Pagproseso at pag-iimbak ng personal na data sa Russian Federation. Personal na data ng mga mamamayan ng Russia at mga server sa mga dayuhang bansa

Terminolohiya ng imbakan personal na data nabuo mamaya.

Noong 2001 sa Kodigo sa Paggawa Ang Kabanata 14 ay lumabas sa Russia, na nakatuon sa mga empleyado, at makalipas ang 15 taon, sa wakas ay nabuo ng gobyerno ang mga tuntunin para sa paghawak ng kumpidensyal na impormasyon.

Ang pag-iimbak ng impormasyon ay tumutukoy sa paraan ng pamamahagi nito sa oras at espasyo. gamit ang isang tiyak na midyum. Ang pangunahing kondisyon at layunin ng pag-iimbak ng data ay upang magbigay ng permanenteng pag-access dito o pag-access kapag hinihiling.

Ang imbakan ng data ay mahalaga bahagi pagproseso ng impormasyon. Kapag ang isang mamamayan ay nagbibigay, ito ay tungkol sa pagkolekta, pag-iipon, paglilinaw, pagkuha, pag-update at pag-iimbak ng impormasyon.

Saan ito maiimbak sa teritoryo ng Russian Federation?

Ang bawat operator ay dapat magkaroon ng isang patakaran sa privacy kabilang ang mga sumusunod na item:

Electronic

Ang personal na impormasyon ay inuri bilang kumpidensyal at samakatuwid ay dapat protektahan. Para sa lahat ng mga operasyon na may ganitong mga pahayag, kabilang ang storage, (ISPD) ay ginagamit.

Sa Russia, karaniwang nahahati sila sa apat na kategorya depende sa kahalagahan at dami ng impormasyon.

  • Kategorya 1. Karaniwang sistema ng impormasyon ng personal na data na may mga pahayag para sa higit sa 100 libong mga paksa. Naglalaman ito ng impormasyon tungkol sa lahi, nasyonalidad, pananaw sa pulitika, relihiyon, matalik na buhay at iba pang mga pahayag, na ang pagpapakalat nito ay magkakaroon ng malinaw na Negatibong impluwensya sa buhay ng mga indibidwal.
  • Kategorya 2. Naglalaman ang system ng mga personal na pahayag, ang pagsisiwalat nito ay magpapahintulot sa mga third party na makatanggap ng mga karagdagang pahayag tungkol sa isang indibidwal, maliban sa data na nauugnay sa unang kategorya.
  • Kategorya 3. Isang system na may personal na impormasyon na ginagawang posible upang makilala ang isang indibidwal.
  • Kategorya 4. Nagbibigay ng imbakan, ang pagsisiwalat kung saan ay hindi magkakaroon ng negatibong epekto.

Ang proseso ng imbakan ay nagsisimula sa paglikha ng naturang sistema at ang pagpapatunay nito ng mga ahensya ng gobyerno ng Russia. Pagkatapos nito, dapat tiyakin ng operator ang lahat ng mga kinakailangan para sa proteksyon ng engineering ng lugar, ang pagsunod ng system ay nasuri ayon sa:

  1. mga kinakailangan sa kaligtasan ng sunog;
  2. proteksyon;
  3. kuryente;
  4. saligan;
  5. sanitary requirements.

Ang huling punto ay ang pagpapatunay o sertipikasyon ng ISPD. Kung handa na ang ISPD, kailangang magrehistro ang kumpanya legal na batayan lahat ng mga prosesong may personal na impormasyon na lalabas sa site bago magpasok ng mga pahayag tungkol sa user sa form.

Maaari itong tawaging kahit ano, halimbawa, "Patakaran sa pagpoproseso ng personal na data" o "Pahintulot sa pag-imbak ng personal na impormasyon."

Ang pangunahing bagay ay ang kliyente ay maaaring maging pamilyar dito at mag-click sa "tik", kaya ipinapahayag ang kanyang pahintulot sa pagbibigay ng impormasyon sa operator. Ang buong proseso ng pag-iimbak ng naturang impormasyon ay kinokontrol mga gawaing pambatasan tungkol sa kumpidensyal na data.

Ipinagbabawal na ilipat ang mga ito sa isang ikatlong partido, pati na rin ang paggamit para sa mga layuning hindi orihinal na ipinahiwatig.

Para sa mga operator na nagtatrabaho sa electronic media, ang pagtuturo ay magiging ganito:

  1. Dapat na pinaghihigpitan ang pag-access sa data.
  2. Magpadala ng impormasyon sa mga naka-encrypt na channel.
  3. Magkaroon ng .
  4. Panatilihin ang mga talaan ng pisikal na media, kung mayroon man.
  5. Pigilan ang pagtagas.
  6. Hiwalay na mag-imbak ng impormasyong pinoproseso gamit ang iba't ibang layunin.
  7. impormasyon pagkatapos ng pagproseso pagkatapos ng 30 araw ng pag-iimbak (kanais-nais) o pagkatapos ng anim na buwan (sa walang sablay).

Maaaring mag-post ng data ang mga kumpanya ayon sa nakikita nilang angkop., kabilang ang mga modernong ulap.

Malinaw na kinokontrol ng estado ang mga proseso para sa pag-iimbak ng PD, ang lahat ng mga operator ng naturang impormasyon ay dapat sumailalim sa isang serye ng mga pagsusuri at patunayan ang kanilang kakayahang magbigay ng impormasyon. Sa kaso ng hindi awtorisadong pamamahagi o pag-access sa data, ang operator ay may pananagutan sa sibil, materyal at maging kriminal.

Pagkamamamayan

Tulad ng mga sumusunod mula sa mga probisyon ng bahagi 2 at 3 ng Artikulo 105 ng Air Code Pederasyon ng Russia, ang kontrata para sa karwahe ng hangin ng isang pasahero, ang kontrata para sa karwahe ng mga kalakal sa pamamagitan ng hangin o ang kontrata para sa karwahe ng koreo sa pamamagitan ng hangin ay sertipikado, ayon sa pagkakabanggit, sa pamamagitan ng isang tiket at isang resibo ng bagahe sa kaso ng karwahe ng isang pasahero ng bagahe, isang consignment note, isang postal bill; tiket, tseke ng bagahe, iba pang mga dokumento na ginamit sa pagbibigay ng mga serbisyo sa transportasyon sa himpapawid para sa mga pasahero ay maaaring maibigay sa sa elektronikong pormat(dokumento ng elektronikong transportasyon) na may paglalagay ng impormasyon sa mga tuntunin ng kasunduan sa transportasyon ng hangin sa awtomatikong sistema ng impormasyon para sa pag-isyu ng transportasyon sa hangin. Kaya, upang maipatupad ang mga probisyon sa itaas ng batas, ang mga air carrier ay kinakailangan na iproseso ang personal na data ng pasahero upang makagawa ng mga dokumento na nagpapatunay sa pagtatapos ng isang kasunduan sa transportasyon sa himpapawid.

