých týchto prác zjednodušená a závisí od schválenia vopred vypracovaných štandardných dokumentov a zodpovedajúce náklady sú výrazne vyššie. znížený. Ukladanie údajov v spoľahlivom a modernom dátovom centre navyše zaisťuje, že vaše informácie budete mať vždy k dispozícii, úplné a chránené pred stratou.

    Ak však prenesiete PD do externého dátového centra, spravidla nastane množstvo ťažkostí. Takže napríklad podľa federálneho zákona č. 152-FZ „O osobných údajoch“ (článok 7 a časti 3-5 článku 6), ktorý určuje postup uchovávania osobných údajov v Rusku, prevádzkovateľ poverí spracúvaním PD do dátového centra tretej strany, je potrebné získať súhlas každého subjektu so zhromažďovaním a uchovávaním osobných údajov, ktorý obsahuje zoznam údajov a prípustné úkony s nimi, ciele, termíny a je tam vlastnoručný podpis. každého subjektu (v skutočnosti uzavrieť s klientom zmluvu o skladovaní osobné informácie).

    Obr.1. Klasická schéma: operátorská organizácia posiela PD na spracovanie do externého dátového centra, čím sa všetky obavy o zaistenie bezpečnosti týchto dát presúvajú na operátora dátového centra.

    Organizácia operátora PD s takouto klasickou schémou práce s dátovým centrom čelí pri svojej práci značným nepríjemnostiam a obmedzeniam:

    • Všetky organizačné a právne otázky spracovania údajov zostávajú aktuálne: je potrebné vydať nariadenie o osobných údajoch, vypracovať zákonné dôvody na spracúvanie osobných údajov a na prenos osobných údajov tretím stranám (vrátane dátového centra).
    • Na základe článku 7 a časti 3-5 článku 6 federálneho zákona č. 152-FZ „O osobných údajoch“ vzniká povinnosť získať súhlas na prenos osobných údajov na spracovanie do dátového centra od každého subjektu osobných údajov. údajov. Navyše takýto súhlas musí byť vydaný v súlade s požiadavkami článku 9 spomínaného federálneho zákona, t.j. obsahovať okrem iného účely spracúvania, úplný zoznam osobných údajov, úplný zoznam úkonov s osobnými údajmi, na ktoré sa udeľuje súhlas, dobu platnosti súhlasu a vlastnoručný podpis subjekt osobných údajov alebo jeho elektronickú analógiu.A získanie takéhoto súhlasu zvyčajne spôsobuje prevádzkovateľovi organizáciu ťažkosti.

    Aby sme sa vyhli týmto ťažkostiam, ponúkame nasledujúcu technológiu práce:

    • Pomocou certifikovaných nástrojov kryptografickej ochrany sú PD prenášané cez komunikačné kanály chránené pred poskytovateľom komunikačných služieb.
    • Obdobným spôsobom navrhujeme chrániť osobné údaje a pri spracúvaní v dátovom centre využívať prostriedky ochranu informácií, s vylúčením absolútne akejkoľvek technickej možnosti prístupu zamestnancov dátového centra. Na tento účel nasadíme jeden alebo viacero virtuálnych strojov, z ktorých každý je komplexne izolovaným objektom, ku ktorému je zablokovaný akýkoľvek prístup od poskytovateľa hostingu. To je dosiahnuté jednak funkciami hypervízora a jednak prostriedkami ochrany pred neoprávneným prístupom. V budúcnosti môžete s takýmto prenajatým bezpečným virtuálnym strojom pracovať z pracoviska z kancelárie klienta pomocou vzdialeného terminálu („Vzdialená plocha“, VNC terminál alebo SSH terminál).

    Poskytovateľ ani dátové centrum teda nemôže žiadnym spôsobom zisťovať subjekt osobných údajov, zisťovať množstvo informácií vo virtuálnom stroji klienta, prítomnosť akýchkoľvek dôverných informácií. Takúto prácu s OÚ v izolovanom virtuálnom stroji preto nemožno považovať za odovzdanie OÚ prevádzkovateľovi dátového centra alebo pokyn na spracovanie OÚ, čím sa klient zbavuje potreby získať súhlas subjektov.

    Príklad organizácie prenosu a spracovania osobných údajov prostredníctvom zabezpečených komunikačných kanálov

    Tu je malý prípad ilustrujúci túto technológiu na príklade prevádzkovateľa osobných údajov, ktorý teritoriálne pozostáva z centrály a pobočiek.

    Obr.2. Organizácia prenáša osobné údaje prostredníctvom otvorených kanálov

    ISP prenáša IP pakety obsahujúce osobné údaje. Podľa odseku 3 článku 3 FZ-152 už je to tak špeciálny prípad spracúvanie osobných údajov. Takže podľa odseku 2 článku 3 federálneho zákona-152 sa poskytovateľ internetu už mení na operátora PD. A podľa požiadaviek článku 6 a článku 7 FZ-152 naša imaginárna organizácia prenášajúca PD cez otvorené kanály do tento prípad už je potrebné získať súhlas subjektov osobných údajov na prenos ich osobných údajov v čistom texte cez siete poskytovateľa. A poskytovateľ internetu zase musí prijať všetky potrebné organizačné a technické opatrenia na ochranu týchto údajov.

    Ak sa však prijmú opatrenia na zašifrovanie údajov (kryptografická ochrana) pred ich odoslaním prostredníctvom komunikačných kanálov poskytovateľa internetu, potom z právneho hľadiska skutočnosť odovzdania OO na spracovanie už nenastane. Pretože podľa odseku 1 článku 3 federálneho zákona-152 „osobné údaje sú akékoľvek informácie týkajúce sa priamo alebo nepriamo identifikovanej alebo identifikovateľnej fyzickej osoby (subjektu osobných údajov).“

    Obrázok 3 znázorňuje, že poskytovateľ komunikačných služieb nedostáva informácie, ktoré by mohli priamo alebo nepriamo identifikovať subjekt osobných údajov.