Alinsunod sa Art. 85.1 ng Air Code ng Russian Federation, upang matiyak seguridad sa paglipad Tinitiyak ng mga carrier ang paglilipat ng personal na data ng mga pasahero ng sasakyang panghimpapawid sa mga awtomatikong sentralisadong database ng personal na data sa mga pasahero alinsunod sa batas ng Russian Federation sa seguridad ng transportasyon at ang batas ng Russian Federation sa larangan ng personal na data, sa internasyonal na transportasyon ng hangin din sa mga awtorisadong katawan ng mga dayuhang estado alinsunod sa mga internasyonal na kasunduan ng Russian Federation o ang batas ng mga dayuhang estado ng pag-alis, destinasyon o pagbibiyahe sa lawak na itinakda ng batas ng Russian Federation, maliban kung itinatadhana ng mga internasyonal na kasunduan ng Pederasyon ng Russia. Kasabay nito, dapat itong isipin na ang Russian Federation ay isang partido sa isang bilang ng mga internasyonal na kombensiyon sa larangan ng air transport, lalo na, Chicago Convention ("Convention sa International abyasyong sibil" ay natapos sa Chicago noong Disyembre 7, 1944, ipinatupad para sa Russian Federation noong Agosto 16, 2005 - "Koleksyon ng Lehislasyon ng Russian Federation", 10/30/2006, No. 44), Warsaw Convention ( "Convention for the Unification of Certain Rules Relating to International Carriage by Air" na natapos sa Warsaw noong Oktubre 12, 1929, na ipinatupad para sa USSR noong Pebrero 13, 1933, Collection. umiiral na mga kasunduan, mga kasunduan at kombensiyon na tinapos ng USSR sa mga dayuhang estado, Vol. VIII, - M., 1935, p. 326 - 339.) at ang Gualadajara Convention ( "Ang kombensyon na pandagdag sa Warsaw Convention para sa pag-iisa ng ilang mga patakaran na may kaugnayan sa internasyonal na transportasyon ng hangin na isinasagawa ng isang tao na hindi isang carrier sa ilalim ng kontrata" ay natapos sa Guadalajara noong Setyembre 18, 1961, na ipinatupad para sa USSR noong Disyembre 21, 1983, "Vedomosti ng USSR Armed Forces" , 02/15/1984, No. 7), na isa ring mahalagang bahagi ng legal na regulasyon mga aktibidad ng mga air carrier at mga kaugnay na proseso ng impormasyon.

Batay sa nabanggit, kinakailangan h. 5 Artikulo. 18 ng Pederal na Batas "Sa Personal na Data" ay hindi nalalapat sa mga aktibidad ng mga Russian at dayuhang air carrier sa mga tuntunin ng pagkolekta at pagproseso ng personal na data ng mga mamamayan-pasahero para sa mga layunin ng pag-book, pag-isyu at pag-isyu ng mga tiket sa kanila ( mga tiket sa paglalakbay), mga resibo ng bagahe at iba pa mga dokumento sa pagpapadala, dahil sila ay nasa ilalim ng pagbubukod na ibinigay para sa talata 2 ng bahagi 1 ng Art. 6 ng Pederal na Batas "Sa Personal na Data".

Mga Kinakailangan h. 5 Artikulo. 18 ng Pederal na Batas "Sa Personal na Data" ay hindi rin nalalapat sa mga aktibidad ng mga taong kumikilos sa ngalan ng air carrier (awtorisadong ahente), na ang mga aktibidad ay ibinigay para sa sugnay 6 ng Pangkalahatang Panuntunan para sa Air Transportation ng mga Pasahero, Baggage, Cargo at ang mga kinakailangan para sa pagseserbisyo sa mga pasahero, consignor, consignee, na inaprubahan ng Order of the Ministry of Transport of Russia No. 82 na may petsang Hunyo 28, 2007 "Sa pag-apruba ng Federal Aviation Rules" Pangkalahatang tuntunin transportasyon sa himpapawid ng mga pasahero, bagahe, kargamento at mga kinakailangan para sa paglilingkod sa mga pasahero, consignor, consignees", pati na rin ang iba pang mga tao, sa mga tuntunin ng pagproseso ng personal na data ng mga mamamayan-pasahero para lamang sa mga layunin ng pag-book, pag-isyu at pag-isyu ng mga tiket sa eroplano (mga tiket sa paglalakbay ), mga resibo ng bagahe at iba pang mga dokumento sa transportasyon, kabilang ang elektronikong anyo para sa mga domestic at internasyonal na flight, kung ang mga aktibidad sa itaas ng mga taong ito ay ibinibigay ng batas ng Russian Federation o ng nauugnay na internasyonal na kasunduan, kabilang ang para sa mga layunin ng pagtiyak ng seguridad ng aviation.

Kung ang pagproseso ng personal na data ay nasa ilalim ng mga pagbubukod na ibinigay para sa mga talata 2, 3, 4, 8 ng talata 1 ng Artikulo 6 pederal na batas"Sa Personal na Data", ang mga probisyon ng Bahagi 5 ng Artikulo 18 ng 152-FZ ay hindi nalalapat. Ang naaangkop na kwalipikasyon ng mga aksyon na ginawa para sa pagproseso ng personal na data at pagtiyak ng pagsunod nito sa mga kinakailangan ng batas ay isinasagawa ng operator ng personal na data kapag tinitiyak (pag-aayos ng probisyon ng) naturang pagproseso. Ang kawastuhan ng nasabing kwalipikasyon at katiyakan sa pagproseso sa isang partikular na sitwasyon ay sinusuri ng isang awtorisado pederal na ahensya sa panahon ng mga aktibidad sa pagkontrol.

Mga kalakal at serbisyo

Mula sa kabuuan ng mga probisyon ng Bahagi 5 ng Artikulo 18 ng Pederal na Batas "Sa Personal na Data" ("kapag nangongolekta ng personal na data, kabilang ang sa pamamagitan ng impormasyon sa Internet at network ng telekomunikasyon, ang operator ay obligadong tiyakin ang pag-record, systematization, akumulasyon, imbakan , paglilinaw (pag-update, pagbabago), pagkuha ng personal na data ng mga mamamayan ng Russian Federation gamit ang mga database na matatagpuan sa teritoryo ng Russian Federation, maliban sa mga kaso na tinukoy sa mga talata 2, 3, 4, 8 ng bahagi 1 ng Artikulo 6 nito Pederal na Batas) at talata 2 ng bahagi 1 ng Artikulo 6 ng Pederal na Batas "Sa Personal na Data" ("ang pagproseso ng personal na data ay kinakailangan upang makamit ang mga layunin na itinakda ng isang internasyonal na kasunduan ng Russian Federation o ng batas, upang magamit at matupad ang mga pag-andar, kapangyarihan at obligasyon na itinalaga ng batas ng Russian Federation sa operator") sinusunod nito na ang pagproseso ng personal na data para sa mga layunin at alinsunod sa mga iniaatas na itinatag ay pinagtibay. Ang Russian Federation of the Council of Europe Convention para sa Proteksyon ng mga Indibidwal patungkol sa Awtomatikong Pagproseso ng Personal na Data ay hindi sumasalungat sa batas ng Russian Federation na namamahala sa mga relasyon sa larangan ng proteksyon ng personal na data. Bilang karagdagan, ang bahagi 5 ng artikulo 18 152-FZ ay hindi naghihigpit sa paglipat ng cross-border ng personal na data ng mga mamamayan ng Russian Federation.

Ang batas ay hindi nagbibigay ng konsepto ng "paunang koleksyon", ngunit nagtatatag ng mga kinakailangan para sa pagproseso ng personal na data sa anumang koleksyon ng impormasyon, habang itinatampok ang mga naturang operasyon sa PD bilang paglilinaw (pag-update, pagbabago) ng impormasyong naglalaman ng personal na data. Para sa mga layunin ng batas, ang proseso ng pagkolekta ng impormasyon ay kasama rin ang mga pamamaraan para sa pag-iimbak at pag-iipon ng impormasyon, na sa sarili nito ay hindi pinapayagan ang paggamit ng naturang konsepto bilang "pangunahing koleksyon". Kaya, ang batas ay nagpapataw sa operator ng obligasyon, kapag pinoproseso ang nakolektang personal na data sa pamamagitan ng systematization, akumulasyon, imbakan, paglilinaw, pagkuha, na gumamit ng mga database na matatagpuan sa teritoryo ng Russian Federation. Kaya, kung upang maghanda ng mga ulat o pag-aralan ang impormasyon na naglalaman ng personal na data, kailangang isagawa ng operator ang nabanggit na mga anyo ng pagproseso ng personal na data, kung gayon ang mga naturang aksyon ay dapat isagawa gamit ang mga database na matatagpuan sa teritoryo ng Russian Federation.

Ang interpretasyon tungkol sa pangunahing koleksyon ay hindi tama para sa mga sumusunod na dahilan. Ang batas ay hindi nagbibigay ng konsepto ng "paunang koleksyon", ngunit nagtatatag ng mga kinakailangan para sa pagproseso ng personal na data sa anumang koleksyon ng impormasyon, habang itinatampok ang mga naturang operasyon sa PD bilang paglilinaw (pag-update, pagbabago) ng impormasyong naglalaman ng personal na data. Para sa mga layunin ng batas, ang proseso ng pagkolekta ng impormasyon ay kasama rin ang mga pamamaraan para sa pag-iimbak at pag-iipon ng impormasyon, na sa sarili nito ay hindi pinapayagan ang paggamit ng naturang konsepto bilang "pangunahing koleksyon". Kaya, ang batas ay nagpapataw sa operator ng obligasyon, kapag pinoproseso ang nakolektang personal na data sa pamamagitan ng systematization, akumulasyon, imbakan, paglilinaw, pagkuha, na gumamit ng mga database na matatagpuan sa teritoryo ng Russian Federation.

Alinsunod sa mga probisyon ng sugnay 7 ng bahagi 4 ng artikulo 16 ng Pederal na Batas No. 149-FZ ng Hulyo 27, 2006 "Sa Impormasyon, Teknolohiya ng Impormasyon at Proteksyon ng Impormasyon", ang may-ari ng impormasyon, ang operator ng sistema ng impormasyon, sa mga kaso na itinatag ng batas ng Russian Federation, ay obligadong tiyakin ang lokasyon sa teritoryo ng Russian Federation ng mga database ng impormasyon, na ginagamit upang mangolekta, magrekord, mag-systematize, makaipon, mag-imbak, linawin (pag-update, baguhin), kunin personal na data ng mga mamamayan ng Russian Federation.

Isinasaalang-alang din ang mga probisyon ng Bahagi 5 ng Artikulo 18 ng Federal Law No. 152-FZ ng Hulyo 27, 2006 "Sa Personal na Data" (epektibo mula Setyembre 1, 2015), na nagtatatag na kapag nangongolekta ng personal na data, kabilang ang sa pamamagitan ng impormasyon network ng telekomunikasyon sa Internet, ang operator ay obligadong tiyakin ang pag-record, systematization, akumulasyon, imbakan, paglilinaw (pag-update, pagbabago), pagkuha ng personal na data ng mga mamamayan ng Russian Federation gamit ang mga database na matatagpuan sa teritoryo ng Russian Federation, naniniwala kami na ang pagproseso ng personal na data ng mga mamamayan ng Russian Federation sa teritoryo ng isa pang estado ay maaaring isagawa ng eksklusibo sa mga kaso na ibinigay para sa mga talata 2, 3, 4, 8 ng bahagi 1 ng artikulo 6 ng Pederal na Batas "Sa Personal Data", kung saan mayroong pagbubukod sa bahagi 5 ng artikulo 18 ng 152-FZ. Dapat ding tandaan na walang mga legal na dibisyon sa "pangunahing" personal na data base at ang "kopya" nito. Sa parehong mga kaso, pinag-uusapan natin ang tungkol sa isang database kung saan pinoproseso ang personal na data. Kasabay nito, ang Pederal na Batas ay hindi naglalaman ng mga indikasyon ng isang pangkalahatang pagbabawal sa pagproseso ng personal na data ng mga mamamayan ng Russian Federation gamit ang mga database na hindi matatagpuan sa teritoryo ng Russian Federation.

Kaugnay nito, naniniwala kami na ang pagproseso ng personal na data ng mga mamamayan ng Russian Federation sa pamamagitan ng koleksyon, pag-record, systematization, akumulasyon, imbakan, paglilinaw, pagkuha ay maaaring isagawa gamit ang mga database na hindi matatagpuan sa teritoryo ng Russian Federation sa mga sumusunod na kaso:

  • kung ang naturang aktibidad ay nasa ilalim ng mga kaso na ibinigay para sa mga talata 2-4, 8 ng bahagi 1 ng artikulo 6 ng 152-FZ;
  • kung ang naturang aktibidad ay hindi nasa ilalim ng mga kaso na ibinigay para sa mga talata 2-4, 8 ng bahagi 1 ng artikulo 6 ng 152-FZ, at sa teritoryo ng Russian Federation mayroong mga database na ginagamit para sa naturang pagproseso ng personal na data na naglalaman ng mas malaking halaga ng personal na data o katumbas ng nasa labas ng teritoryo ng Russian Federation (sa kasong ito, hindi katanggap-tanggap na makahanap ng personal na data sa labas ng teritoryo ng Russian Federation na hindi sabay na matatagpuan sa loob ng teritoryo ng Russian Federation).

Ang paglipat ng cross-border ng personal na data ay hindi ipinagbabawal, napapailalim sa pagsunod sa mga kinakailangan na itinatag sa Artikulo 12 ng Federal Law No. 152-FZ. Kasabay nito, ang paglipat ng data sa cross-border ay dapat magkaroon ng isang paunang natukoy na layunin ng pagproseso, sa pag-abot kung saan ang paksa ng personal na data ay dapat na ginagarantiyahan ang pagkasira ng inilipat na data sa teritoryo ng isang dayuhang estado. Kung ang mga kinakailangan na ito ay natutugunan, pananagutan sa ilalim batas ng Russia, ay naaangkop sa operator sa kaso ng paglabag sa pamamaraan at mga kundisyon na itinatag para sa kasunduan sa komisyon.