    Obr.3. Organizácia prenáša osobné údaje prostredníctvom zabezpečených kanálov

    VÝSLEDOK: Použitie kryptografických prostriedkov na ochranu osobných údajov pred ich odoslaním prostredníctvom kanálov poskytovateľa umožňuje z právneho hľadiska zbaviť sa skutočnosti, že sa prenášajú na spracovanie tomuto poskytovateľovi.

    Ochrana osobných údajov počas spracovania vo virtuálnej infraštruktúre

    Rovnakým spôsobom Integrus ponúka ochranu osobných údajov pomocou bezpečných kanálov prenosu údajov pri ich spracovaní v dátových centrách, cloudových úložiskách a virtuálnych hostingoch pomocou špeciálne prostriedky ochranu informácií.

    Ochrana bude nainštalovaná a nakonfigurovaná tak, aby bola úplne vylúčená technická možnosť prístupu zamestnancov dátového centra (správcovia, inžinieri, operátori) k osobným údajom, ktoré bude mať organizácia v dátovom centre. Takáto ochrana sa vykonáva v súlade s projektom systému ochrany osobných údajov pomocou certifikovaného FSTEC Ruska nástroje na ochranu informácií (vrátane hypervízora virtuálneho stroja a prostriedkov ochrany pred neoprávneným prístupom), ako aj používanie nástrojov na ochranu kryptografických informácií certifikovaných podľa požiadaviek Federálnej bezpečnostnej služby Ruska (pri prenose cez komunikačné kanály a pri spracovaní vo virtuálnom infraštruktúra). Takáto schéma je podrobne znázornená na obrázku 4.

    Obr.4. Technológia ochrany PD vo virtuálnej infraštruktúre.

    Ochrana osobných údajov – služby „Integrus“ v organizačnej a právnej sfére

    Okrem organizácie zabezpečovacieho systému vykonávame všetky organizačné a právne práce:

    • Pracujeme na právnych základoch spracovania osobných údajov, jeho úlohách, metódach a podmienkach.
    • Vypracujeme a zverejníme dokument, ktorý deklaruje politiku v oblasti práce s osobnými údajmi (predpisy o uchovávaní, spracúvaní osobných údajov) a súbor organizačných a administratívnych dokumentov (zákony o klasifikácii IP, pokyny, predpisy a časopisy).
    • Vyvíjame oznámenia o spracovaní osobných údajov, ktoré sa majú zasielať Roskomnadzor (v prípade potreby).

    Ak chcete získať hotový informačný systém, ktorý spĺňa požiadavky zákona o uchovávaní osobných údajov a spĺňa všetky normy, chcete s osobnými údajmi pracovať bez problémov, a nebáť sa nárokov zo strany zákazníkov, zamestnancov resp. regulačných orgánov, kontaktujte špecialistov Integrus. Zanechajte žiadosť prostredníctvom formulára spätnej väzby na webovej stránke, zavolajte alebo napíšte nám a my vám radi poradíme s technickou a právnou stránkou problému.

    • Niektorí tento zákon nazývajú návratom k železnej opone a oneskoreným zamyslením sa nad zmenou informačného priestoru. Iní s tým spájajú posilňovanie pozícií a ďalší rozvoj kapacít domácich IT firiem. Predkladatelia pozmeňujúcich a doplňujúcich návrhov na tom trvajú nový zákon pomôcť chrániť práva ruských občanov v oblasti spracovania a uchovávania osobných údajov. Pre objasnenie toho, s čím sa budú musieť biznis a bežní používatelia v najbližšom období potýkať, sme sa obrátili na projektovú manažérku spoločnosti Global Office Martynovú Kristínu.

    Dnes sú zákony 242-FZ a 152-FZ široko počúvané. Počas niekoľkých posledných mesiacov sa stali zónami akútnej bolesti v diskusiách obchodníkov, IT špecialistov a obyčajných smrteľníkov. Federálny zákon 242-FZ prijatý v júli tohto roku stanovil nové pravidlá pre všetkých účastníkov, ktorí sa podieľajú na spracovaní a uchovávaní osobných údajov. Jedna z hlavných inovácií ovplyvnila text zákona 152-FZ, ktorého ustanovenia boli doplnené o požiadavku od 1. januára 2016 uchovávať osobné údaje Rusov na serveroch umiestnených v Ruskej federácii:

    Pri získavaní osobných údajov, a to aj prostredníctvom informačnej a telekomunikačnej siete „Internet“, je prevádzkovateľ povinný zabezpečiť evidenciu, systematizáciu, zhromažďovanie, uchovávanie, spresňovanie (aktualizáciu, zmenu), extrakciu osobných údajov občanov Ruskej federácie pomocou databáz nachádza na území Ruskej federácie.

    Zároveň je možné zakázať akékoľvek akcie s údajmi – až po zobrazenie na obrazovke počítača, ak databázy fyzicky „ležia“ v zahraničí. Pravda, poslanci ani Roskomnadzor doteraz nedali jednoznačnú odpoveď na otázku, čo presne treba chápať pod pojmom extrakcia údajov, ich systematizácia a samotná databáza.

    Ešte vágnejší je obsah nového pojmu „osoba, ktorá zabezpečuje spracovanie informácií v informačnej a telekomunikačnej sieti vrátane internetu, zavedeného do zákona 149-FZ“ . Kto je oprávnený získať tento štatút a čo zákonné znaky taká tvár? Je možné, že analýza legislatívnych letov prebehne už na základe údajného porušenia. V tomto prípade pomôže objasnenie litery zákona arbitrážna prax. Opäť však nie je jasné, na akom základe sa začne súdny proces- na žiadosť Roskomnadzoru alebo akejkoľvek inej osoby.