Alinsunod sa mga probisyon ng talata 2 ng Artikulo 3 ng Pederal na Batas "Sa Personal na Data", ang operator ay isang katawan ng estado, munisipal na katawan, ligal na nilalang o indibidwal, nang nakapag-iisa o kasama ng ibang mga taong nag-oorganisa at (o) nagsasagawa ng pagpoproseso ng personal na data, pati na rin ang pagtukoy sa mga layunin ng pagproseso ng personal na data, ang komposisyon ng personal na data na ipoproseso, mga aksyon (operasyon) na isinagawa gamit ang personal na data. Kaya, ang mga probisyon ng Federal Law No. 242-FZ ay nalalapat sa lahat ng mga paksa sa itaas. Ang pinagtibay na pederal na batas ay hindi nagbubuklod sa pamamahagi ng Bahagi 5 ng Artikulo 18 ng 152-FZ lamang sa mga operator kung saan ang pagpoproseso ng personal na data ang kanilang pangunahing aktibidad, o sa mga operator na nagpoproseso ng personal na data lamang gamit ang impormasyon at mga network ng telekomunikasyon.

Alinsunod sa mga probisyon ng talata 2 ng Artikulo 3 ng Pederal na Batas "Sa Personal na Data", ang operator ay isang katawan ng estado, munisipal na katawan, ligal na nilalang o indibidwal, nang nakapag-iisa o kasama ng ibang mga taong nag-oorganisa at (o) nagsasagawa ng pagpoproseso ng personal na data, pati na rin ang pagtukoy sa mga layunin ng pagproseso ng personal na data, ang komposisyon ng personal na data na ipoproseso, mga aksyon (operasyon) na isinagawa gamit ang personal na data. Kaya, ang mga probisyon ng Federal Law No. 242-FZ ay nalalapat sa lahat ng mga paksa sa itaas. Ang pinagtibay na pederal na batas ay hindi nagbubuklod sa pamamahagi ng Bahagi 5 ng Artikulo 18 ng 152-FZ lamang sa mga operator kung saan ang pagpoproseso ng personal na data ang kanilang pangunahing aktibidad, o sa mga operator na nagpoproseso ng personal na data lamang gamit ang impormasyon at mga network ng telekomunikasyon. Ang mga kasalukuyang plano para sa mga gawaing pambatasan ay hindi nagbibigay para sa pagbuo ng isang draft na pederal na batas na nagwawasto sa probisyong ito.

Ang mga kinakailangan sa itaas ng batas ay nalalapat, bukod sa iba pang mga bagay, sa pagproseso ng operator ng personal na data na nakuha bilang resulta ng koleksyon, katulad ng pag-record, systematization, akumulasyon, imbakan, paglilinaw (pag-update, pagbabago), pagkuha.

Ang pag-unawa ay tama. Hindi isiniwalat ng 152-FZ ang terminong "paggamit ng personal na data". Para sa mga layunin ng interpretasyon, ang "paggamit ng personal na data" ay maaaring maunawaan bilang mga aksyon na may personal na data na hindi nauugnay sa iba pang mga anyo ng pagproseso ng personal na data, kabilang ang paggawa ng mga desisyon batay sa personal na data, para sa pagpapatupad kung saan ang personal na data ay nakolekta. (ang layunin ng pagkolekta ng personal na data ay dapat sumunod sa mga layunin ng paggamit ng personal na data).

Ang konsepto ng "operator" ay nakapaloob sa Artikulo 3 ng Batas Blg. 152-FZ, na tumutukoy sa isang katawan ng estado, munisipal na katawan, legal na entity o indibidwal, nang nakapag-iisa o kasama ng ibang mga taong nag-oorganisa at (o) nagpoproseso ng personal na data, bilang pati na rin ang pagtukoy sa mga layunin ng pagproseso ng personal na data. data, ang komposisyon ng personal na data na ipoproseso, mga aksyon (operasyon) na isinagawa gamit ang personal na data. Isinasaalang-alang na ang Artikulo 3 ng Batas Blg. 152-FZ ay hindi naglalaman ng mga eksepsiyon tungkol sa pagpapatupad ng isang tao mga indibidwal na operasyon sa pagproseso ng personal na data, pati na rin ang iba pang mga kahulugan na naiiba sa operator, ang taong tumutukoy sa layunin ng pagproseso ng personal na data, o nagsasagawa ng ilang mga aksyon para sa pagproseso ng personal na data sa konteksto ng mga probisyon ng Batas Blg. 152-FZ, ay ang operator na nagsasagawa ng pagproseso ng personal na data.

- Talaga bang hindi kinakailangan na muling o karagdagang abiso ng pagproseso ng personal na data pagkatapos ng Setyembre 1, 2015. Kailangan ko bang sabihin din kung saan matatagpuan ang mga database?

Walang konsepto ng "paulit-ulit" o "karagdagang" abiso. Ang Artikulo 22 ng Pederal na Batas "Sa Personal na Data" ay nagtatatag ng obligasyon ng operator na magpadala ng isang abiso bago ang pagproseso ng personal na data. Ang Bahagi 2 ng artikulong ito ay naglalaman ng ilang mga pagbubukod kapag ang naturang abiso ay hindi kinakailangan. Ang Pederal na Batas Blg. 242-FZ ay sinusugan sa bahagi 3, na tumutukoy sa mga kinakailangan para sa nilalaman ng abiso. Kung ang isang organisasyon ay dati nang nagpadala ng isang abiso sa Roskomnadzor tungkol sa pagproseso ng personal na data, pagkatapos pagkatapos ng pagpasok sa puwersa ng batas, ang mga operator, na ginagabayan ng bahagi 7 ng artikulong ito, ay dapat magbigay ng impormasyon tungkol sa lokasyon ng database sa loob ng sampung araw ng trabaho .

- Ang paunang koleksyon ba ng personal na data sa papel kasama ang kanilang kasunod na pagpasok sa isang elektronikong database ay nasa ilalim ng mga kinakailangan ng Bahagi 5 ng Artikulo 18 ng Pederal na Batas Blg. 152-FZ?

Ayon sa mga kinakailangan ng Bahagi 5 ng Artikulo 18 ng Pederal na Batas Blg. 152-FZ, kapag nangongolekta ng personal na data, kabilang ang sa pamamagitan ng impormasyon at network ng telekomunikasyon na "Internet", ang operator ay obligadong tiyakin ang pag-record, systematization, akumulasyon, imbakan, paglilinaw (pag-update, pagbabago), pagkuha ng personal na data ng mga mamamayan ng Russian Federation gamit ang mga database na matatagpuan sa teritoryo ng Russian Federation, maliban sa mga kaso na tinukoy sa mga sugnay 2, 3, 4, 8 ng bahagi 1 ng Artikulo 6 ng Pederal na ito Batas. Ang isang pangunahing prinsipyo ng batas ng personal na data ay ang prinsipyo na ang pagproseso ng personal na data ay dapat na limitado sa pagkamit ng mga tiyak, paunang natukoy at lehitimong mga layunin. Kaugnay nito, ang pagpasok ng personal na data sa sistema ng impormasyon ng personal na data na ginagamit para sa mga layuning katulad ng pagkolekta ng data sa papel na media, ay dapat isaalang-alang bilang isang proseso, ang pagpapatupad nito ay dapat isagawa nang mahigpit alinsunod sa mga kinakailangan ng Bahagi 5 ng Artikulo 18 ng Pederal na Batas Blg. 152-FZ. Ang paghahati ng nag-iisang proseso na ito sa magkahiwalay na mga aksyon ay hindi ibinigay ng batas ng Russian Federation sa larangan ng personal na data. Sa ganitong paraan, ibang mga klase ang pagproseso ng personal na data na ibinigay para sa Bahagi 5 ng Artikulo 18 ng Pederal na Batas No. 152-FZ, kabilang ang pagkolekta ng personal na data sa papel kasama ang kanilang kasunod na pagpasok sa isang elektronikong database, ay dapat isagawa bilang isang proseso sa legal na larangan. ng pambatasan norm na nag-oobliga na mag-imbak ng personal na data sa teritoryo ng Russian Federation.

imprastraktura ng ulap ay isang solusyon mula sa Integrus Group, na nagbibigay sa mga modernong negosyo ng isang handa na imprastraktura ng IT nang hindi nagsasangkot ng makabuluhang materyal at human resources.

Nag-aalok ang Integrus ng proteksyon ng personal na data at mga serbisyo sa pag-iimbak para sa mga kliyente ng korporasyon sa Russia. Sa pamamagitan ng pakikipag-ugnayan sa amin, maaari kang ganap na makatitiyak na makukuha mo sa iyong pagtatapon ang isang maaasahang secure na sistema at ganap na sumusunod sa mga kinakailangan ng batas.

Kung kanino angkop ang aming mga serbisyo

Mga presyo para sa pag-iimbak ng personal na data sa isang secure na server sa St. Petersburg

Plano ng taripa Presyo para sa pagrenta ng ISPD server na may certificate, rub./month **
Ang presyo ng pag-upa ng ISPD server na walang sertipiko, rubles / buwan
ISPDn-1 5Gb 4 990 2 490
ISPDn-2 50Gb 9 990 4 990
ISPDn-3 100Gb 19 990 9 990
ISPDn-4 200Gb 29 990 14 990
ISPDn-5 400Gb 39 990 19 990
I-setup ang pagbabayad * 10 000

* - Bilang karagdagan sa gastos ng isang secure na virtual server sa loob ng plano ng taripa, kapag nag-order ng unang server sa ISPD, mayroong bayad sa pag-install sa

sa halagang 10,000 rubles.

** - Ang halaga ng isang secure na ISPD server na may isang pakete ng mga dokumento at isang pamamaraan sa pagpapatunay sa lugar ng trabaho.

Ang pagbebenta ng isang ligtas na imprastraktura para sa pag-iimbak at pagproseso ng personal na data ayon sa ipinakita na mga plano ng taripa ay isinasagawa mula sa pinakamababang termino- 1 taon.

Mga halimbawa ng trabaho

Matagumpay naming nakumpleto ang isang proyekto upang ilipat ang personal na data ng mga mag-aaral ng Moscow Institute sa cloud. Ang mga sertipiko ng lugar ng trabaho, channel ng komunikasyon at cloud server ay inisyu. Isang hindi karaniwang database ang nilikha, na sumasakop sa 5GB sa isang secure na server.

Ang aming mga sertipiko

  • Ano ang kasama sa aming mga serbisyo sa pag-iimbak ng personal na data

    • Inaayos namin ang pagproseso at pag-iimbak ng impormasyon sa isang external na data processing center (DPC), binibigyan ka namin ng virtual machine na protektado alinsunod sa mga kinakailangan ng Federal Law on the Protection of Personal Data No. 152-FZ.
    • Nagpapatupad kami ng mga legal, organisasyonal at teknikal na pamantayan ng batas.
    • Kami ay gumuhit at nagbibigay sa iyong organisasyon ng kumpletong hanay ng mga kinakailangang dokumento (isinasaalang-alang ang mga detalye ng iyong uri ng aktibidad), kabilang ang isang sertipiko ng pagsunod sa mga kinakailangan sa kaligtasan
    • Hindi mo kailangang pumasok sa isang kasunduan sa mga paksa na ang kanilang personal na impormasyon ay ililipat para sa pagproseso sa isang panlabas na sentro ng data.

    Ito ay nagkakahalaga ng pagbanggit ng dalawang nuances:

    • Ang pinakamababang panahon para sa isang server ay 6 na buwan. Kung mananatili ka sa loob ng 5GB, ang presyo ay magiging 4990 rubles bawat buwan. Kung kailangan mo pa rin ng higit pa, kailangan mo ang sumusunod na taripa: 50GB at 9990 rubles. kada buwan.
    • Ang halaga ng pagbabayad sa pag-install sa halagang 10,000 rubles. ay may bisa para sa isang karaniwang hanay ng mga dokumento, sa iyong kaso ito ay ang "Distance Learning Platform", hindi ito pamantayan sa amin at maaaring kailanganin ang isang indibidwal na pagbuo ng isang pakete ng dokumentasyon. Ang halaga ng pagbuo ng isang hindi karaniwang pagsasaayos ay +15,000 rubles. Ginagawa ito minsan.

    Upang maunawaan kung kakailanganin ang indibidwal na pag-unlad, kailangan natin Maikling Paglalarawan serbisyo (aling database at kung saan nakaimbak (MySQL; SQL, atbp.)) na iho-host sa server ng ISPD. Yung. algorithm ng pagpapatakbo ng serbisyo, sino ang paksa ng PD sa serbisyo, sino at paano nakakakuha ng access sa serbisyo.

    Paano ito gumagana

    Ginagamit na ngayon ng anumang negosyo sa mga sistema ng impormasyon sa trabaho nito na nagpoproseso ng personal na data (PD). Halimbawa, ito ay ang accounting IS, financial, personnel at iba pa. Ang pagpoproseso, ayon sa batas, ay nangangahulugan ng pagkolekta, pagtatala, sistematisasyon, pag-iimbak, paglilinaw, paggamit, paglilipat, pagtanggal at iba pang mga operasyon na may ganitong impormasyon.

    Alinsunod dito, sa malao't madali ang tanong ay lilitaw sa pagdadala ng kanilang trabaho sa linya sa Pederal na Batas "Sa Personal na Data" at pagkuha ng dokumentaryong ebidensya ng pagsunod na ito.

    Medyo mahirap tuparin ang lahat ng mga kinakailangan para sa pag-iimbak ng personal na data sa iyong sarili at nang walang kinakailangang karanasan, maaari itong humantong sa hindi kinakailangang pag-aaksaya ng oras at mapagkukunan. Samakatuwid, nag-aalok kami ng mga serbisyo ng aming mga espesyalista. Nalutas na nila ang mga problema sa pag-aayos ng imbakan at paglipat ng personal na data nang higit sa isang beses at alam na alam nila ang mga "pitfalls".