    Blokovanie webovej stránky porušovateľa, jej pridanie na „čiernu listinu“ Roskomnadzoru a právo používateľov na vymazanie svojich osobných údajov súdnym príkazom – to všetko možno len ťažko považovať za novinky zákona. V skutočnosti ide o malú „aktualizáciu“ ustanovení zákonov „O osobných údajoch“ a „O informáciách“, ktoré celkom úplne stanovujú represívne postupy (vrátane vytvorenia registra porušovateľov) a mechanizmy. súdna ochrana občanov.

    O osobných údajoch

    Stojí za to vzdať hold širokej verejnosti, ktorá sa rozpútala súčasne s oficiálnymi diskusiami o zákone. Používatelia, ktorí predtým verili, že osobnými údajmi sú celé meno, pasové informácie a telefónne číslo, konečne dostali závan triezvosti a zdravého rozumu. Ukázalo sa, že pod skratkou PD sa skrýva „akékoľvek informácie týkajúce sa priamo alebo nepriamo konkrétnej alebo identifikovateľnej fyzickej osoby (subjektu osobných údajov)“ (odsek 1 článku 3 152-FZ). Môžu to byť zdravotné údaje a informácie o uskutočnených transakciách a korešpondencii v sociálnych sieťach a registrovaných účtoch v internetových obchodoch.

    Pre podniky sú osobné údaje všadeprítomnou informáciou. Napríklad pre klientov Global Office pracujúcich na dedikovanom serveri 1C: Enterprise. Správa miezd a ľudských zdrojov, problematika osobných údajov vzniká vždy pri príprave výkazov, výpočte miezd a dovolenky, výpočte nemocenskej dovolenky a výbere daní. Navyše, zdanlivo neškodné dokumenty vytvorené pomocou softvérových produktov Microsoft Word, Excel, Power Point atď. môžu spadať pod článok nového zákona, aj keď ich hlavný obsah nemá nič spoločné s odosielateľom alebo príjemcom. Ako je to možné? Vďaka metadátam, ktoré môžu byť uložené nielen v dokumente samotnom, ale aj v popise jeho vlastností: napríklad meno autora, užívateľské meno, poštová adresa poslednej osoby, ktorá dokument uložila, hlavičky správ Email atď. Rovnakým skrytým nebezpečenstvom je registrácia profilu a preposielanie listov cez Microsoft Outlook.

    Spolu s osobnými údajmi zamestnancov musia spoločnosti nakladať aj s ďalšími druhmi dôverných informácií, medzi ktoré patria údaje o spoločnosti, informácie o protistranách atď. Osobné údaje sú podľa zákona jedným zo šiestich typov informácií. dôverný charakter(pozri dekrét prezidenta Ruskej federácie „o schválení zoznamu dôverných informácií“). Pre pohodlie medzi nami a našimi klientmi existuje dohoda, že všetky informácie uložené v softvérových produktoch 1C, ktoré poskytujeme, sú osobné, a preto sa na ne vzťahujú postupy šifrovania, depersonalizácie a iné mechanizmy ochrany údajov.

    Čo by mal podnik robiť?

    Vybudovať si vlastné dátové centrum a dobre sa vyspať je technologický luxus veľké spoločnosti. Vybudovanie prvej fázy dátového centra trvalo Yandexu približne dva roky a ešte viac peňazí. Najpravdepodobnejším riešením pre väčšinu ruských stredných roľníkov je zavolanie do už fungujúceho dátového centra, ktoré ponúka služby kolokácie serverov.

    Ďalší legálnou cestou nadviazať priateľský kontakt s novým zákonom – depersonalizácia údajov. Niektorí odborníci do toho vkladajú veľké nádeje. Osobné údaje budú od subjektu oddelené tak, aby ich nebolo možné priradiť ku konkrétnej osobe. V takejto „amorfnej“ podobe s nimi môžete robiť čokoľvek. Predpokladá sa, že spätná väzba na osobu bude vykonaná po vrátení anonymizovaných údajov na územie Ruskej federácie. Dnes sa táto technológia úspešne používa v medicíne. Dáta môžete anonymizovať pomocou populárnych riešení ERP a CRM vyrábaných spoločnosťami Microsoft, SAP alebo Oracle.

    Pre ďalšiu medzeru prijatý zákon povedali právnici. Súčasná legislatíva nezakazuje odosielať údaje do zahraničia a duplikovať informácie. Teoreticky môžu byť osobné údaje uložené na území Ruska a potom voľne prechádzať v duplikovanej forme na zahraničné servery.

    Formálne to umožňuje aj požiadavka na ukladanie údajov na ruských serveroch špeciálne programy(v Global Office je to SecurityIP). Skryjú konečnú IP adresu pracovného servera, takže nie je možné určiť presnú polohu servera.

    Samozrejme, zmeny v hlavnom zákone o osobných údajoch spôsobujú ťažkosti nielen podnikateľskej sfére, ale aj používateľom. A pri pretrvávajúcom mlčaní Roskomnadzoru zostávajú odpovede na vznikajúce otázky stále otvorené. Na úradoch vlády sa stále prerokúvajú pozmeňujúce a doplňujúce návrhy na odloženie účinnosti zákona k 1. januáru 2015. Obchod si od poslancov stále vyžaduje konkrétnejší jazyk a menej vágnych fráz. Na prvom mieste v zozname je nahradenie definície osobných údajov. Bez jasného pochopenia toho, aké typy informácií možno klasifikovať ako PD, je sotva možné chrániť práva občanov, nahlas uvádzané v novom zákone.

    Proces spracovania osobných údajov každého občana je stanovený vo federálnom zákone č. 152-FZ „O osobných údajoch“. Na začiatku tento zákon bol prijatý 27. júla 2006 a následne prešiel rôznymi zmenami a doplnkami.