    Pag-iimbak ng personal na data sa isang server ng data center: mga pakinabang ng diskarte

    Upang bumuo ng isang kumpletong sistema ng seguridad mga sistema ng impormasyon personal data (ISPD) sa enterprise, kinakailangan na magsagawa ng pre-project survey ng ISPD, bumuo ng isang modelo ng mga banta sa seguridad, lumikha ng isang konsepto at pagkatapos ay magdisenyo ng isang sistema para sa pagprotekta sa ISPD, maghatid, magpatupad, bumuo ng sertipikasyon pamamaraan, magsagawa ng pag-verify at mag-isyu ng sertipiko ng pagsang-ayon.

    Kung inayos mo ang pag-iimbak ng personal na data ng mga kliyente sa isang sertipikadong virtual na imprastraktura na matatagpuan sa isang panlabas na sentro ng data, kung gayon ang pagpapatupad ng lahat ng mga gawaing ito ay pinasimple at bumaba sa pag-apruba ng mga paunang binuo na karaniwang mga dokumento, at ang kaukulang mga gastos ay makabuluhang nabawasan. Bilang karagdagan, ang pag-iimbak ng data sa isang maaasahan at modernong data center ay nagsisiguro na ang iyong impormasyon ay palaging magagamit sa iyo, kumpleto at protektado mula sa pagkawala.

    Gayunpaman, kung ililipat mo ang PD sa isang panlabas na sentro ng data, kung gayon, bilang panuntunan, maraming mga paghihirap ang lumitaw. Kaya, halimbawa, ayon sa Federal Law No. 152-FZ "Sa Personal na Data" (Artikulo 7 at Mga Bahagi 3-5 ng Artikulo 6), na tumutukoy sa pamamaraan para sa pag-iimbak ng personal na data sa Russia, isang operator na ipagkatiwala ang pagproseso ng PD sa isang third-party na data center , ito ay kinakailangan upang makakuha ng pahintulot ng bawat paksa sa pagkolekta at pag-imbak ng personal na data, na naglalaman ng isang listahan ng data at mga pinahihintulutang aksyon sa kanila, mga layunin, mga deadline, at mayroong isang sulat-kamay na lagda ng bawat paksa (sa katunayan, upang tapusin ang isang kasunduan sa kliyente para sa imbakan Personal na impormasyon).

    Fig.1. Ang klasikong pamamaraan: nagpapadala ang organisasyon ng operator ng PD para sa pagproseso sa isang external na data center, na inililipat ang lahat ng alalahanin tungkol sa pagtiyak ng seguridad ng data na ito sa operator ng data center.

    Ang organisasyon ng operator ng PD na may ganitong klasikal na pamamaraan ng pagtatrabaho sa isang data center ay nahaharap sa mga makabuluhang abala at limitasyon sa trabaho nito:

    • Ang lahat ng pang-organisasyon at legal na isyu ng pagpoproseso ng data ay nananatiling may kaugnayan: kinakailangang mag-isyu ng regulasyon sa personal na data, mag-ehersisyo legal na batayan para sa pagproseso ng personal na data at para sa paglipat ng personal na data sa mga ikatlong partido (kabilang ang data center).
    • Sa bisa ng Artikulo 7 at Mga Bahagi 3-5 ng Artikulo 6 ng Pederal na Batas Blg. 152-FZ "Sa Personal na Data", may obligasyon na kumuha ng pahintulot sa paglipat ng personal na data para sa pagproseso sa data center mula sa bawat paksa ng personal datos. Bukod dito, ang naturang pahintulot ay dapat na ibigay alinsunod sa mga kinakailangan ng Artikulo 9 ng nasabing pederal na batas, i.e. naglalaman, bukod sa iba pang mga bagay, ang mga layunin ng pagproseso, isang kumpletong listahan ng personal na data, isang kumpletong listahan ng mga aksyon na may personal na data kung saan ang pahintulot ay ibinigay, ang panahon ng bisa ng pahintulot at sulat-kamay na lagda ang paksa ng personal na data o ang elektronikong analogue nito. At kadalasan ang pagkuha ng naturang pahintulot ay nagdudulot ng kahirapan para sa organisasyon ng operator.

    Upang maiwasan ang mga paghihirap na ito, nag-aalok kami ng sumusunod na teknolohiya sa trabaho:

    • Sa tulong ng mga certified cryptographic protection tool, ang PD na ipinadala sa mga channel ng komunikasyon ay protektado mula sa communication service provider.
    • Sa katulad na paraan, iminumungkahi naming protektahan ang personal na data at, kapag nagpoproseso sa isang data center, gumamit ng mga paraan proteksyon ng impormasyon, hindi kasama ang ganap na anumang teknikal na posibilidad ng pag-access ng mga empleyado ng data center. Upang gawin ito, nag-deploy kami ng isa o higit pang mga virtual machine, na ang bawat isa ay isang komprehensibong nakahiwalay na bagay, anumang access na kung saan mula sa hosting provider ay na-block. Ito ay nakakamit kapwa sa pamamagitan ng mga function ng hypervisor at sa pamamagitan ng proteksyon laban sa hindi awtorisadong pag-access. Sa hinaharap, maaari kang magtrabaho sa tulad ng isang inuupahang secure na virtual machine mula sa isang lugar ng trabaho mula sa opisina ng kliyente gamit ang isang remote terminal ("Remote Desktop", VNC terminal o SSH terminal).

    Kaya, alinman sa provider o ang data center ay hindi maaaring sa anumang paraan magtatag ng paksa ng personal na data, matukoy ang dami ng impormasyon sa virtual machine ng kliyente, ang pagkakaroon ng anumang kumpidensyal na impormasyon. Samakatuwid, ang naturang trabaho kasama ang PD sa isang nakahiwalay na virtual machine ay hindi maaaring ituring na isang paglipat ng PD sa operator ng data center o isang pagtuturo upang iproseso ang PD, na nagpapagaan sa kliyente ng pangangailangan na makakuha ng pahintulot ng mga paksa.

    Isang halimbawa ng pag-aayos ng paglilipat at pagproseso ng personal na data sa pamamagitan ng mga secure na channel ng komunikasyon

    Narito ang isang maliit na kaso na naglalarawan ng teknolohiyang ito gamit ang halimbawa ng isang personal na data operator, sa teritoryong binubuo ng isang sentral na opisina at mga sangay.

    Fig.2. Ang organisasyon ay naglilipat ng personal na data sa pamamagitan ng mga bukas na channel

    Ang ISP ay nagpapadala ng mga IP packet na naglalaman ng personal na data. Ayon sa talata 3 ng artikulo 3 ng FZ-152, ito na espesyal na kaso pagproseso ng personal na data. Kaya, ayon sa talata 2 ng artikulo 3 ng Federal Law-152, ang Internet provider ay nagiging isang PD operator. At ayon sa mga kinakailangan ng Artikulo 6 at Artikulo 7 ng FZ-152, ang aming haka-haka na organisasyon na nagpapadala ng PD sa pamamagitan ng mga bukas na channel sa kasong ito kinakailangan na makakuha ng pahintulot ng mga paksa ng personal na data upang ilipat ang kanilang personal na data sa malinaw na teksto sa mga network ng provider. At ang Internet provider, sa turn, ay dapat na gawin ang lahat ng kinakailangang organisasyon at teknikal na mga hakbang upang maprotektahan ang data na ito.