    Zákon „O osobných údajoch“ upravuje vzťahy medzi štátom, obecných úradov, fyzické a právnické osoby v oblasti spracovania a ochrany osobných údajov, ktoré sú vykonávané pomocou nástrojov automatizácie alebo bez nich.

    Účelom tohto zákona je zabezpečiť zákonným spôsobom ochranu slobôd a práv občanov pri spracúvaní ich osobných údajov vrátane nedotknuteľnosti súkromia, rodinné a osobné tajomstvá.

    Ktorá organizácia podlieha požiadavkám federálneho zákona „O osobných údajoch“?

    Každá organizácia má možnosť neregulovať svoje konanie v súlade s kapitolou 1 článku 2 federálneho zákona č. 152-FZ „O osobných údajoch“ týkajúceho sa spracovania osobných údajov, v prípadoch ako:

    1. Spracúvanie osobných údajov fyzickými osobami výlučne pre osobné a rodinné potreby, ak nedôjde k porušovaniu práv dotknutých osôb;
    2. Organizácie uchovávania, získavania, účtovania a používania dokumentov obsahujúcich osobné údaje Archívny fond Ruská federácia a ďalšie archívne dokumenty v súlade s právnymi predpismi o archivovaní v Ruskej federácii;
    3. Spracúvanie osobných údajov uvedených v v pravý čas k informáciám, ktoré sú štátnym tajomstvom;
    4. Ustanovenie oprávnených orgánov informácie o činnosti súdov v Ruskej federácii v súlade s federálnym zákonom z 22. decembra 2008 N 262-FZ „O zabezpečení prístupu k informáciám o činnosti súdov v Ruskej federácii“.

    Ak organizácia nespadá pod vyššie uvedené body, musí nevyhnutne spĺňať požiadavky zákona. Všetky ostatné prípady súvisiace so zhromažďovaním, spracovaním a uchovávaním osobných údajov sú upravené v súlade s federálnym zákonom č. 152 „O osobných údajoch“. Takmer všetky organizácie spadajú pod tieto požiadavky, pretože takmer všetky spoločnosti tak či onak spracúvajú osobné údaje svojich zamestnancov alebo iných jednotlivcov. Všetky osobné údaje musia byť prísne dôverné.

    S cieľom riskovať nároky vlastníkov osobných údajov a vládne agentúry bol minimálny, je potrebné vykonať súbor prác, ktoré odôvodňujú potrebu spracúvania osobných údajov. Rovnako je potrebné dodržiavať požiadavky na zabezpečenie dôvernosti ako pri neautomatizovanom spracúvaní, tak aj v prípade spracúvania osobných údajov v informačných systémoch.

    Osobné údaje - čo to je?

    V kapitole 1, článku 3 federálneho zákona „o osobných údajoch“ je definícia osobných údajov:

    - osobné údaje - akékoľvek informácie týkajúce sa priamo alebo nepriamo identifikovanej alebo identifikovateľnej fyzickej osoby (subjekt osobných údajov).

    Môže to byť priezvisko, meno, priezvisko, adresa bydliska a e-mail, kontaktné čísla, miesto bydliska, náboženstvo, rodinný stav, fotografie, informácie o príbuzných a mnoho iného. Každá organizácia, ktorá vlastní takéto informácie, je povinná chrániť informačné systémy, v ktorých majú byť takéto údaje uložené.

    Zhromažďovanie, uchovávanie a spracovanie osobných údajov

    Kedy je potrebné získať osobné údaje zamestnanca alebo iné individuálny organizácia má právo ich zhromažďovať priamo od samotného subjektu. Ak je možné informácie získať len od tretích strán, musí o tom byť subjekt nevyhnutne informovaný a musí k tomu dať aj svoj písomný súhlas tento postup. Prevádzkovateľ je zase povinný upozorniť občana na ciele, ktoré pri prijímaní a spracúvaní jeho osobných údajov sleduje.

    Všetko, čo súvisí s právnymi základmi spracovania osobných údajov, je uvedené v kapitole 2, článku 6, doložke 1 č. 152 federálneho zákona „o osobných údajoch“:

    1) spracúvanie osobných údajov sa vykonáva so súhlasom subjektu osobných údajov so spracúvaním jeho osobných údajov;
    2) spracúvanie osobných údajov je nevyhnutné na dosiahnutie cieľov stanovených medzinárodnou zmluvou Ruskej federácie alebo zákonom, na realizáciu a plnenie funkcií, právomocí a povinností, ktoré prevádzkovateľovi ukladá legislatíva Ruskej federácie ;
    3) spracúvanie osobných údajov je nevyhnutné pre výkon súdnictva, výkon exekúcie súdny akt, akt iného orgánu alebo úradníka, ktorý podlieha vykonaniu v súlade s právnymi predpismi Ruskej federácie o exekučné konanie(ďalej len vykonanie súdneho úkonu);
    4) spracúvanie osobných údajov je nevyhnutné na poskytovanie služieb štátu alebo obce v súlade s federálnym zákonom z 27. júla 2010 N 210-FZ „O organizácii poskytovania služieb štátu a obcí“, na zabezpečenie poskytovania takejto služby, zaregistrovať subjekt osobných údajov na jediný portálštátne a komunálne služby;
    5) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je subjekt osobných údajov alebo príjemca alebo ručiteľ, ako aj na uzavretie zmluvy z podnetu subjektu osobných údajov alebo zmluvy podľa ktorý bude subjektom osobných údajov príjemca alebo ručiteľ;
    6) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo iných životne dôležitých záujmov subjektu osobných údajov, ak nie je možné získať súhlas subjektu osobných údajov;
    7) spracúvanie osobných údajov je nevyhnutné na uplatnenie práv a oprávnených záujmov prevádzkovateľa alebo tretích osôb alebo na dosiahnutie spoločensky významných cieľov, ak nedôjde k porušovaniu práv a slobôd subjektu osobných údajov;
    8) spracúvanie osobných údajov je nevyhnutné na realizáciu odborná činnosť novinár a/alebo právnej činnosti masmédiá alebo vedecká, literárna alebo iná tvorivá činnosť, ak tým nie sú porušené práva a oprávnené záujmy subjektu osobných údajov;
    9) spracúvanie osobných údajov sa vykonáva na štatistické alebo iné výskumné účely, s výnimkou účelov uvedených v článku 15 tohto federálneho zákona, s výhradou povinnej depersonalizácie osobných údajov;
    10) spracúvanie osobných údajov sa vykonáva, prístup neobmedzeného počtu osôb, ktorý poskytuje subjekt osobných údajov alebo na jeho žiadosť (ďalej len osobné údaje zverejnené subjektom osobných údajov);
    11) spracúvanie osobných údajov podliehajúcich zverejneniu alebo povinnému zverejneniu sa vykonáva v súlade s federálnym zákonom.