    Gayunpaman, kung ang mga hakbang ay ginawa upang i-encrypt ang data (cryptographic protection) bago ipadala ito sa pamamagitan ng mga channel ng komunikasyon ng Internet provider, kung gayon mula sa isang legal na punto ng view, ang katotohanan ng paglilipat ng PD para sa pagproseso ay hindi na lilitaw. kasi ayon sa talata 1 ng artikulo 3 ng Pederal na Batas-152 "ang personal na data ay anumang impormasyon na may kaugnayan sa isang direkta o hindi direktang kinilala o makikilalang natural na tao (paksa ng personal na data)."

    Ang Figure 3 ay naglalarawan na ang provider ng serbisyo ng komunikasyon ay hindi binibigyan ng impormasyon na maaaring direkta o hindi direktang matukoy ang paksa ng personal na data.

    Fig.3. Ang organisasyon ay naglilipat ng personal na data sa pamamagitan ng mga secure na channel

    RESULTA: Ang paggamit ng cryptographic na paraan ng pagprotekta sa personal na data bago ipadala ang mga ito sa pamamagitan ng mga channel ng provider ay nagbibigay-daan, mula sa legal na pananaw, na alisin ang katotohanan ng paglilipat ng mga ito para sa pagproseso sa provider na ito.

    Proteksyon ng personal na data sa panahon ng pagproseso sa isang virtual na imprastraktura

    Sa parehong paraan, nag-aalok ang Integrus na protektahan ang personal na data gamit ang mga secure na data transmission channel kapag pinoproseso ang mga ito sa mga data center, cloud storage at virtual hosting gamit ang espesyal na paraan proteksyon ng impormasyon.

    Ang proteksyon ay mai-install at iko-configure sa paraang ganap na ibukod ang teknikal na posibilidad ng pag-access ng mga empleyado ng data center (mga administrator, inhinyero, operator) sa personal na data na magkakaroon ang organisasyon sa data center. Ang nasabing proteksyon ay isinasagawa alinsunod sa proyekto ng sistema ng proteksyon ng personal na data gamit ang sertipikadong FSTEC ng Russia mga tool sa proteksyon ng impormasyon (kabilang ang virtual machine hypervisor at paraan ng proteksyon laban sa hindi awtorisadong pag-access), pati na rin ang paggamit ng mga tool sa proteksyon ng cryptographic na impormasyon na na-certify ayon sa mga kinakailangan ng Federal Security Service ng Russia (sa panahon ng paghahatid sa mga channel ng komunikasyon at kapag nagpoproseso sa isang virtual imprastraktura). Ang ganitong pamamaraan ay inilalarawan nang detalyado sa Figure 4.

    Fig.4. Teknolohiya ng proteksyon ng PD sa virtual na imprastraktura.

    Proteksyon ng personal na data - mga serbisyong "Integrus" sa organisasyonal at legal na globo

    Bilang karagdagan sa pag-aayos ng isang sistema ng seguridad, ginagawa namin ang lahat ng gawaing pang-organisasyon at legal:

    • Nagtatrabaho kami sa mga legal na batayan para sa pagproseso ng personal na data, mga gawain, pamamaraan at tuntunin nito.
    • Naghahanda kami at nag-publish ng isang dokumento na nagdedeklara ng isang patakaran sa larangan ng pagtatrabaho sa personal na data (mga regulasyon sa pag-iimbak, pagproseso ng personal na data) at isang hanay ng mga dokumentong pang-organisasyon at administratibo (mga aksyon sa pag-uuri ng IP, mga tagubilin, mga regulasyon at mga journal).
    • Gumagawa kami ng mga abiso sa pagproseso ng personal na data na ipapadala sa Roskomnadzor (kung kinakailangan).

    Kung nais mong makakuha ng isang handa na sistema ng impormasyon na nakakatugon sa mga kinakailangan ng Batas sa pag-iimbak ng personal na data at nakakatugon sa lahat ng mga pamantayan, gusto mong magtrabaho kasama ang personal na data nang walang mga problema, at huwag matakot sa mga paghahabol mula sa mga customer, empleyado o mga awtoridad sa regulasyon, makipag-ugnayan sa mga espesyalista sa Integrus. Mag-iwan ng kahilingan sa pamamagitan ng feedback form sa website, tumawag o sumulat sa amin at ikalulugod naming payuhan ka sa teknikal at legal na bahagi ng isyu.

    • Tinatawag ng ilan ang batas na ito bilang pagbabalik sa Iron Curtain at isang huli na pagmuni-muni sa pagbabago sa espasyo ng impormasyon. Iniuugnay ng iba ang pagpapalakas ng mga posisyon at karagdagang pag-unlad ng mga kapasidad ng mga domestic IT company dito. Ang mga may-akda ng mga susog ay iginigiit iyon bagong batas tumulong na protektahan ang mga karapatan mamamayang Ruso sa larangan ng pagproseso at pag-iimbak ng personal na data. Para sa paglilinaw tungkol sa kung anong negosyo at mga ordinaryong user ang haharapin sa malapit na hinaharap, bumaling kami sa project manager ng kumpanya ng Global Office na si Martynova Kristina.

    Sa ngayon, malawak na naririnig ang mga batas 242-FZ at 152-FZ. Sa nakalipas na ilang buwan, naging matinding sakit sila sa mga talakayan ng mga negosyante, IT specialist at mga mortal lang. Ang Federal Law 242-FZ, na pinagtibay noong Hulyo ng taong ito, ay nagtatag ng mga bagong panuntunan para sa lahat ng kalahok na kasangkot sa pagproseso at pag-iimbak ng personal na data. Ang isa sa mga pangunahing pagbabago ay nakakaapekto sa teksto ng batas 152-FZ, ang mga probisyon kung saan ay dinagdagan ng kinakailangan mula Enero 1, 2016 na mag-imbak ng personal na data ng mga Ruso sa mga server na matatagpuan sa Russian Federation:

    Kapag nangongolekta ng personal na data, kabilang ang sa pamamagitan ng network ng impormasyon at telekomunikasyon na "Internet", ang operator ay obligadong tiyakin ang pag-record, systematization, akumulasyon, imbakan, paglilinaw (pag-update, pagbabago), pagkuha ng personal na data ng mga mamamayan ng Russian Federation gamit ang mga database matatagpuan sa teritoryo ng Russian Federation.

    Kasabay nito, ang anumang mga aksyon na may data ay maaaring ipagbawal - hanggang sa pagpapakita sa screen ng computer, kung ang mga database ay pisikal na "nagsisinungaling" sa ibang bansa. Totoo, sa ngayon ay wala pa ring mga parliamentarian o Roskomnadzor ang nagbigay ng malinaw na mga sagot sa tanong kung ano ang eksaktong dapat na maunawaan bilang pagkuha ng data, ang kanilang systematization, at ang database mismo.