    Ak organizácia spracúva osobné údaje, ktoré sú v rozpore s vyššie uvedenými odsekmi, ide o porušenie federálneho zákona.

    Organizácia je povinná zabezpečiť dôvernosť dostupných osobných údajov v súlade s článkom 7 federálneho zákona „o osobných údajoch“. Výnimkou sú prípady, keď sú osobné údaje anonymizované alebo keď sú verejne dostupné.
    V článku 8 sa uvádza, že môžu existovať verejne dostupné zdroje osobných údajov. Môžu obsahovať priezvisko, meno, priezvisko, krajinu a rok narodenia, adresu bydliska, telefónne číslo, informácie o povolaní alebo iné osobné údaje subjektu, ktoré poskytne s jeho písomným súhlasom. Patria sem napríklad adresáre alebo adresáre. Tieto informácie môžu byť zbavené dostupnosti rozhodnutím subjektu alebo štátnych oprávnených orgánov.

    Zásady a podmienky spracúvania osobných údajov

    V procese spracovania osobných údajov musí každá organizácia dodržiavať zásady, ktoré sú uvedené v kapitole 2 článku 5 federálneho zákona „o osobných údajoch“:

    1. Spracúvanie osobných údajov sa musí vykonávať na zákonnom a spravodlivom základe.
    2. Spracovanie osobných údajov by sa malo obmedziť na dosiahnutie konkrétnych, vopred stanovených a legitímnych účelov. Nie je dovolené spracúvať osobné údaje, ktoré sú nezlučiteľné s účelmi získavania osobných údajov.
    3. Nie je dovolené kombinovať databázy obsahujúce osobné údaje, ktorých spracovanie sa vykonáva na účely, ktoré sú navzájom nezlučiteľné.
    4. Predmetom spracúvania sú iba osobné údaje, ktoré spĺňajú účely ich spracúvania.
    5. Obsah a rozsah spracúvaných osobných údajov musí byť v súlade s uvedenými účelmi spracúvania. Spracovávané osobné údaje by nemali byť nadmerné vo vzťahu k uvedeným účelom ich spracúvania.
    6. Pri spracúvaní osobných údajov správnosť osobných údajov, ich dostatočnosť a v nevyhnutné prípady a relevantnosť pre účely spracúvania osobných údajov. Prevádzkovateľ musí prijať potrebné opatrenia alebo zabezpečiť ich prijatie na odstránenie alebo objasnenie neúplných alebo nepresných údajov.
    7. Uchovávanie osobných údajov by sa malo vykonávať vo forme, ktorá umožňuje určiť subjekt osobných údajov, nie dlhšie, ako to vyžadujú účely spracúvania osobných údajov, ak doba uchovávania osobných údajov nie je ustanovená federálnym zákonom, zmluva, ktorej zmluvnou stranou je príjemca alebo ručiteľ, na základe ktorej sú subjektom osobné údaje. Spracúvané osobné údaje podliehajú zničeniu alebo depersonalizácii pri dosiahnutí cieľov spracúvania alebo v prípade straty potreby dosiahnuť tieto ciele, pokiaľ federálny zákon neustanovuje inak.

    Podmienky, ktoré musí organizácia pri spracúvaní osobných údajov dodržiavať, sú stanovené v článku 6 spolkového zákona „O osobných údajoch“ a spočívajú v tom, že prevádzkovateľ pri spracúvaní osobných údajov dotknutej osoby má právo spracúvať len s jeho písomným súhlasom.
    V niektorých prípadoch sa však takýto súhlas nevyžaduje. Napríklad, ak sa spracúvanie osobných údajov vykonáva na rôzne vedecké a štatistické účely predpokladom depersonalizácia osobných údajov. Alebo keď je spracúvanie osobných údajov nevyhnutné pre zdravie, život alebo iné životne dôležité záujmy dotknutej osoby.

    Povinnosti prevádzkovateľa osobných údajov

    Kapitola 4 článku 18 federálneho zákona č. 3 152 „O osobných údajoch“ obsahuje úplné informácie o tom, za čo je zodpovedný spracovateľ údajov.
    Berúc do úvahy Kľúčové body Tento článok zákona môže zdôrazniť niekoľko najdôležitejších zásad.

    Prevádzkovateľ je povinný:

    - spracúvať osobné údaje v súlade so zákonom,
    — mať povolenie od vlastníka osobných údajov v prípadoch ustanovených zákonom,
    - zabezpečiť dôvernosť,
    – odpovedať na všetky otázky majiteľa týkajúce sa jeho osobných údajov v súprave zákonná lehota,
    – zlikvidovať osobné údaje po uplynutí lehôt na ich spracúvanie,
    - oznámiť oddeleniu Roskomnadzor spracovanie osobných údajov a opatrenia, ktoré prijíma na ich ochranu.

    V tomto článku sa tiež uvádza, že ak vlastník osobných údajov odmietne poskytnúť osobné údaje, ktoré je povinný poskytnúť v súlade s federálnym zákonom, prevádzkovateľ musí vlastníkovi vysvetliť dôsledky takéhoto odmietnutia.

    Samostatná činnosť organizácií pri ochrane osobných údajov

    Zhromažďovanie, spracovanie a ochrana osobných údajov v Ruskej federácii je licencovaná činnosť. Za vývoj metód ochrany osobných údajov sú zodpovedné FSB Ruska a FSTEC Ruska.
    Organizácia zase môže urobiť len časť tejto práce. Napríklad zbierať informácie. Na prevádzku zvyšku práce je potrebná licencia technická ochrana dôverné informácie, ako aj inštaláciu nástrojov kryptografickej ochrany.

    Overovanie činností spracovania osobných údajov

    Organizácia, ktorá kontroluje zákonné spracovanie osobných údajov, sa nazýva Federálna služba pre dohľad v oblasti komunikácií, informačných technológií a masovej komunikácie (Roskomnadzor).
    Roskomnadzor vykonáva štátnu kontrolu a dozor nad dodržiavaním požiadaviek platná legislatíva v poli:
    - Masmédiá, TVR vysielanie a masová komunikácia - požiadavky zákona Ruskej federácie č. 2124-1 z 27. decembra 1991 "O prostriedkoch masovej komunikácie", ako aj dodržiavanie licenčné podmienky,
    - komunikácie - požiadavky federálneho zákona č. 126 zo 7. júla 2003 "o komunikáciách", ako aj stanovy vrátane platnosti licencie a využívania rádiového frekvenčného spektra,
    - osobné údaje - federálny zákon z 27. júla 2006 č. 152 „o osobných údajoch“.

    Právny základ implementácie štátna kontrola a dozoru je federálny zákon z 26. decembra 2008 č. 294 „O ochrane práv právnických osôb a individuálnych podnikateľov pri výkone štátnej kontroly (dozoru) a obecnej kontroly“.

    Roskomnadzor vykonáva niekoľko typov inšpekcií:

    jeden). Plánovaná kontrola.
    Tento audit je možné vykonať na základe av presných termínoch uvedených v pláne auditu vypracovanom Roskomnadzorom a schválenom prokuratúrou. Podľa článku 27 ods. 4 federálneho zákona „o komunikáciách“ má Roskomnadzor právo vykonávať tento typ inšpekcie nie viac ako raz za 3 roky.
    Do Plánu inšpekcií Roskomnadzor môže byť zahrnutá akákoľvek organizácia, ktorá sa podieľa na spracovaní osobných údajov.
    Základom pre vykonanie plánovanej kontroly je skutočnosť, že prevádzkovateľ začal so spracúvaním osobných údajov vrátane uplynutia troch rokov odo dňa štátna registrácia ako prevádzkovateľa osobných údajov alebo ukončenie plánovanej kontroly vo vzťahu k prevádzkovateľovi po troch rokoch od predchádzajúcej plánovanej kontroly.

    2). Neplánovaná kontrola.
    Dôvody pre tento typ recenzie sú:
    - preverenie vykonania príkazu na odstránenie zisteného porušenia, ktorý bol vydaný skôr,
    — zisťovanie priestupkov povinné požiadavky ako výsledok systematického pozorovania,
    - žiadosť prokurátora viesť neplánovaná kontrola na základe doručených materiálov a odvolaní na prokuratúru od občanov, fyzických osôb podnikateľov, právnických osôb, štátnych a samospráva,
    — porušenia zákonné práva a záujmy zakladajúcich subjektov Ruskej federácie z dôvodu nečinnosti prevádzkovateľov zapojených do spracovania osobných údajov,
    - príkaz vedúceho služby, ktorý sa vydáva v súlade s pokynmi prezidenta Ruskej federácie alebo vlády Ruskej federácie.
    Kontrola sa vykonáva v lehote najviac 20 pracovných dní, zároveň ju však možno v prípade vážnych dôvodov predĺžiť na základe príkazu vedúceho oddelenia Roskomnadzor o ďalších 20 pracovných dní. dni.
    Okrem toho možno overovacie činnosti vykonávať jednou z nasledujúcich metód:
    a) pole, t.j. kontrola prebieha v mieste kontrolovaného.
    b) listinnú, písomnú žiadosť prevádzkovateľa poskytnúť požadované dokumenty a informácie. Ak dokumenty neboli poskytnuté a ich poskytnutie musí byť bezpodmienečne vykonané zákonom, znamená to pokutu. Ak správna pokuta nebola zaplatená, možno ju zdvojnásobiť.
    c) systematické pozorovanie vykonávané bez interakcie s kontrolovanou osobou a od kontrolovanej osoby sa nevyžadujú žiadne dokumenty a informácie. Štátni špecialisti-inšpektori Územná správa Roskomnadzor vyvodzuje závery o činnosti kontrolovaného na základe jeho konania vo vzťahu k neurčitému okruhu subjektov.

    Zodpovednosť za nezákonné spracúvanie osobných údajov

    Prevádzkovateľ nesmie umožniť zhromažďovanie, uchovávanie, používanie a šírenie informácií týkajúcich sa osobných a rodinný život, tajná korešpondencia, telegrafické, poštové alebo iné správy, telefonické rozhovory, ak nie rozsudok alebo právny základ za tieto akcie.

    Prevádzkovateľ nemá právo použiť osobné údaje za účelom spôsobenia morálnej a majetkovej ujmy občanom, ako aj sťažovania výkonu ich slobôd a práv. Prevádzkovateľ osobných údajov navyše nemá právo obmedzovať práva občanov Ruskej federácie pri používaní ich osobných údajov týkajúcich sa národnostnej, rasovej, náboženskej, jazykovej alebo straníckej príslušnosti.
    Fyzické a právnické osoby, ktoré v súlade so svojimi právomocami vlastnia akékoľvek súkromné ​​informácie o občanoch, používajú ich pri porušení federálneho zákona „O osobných údajoch“, zodpovedajú za tento čin v súlade s platnou legislatívou Ruskej federácie.

    Osoby, ktoré svojím konaním porušili federálny zákon „O osobných údajoch“, nesú občiansku, správnu, disciplinárnu, trestnoprávnu alebo inú zodpovednosť ustanovenú platnou legislatívou Ruskej federácie.

    Kódex Administratívne priestupky(CoAP):

    A) Porušenie článku 13.11 štatutárne postup pri zhromažďovaní, uchovávaní, používaní alebo šírení informácií o občanoch (osobné údaje). Tento článok obsahuje varovanie alebo uloženie správnej pokuty:
    - občania vo výške 300 - 500 rubľov,
    - úradníci vo výške 500 - 1 000 rubľov,
    - právnické osoby vo výške 5 000 - 10 000 rubľov.

    B) článok 13.12 Porušenie pravidiel ochrany informácií.
    Podľa tohto článku sa porušovateľom zákona ukladá správna pokuta vo výške 500 až 30 tisíc rubľov. Okrem tohoto právnických osôb možno uplatniť konfiškáciu alebo administratívne pozastavenie činnosti na obdobie 3 mesiacov.
    C) článok 13.14 Sprístupnenie informácií s obmedzeným prístupom.
    V súlade s týmto článkom je možné uložiť správnu pokutu:
    - občania vo výške 4 až 5 tisíc rubľov.

    D) Článok 19.5 Nedodržanie včasného právneho poriadku (vyhlášky, predloženia, rozhodnutia) orgánu (úradníka) vykonávajúceho štátny dozor(kontrola).
    Porušovateľom tohto článku hrozí administratívna pokuta v rozmedzí od 300 do 500 tisíc rubľov alebo diskvalifikácia až na 3 roky.

    Trestný zákon (TZ).

    Článok 137 Porušenie súkromia.
    V tomto článku sa uvádza, že za nezákonné zhromažďovanie alebo šírenie informácií o súkromnom živote subjektu, ktoré sú jeho rodinným alebo osobným tajomstvom, bez jeho súhlasu, alebo šírenie takýchto informácií prostredníctvom médií nesie zodpovednosť vo forme
    - pokuta do 200 tisíc rubľov alebo vo výške rovnajúcej sa mzdy na 18 mesiacov,
    povinné práce až 360 hodín
    - nápravná práca do 1 roka,
    nútená práca do 2 rokov
    - zákaz vykonávať určité činnosti až na 3 roky,
    - Zatknutie až na 2 roky.

    Zákonník práce (ZP).

    Článok 90 Zodpovednosť za porušenie pravidiel upravujúcich spracovanie a ochranu osobných údajov zamestnanca.
    Tento článok stanovuje trest vo forme prepustenia alebo možnosti trestu v súlade s Trestným zákonom Ruskej federácie.

    Požiadavky na ochranu osobných údajov

    V súlade s článkom 19 federálneho zákona „o osobných údajoch“ sa požiadavky na ochranu osobných údajov považujú za povinné. Prevádzkovateľ je povinný pri spracúvaní osobných údajov prijať nevyhnutné právne, organizačné a technické opatrenia alebo zabezpečiť ich prijatie na ochranu osobných údajov pred neoprávneným alebo náhodným prístupom k nim, zničením, úpravou, blokovaním, kopírovaním, poskytovaním, rozširovaním osobných údajov, ako aj z iných protiprávnych konaní týkajúcich sa osobných údajov.

    Zabezpečenie bezpečnosti osobných údajov sa dosahuje najmä:

    1) určenie ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov;
    2) uplatňovanie organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov potrebných na splnenie požiadaviek na ochranu osobných údajov, ktorých plnenie zabezpečuje zriadená vládouÚrovne ochrany osobných údajov Ruskej federácie;
    3) používanie nástrojov informačnej bezpečnosti, ktoré prešli postupom posudzovania zhody v súlade so stanoveným postupom;
    4) posúdenie účinnosti prijatých opatrení na zaistenie bezpečnosti osobných údajov pred uvedením informačného systému osobných údajov do prevádzky;
    5) zohľadnenie strojových nosičov osobných údajov;
    6) zisťovanie skutočností neoprávneného prístupu k osobným údajom a prijímanie opatrení;
    7) obnovenie osobných údajov upravených alebo zničených v dôsledku neoprávneného prístupu k nim;
    8) ktorým sa ustanovujú pravidlá prístupu k osobným údajom spracúvaným v informačnom systéme osobných údajov, ako aj zabezpečenie evidencie a účtovania všetkých úkonov vykonaných s osobnými údajmi v informačnom systéme osobných údajov.

    Na dosiahnutie vyššie uvedených cieľov musia všetky organizácie, ktoré spracúvajú osobné údaje, dodržiavať nasledujúce požiadavky:

    — dodržiavať požiadavky federálneho zákona č. 152 „O osobných údajoch“ a zároveň poskytnúť všetky potrebné dôkazy o zákonnosti zhromažďovania a spracovania osobných údajov,
    — poskytovať ochranu pred neoprávneným rozširovaním osobných údajov,
    - vypracovať predpisy miestne akty a technicko-organizačnú dokumentáciu na zabezpečenie regulovaného spracúvania osobných údajov,
    — oznámiť oddeleniu Roskomnadzor.

    Aby ste splnili tieto požiadavky, musíte urobiť nasledovné:

    1. Urobte si štúdiu procesov zhromažďovania a spracovania osobných údajov v spoločnosti. Totiž na akom mieste a v akej forme sa spracúvajú, na akom mieste sa uchovávajú, kto je za to zodpovedný a má k nim prístup, aký je zdroj osobných údajov a podobné otázky. Je potrebné zbierať kompletné informácie o všetkých procesoch súvisiacich s osobnými údajmi.

    2. Je potrebné vypracovať balík dokumentov, ktoré sa týkajú procesu spracúvania osobných údajov, a to
    A. Akt kategorizácie,
    B. Koncepcia vytvorenia systému ochrany osobných údajov,
    B. Model hrozby,
    D. Model votrelca,
    D. Technická úloha vybudovať systém ochrany osobných údajov,
    E. Technický dizajn ( vysvetľujúca poznámka technický projekt) na vybudovanie systému ochrany osobných údajov,
    G. Organizačná a administratívna dokumentácia.

    Vo všeobecnosti je počet dokumentov v priemernej organizácii okolo 80 kusov vrátane registrov a objednávok.

    3. Implementovať v organizácii technické prostriedky ochrany, podľa vypracovanej dokumentácie.

    4. Vykonávať posudzovanie zhody alebo certifikáciu informačných systémov.

    Certifikácia a hodnotenie sú špeciálne ustanovené dokumenty, vďaka ktorým má organizácia možnosť potvrdiť, že spĺňa všetky požiadavky platnej legislatívy Ruskej federácie.

    Základ pre rozvoj schválené dokumenty prevádzkovateľom osobných údajov je Federálna služba pre technické a kontrola vývozu Ruskej federácie (FSTEC) a Federálnej bezpečnostnej služby Ruskej federácie (FSB), čo je uvedené v ich regulačných metodických dokumentov a objednávky.

    Jedným z týchto dokumentov je:

    objednať Federálna služba o technickej a exportnej kontrole (FSTEC Ruska) z 5. februára 2010 č. 58 „O schválení nariadení o metódach a metódach ochrany informácií v informačných systémoch osobných údajov“.

    V túto objednávku pre všetky organizácie také metódy a spôsoby ochrany osobných údajov pred neoprávneným prístupom prístup ako,
    — implementácia povoľovacieho systému pre prijímanie používateľov ( servisný personál) na informačné zdroje, informačný systém a súvisiace práce, dokumenty;
    - obmedzenie prístupu užívateľov do priestorov, kde sa nachádzajú technické prostriedky umožňujúce spracúvanie osobných údajov, ako aj pamäťové médiá;
    - vymedzenie prístupu používateľov a personálu údržby k informačným zdrojom, softvérovým nástrojom na spracovanie (prenos) a ochranu informácií;
    - evidencia úkonov užívateľov a personálu údržby, kontrola neoprávneného prístupu a úkonov užívateľov, personálu údržby a neoprávnených osôb;
    - evidencia a skladovanie vymeniteľných médií a ich obeh, s výnimkou krádeže, výmeny a zničenia;
    - rezervácia technické prostriedky duplikácia polí a pamäťových médií;
    používanie nástrojov informačnej bezpečnosti, ktoré prešli postupom posudzovania zhody predpísaným spôsobom;
    — používanie bezpečných komunikačných kanálov;
    - umiestnenie technických prostriedkov, ktoré umožňujú spracúvanie osobných údajov v chránenom priestore;
    - organizáciu fyzickej ochrany priestorov a vlastných technických prostriedkov umožňujúcich spracúvanie osobných údajov;
    — predchádzanie zavádzaniu škodlivých programov (vírusových programov) a softvérových záložiek do informačných systémov.

    Medzi hlavné metódy a prostriedky ochrany údajov pred neoprávneným prístupom v prípade interakcie medzi informačnými a telekomunikačnými sieťami medzinárodnej výmeny informácií a informačnými systémami patria:

    — firewall na kontrolu prístupu, filtrovanie sieťových paketov a preklad sieťových adries s cieľom skryť štruktúru informačného systému;
    - odhaľovanie prienikov do informačného systému, ktoré porušujú alebo vytvárajú predpoklady na porušenie ustanovených požiadaviek na zaistenie bezpečnosti osobných údajov;
    — bezpečnostná analýza informačných systémov, ktorá zahŕňa použitie špecializovaných softvérových nástrojov (bezpečnostné skenery);
    - ochrana informácií pri ich prenose komunikačnými kanálmi;
    - používanie čipových kariet, elektronických zámkov a iných nosičov informácií na spoľahlivú identifikáciu a autentifikáciu používateľov;
    - používanie antivírusovej ochrany;
    centralizovaná správa systému ochrany osobných údajov informačného systému;
    — filtrovanie prichádzajúcich (ochádzajúcich) sieťových paketov podľa pravidiel stanovených operátorom ( autorizovaná osoba);
    — periodická analýza bezpečnosti inštalovaných firewallov založená na napodobňovaní vonkajších útokov na informačné systémy;
    — aktívny bezpečnostný audit informačného systému na detekciu neoprávnenej sieťovej aktivity v reálnom čase;
    — analýza informácií prijatých prostredníctvom informačných a telekomunikačných sietí medzinárodnej výmeny informácií (verejné komunikačné siete), vrátane informácií o prítomnosti počítačových vírusov;
    — používanie bezpečnostných atribútov;
    - vytvorenie komunikačného kanála, ktorý zabezpečuje ochranu prenášaných informácií;
    - implementácia autentifikácie interagujúcich informačných systémov a overenie autentifikácie užívateľa a integrity prenášaných dát.

    V Ďalšie požiadavky pre organizácie vrátane:

    - vytvorenie komunikačného kanála, ktorý zabezpečuje ochranu prenášaných informácií;
    - autentifikácia interagujúcich informačných systémov a overenie používateľskej autentifikácie a integrity prenášaných údajov;
    — zabezpečenie zamedzenia možnosti používateľa poprieť odoslanie osobných údajov inému používateľovi;
    - zabezpečenie, aby používateľ nepopieral skutočnosť, že dostal osobné údaje od iného používateľa.

    Štítky: PDN 152-FZ


    © 2022 egoist24.ru Platobné systémy. Hypotéka. banky. Peniaze Yandex. webmoney. Všeobecné informácie.