    Ang mas malabo ay ang nilalaman ng bagong terminong "isang taong nagbibigay ng pagproseso ng impormasyon sa network ng impormasyon at telekomunikasyon, kabilang ang Internet, na ipinakilala sa Batas 149-FZ" . Sino ang karapat-dapat na makatanggap ng katayuang ito at ano mga legal na palatandaan ganyan mukha? Posible na ang pagsusuri ng mga legislative flight ay magaganap na sa katotohanan ng diumano'y paglabag. Sa kasong ito, makakatulong ang paglilinaw sa liham ng batas pagsasanay sa arbitrage. Ngunit muli, hindi malinaw kung saan ito magsisimula pagsubok- sa kahilingan ng Roskomnadzor o sinumang iba pang tao.

    Ang pagharang sa website ng lumalabag, pagdaragdag nito sa "itim na listahan" ng Roskomnadzor at ang karapatan ng mga user na tanggalin ang kanilang personal na data sa pamamagitan ng utos ng hukuman - lahat ng ito ay halos hindi maituturing na mga bagong bagay sa batas. Sa katunayan, ito ay isang maliit na "pag-upgrade" ng mga probisyon ng mga batas "Sa Personal na Data" at "Sa Impormasyon", na lubos na nagtakda ng parehong mga pamamaraan ng pagpaparusa (kabilang ang pagbuo ng isang rehistro ng mga lumalabag) at mga mekanismo proteksyon ng hudisyal mamamayan.

    Tungkol sa personal na data

    Ito ay nagkakahalaga ng pagbibigay pugay sa malawak na sigaw ng publiko na naganap kasabay ng mga opisyal na talakayan ng batas. Ang mga gumagamit na dati ay naniniwala na ang personal na data ay isang buong pangalan, impormasyon ng pasaporte at isang numero ng telepono ay sa wakas ay nakatanggap ng hininga ng kahinahunan at katinuan. Ito ay lumabas na ang pagdadaglat na PD ay nagtatago ng "anumang impormasyong nauugnay nang direkta o hindi direkta sa isang tiyak o makikilalang natural na tao (paksa ng personal na data)" (sugnay 1 ng artikulo 3 ng 152-FZ). Ito ay maaaring data ng kalusugan, at impormasyon sa mga nakumpletong transaksyon, at mga sulat sa mga social network, at mga rehistradong account sa mga online na tindahan.

    Para sa mga negosyo, ang personal na data ay isang ubiquitous na piraso ng impormasyon. Halimbawa, para sa mga kliyente ng Global Office na nagtatrabaho sa isang dedikadong server na 1C: Enterprise. Payroll at Human Resources Management, ang isyu ng personal na data ay lumalabas sa tuwing naghahanda ng mga ulat, pagkalkula ng payroll at suweldo sa bakasyon, pagkalkula ng sick leave at pagkolekta ng mga buwis. Bukod dito, ang mga mukhang hindi nakakapinsalang dokumento na ginawa gamit ang Microsoft Word, Excel, Power Point, atbp. na mga produkto ng software ay maaaring nasa ilalim ng artikulo ng bagong batas, kahit na ang pangunahing nilalaman ng mga ito ay walang kinalaman sa nagpadala o tatanggap. Paano ito posible? Salamat sa metadata na maaaring maimbak hindi lamang sa mismong dokumento, kundi pati na rin sa paglalarawan ng mga katangian nito: halimbawa, ang pangalan ng may-akda, username, postal address ng huling taong nag-save ng dokumento, mga header ng mensahe Email atbp. Ang parehong nakatagong panganib ay ang pagpaparehistro ng isang profile at ang pagpapasa ng mga titik sa pamamagitan ng Microsoft Outlook.

    Kasama ng personal na data ng mga empleyado, kailangang harapin ng mga kumpanya ang iba pang uri ng kumpidensyal na impormasyon, na kinabibilangan ng mga detalye ng kumpanya, impormasyon tungkol sa mga katapat, atbp. Ayon sa batas, ang personal na data ay isa sa anim na uri ng impormasyon kumpidensyal na kalikasan(tingnan ang Dekreto ng Pangulo ng Russian Federation "Sa Pag-apruba ng Listahan ng Kumpidensyal na Impormasyon"). Para sa kaginhawahan, mayroong isang kasunduan sa pagitan namin at ng aming mga kliyente na ang lahat ng impormasyong nakaimbak sa mga produkto ng 1C software na ibinibigay namin ay personal, at, samakatuwid, ang pag-encrypt, mga pamamaraan ng depersonalization, at iba pang mekanismo ng proteksyon ng data ay inilalapat sa kanila.

    Ano ang dapat gawin ng isang negosyo?

    Ang pagbuo ng iyong sariling data center at pagtulog nang maayos ay isang teknolohikal na luho na lamang malalaking kumpanya. Kinailangan ng Yandex ng halos dalawang taon at mas maraming pera upang maitayo ang unang yugto ng data center. Ang pinaka-malamang na solusyon para sa karamihan ng mga middle peasant ng Russia ay isang tawag sa isang operating data center na, na nag-aalok ng mga serbisyo ng colocation ng server.

    Isa pa legal na paraan upang magtatag ng magiliw na pakikipag-ugnayan sa bagong batas – depersonalization ng data. Ang ilang mga eksperto ay may mataas na pag-asa para dito. Ang personal na data ay ihihiwalay mula sa paksa sa paraang hindi ito maiugnay sa isang partikular na tao. Sa ganitong "amorphous" na anyo, maaari mong gawin ang anumang bagay sa kanila. Ipinapalagay na ang reverse binding sa isang tao ay isasagawa sa pagbabalik ng hindi nakikilalang data sa teritoryo ng Russian Federation. Ngayon, ang teknolohiyang ito ay matagumpay na ginagamit sa medisina. Maaari mong i-anonymize ang data gamit ang mga sikat na ERP at CRM na solusyon na ginawa ng Microsoft, SAP o Oracle.

    Para sa isa pang loophole in pinagtibay na batas sabi ng mga abogado. Ang kasalukuyang batas ay hindi nagbabawal sa pagpapadala ng data sa ibang bansa at pagdoble ng impormasyon. Sa teoryang, ang personal na data ay maaaring maimbak sa teritoryo ng Russia at pagkatapos ay malayang pumunta sa isang dobleng form sa mga dayuhang server.

    Sa pormal na paraan, pinapayagan din ang pangangailangan na mag-imbak ng data sa mga server ng Russia mga espesyal na programa(sa Global Office ito ay SecurityIP). Itinatago nila ang huling IP address ng gumaganang server upang hindi matukoy ang eksaktong lokasyon ng server.

    Siyempre, ang mga pagbabago sa pangunahing batas sa personal na data ay lumilikha ng mga paghihirap hindi lamang para sa komunidad ng negosyo, kundi pati na rin para sa mga gumagamit. At sa patuloy na pananahimik ng Roskomnadzor, nananatiling bukas ang mga sagot sa mga umuusbong na katanungan. Ang mga pagbabago para ipagpaliban ang pagpasok sa bisa ng batas noong Enero 1, 2015 ay tinatalakay pa rin sa mga tanggapan ng gobyerno. Nangangailangan pa rin ang negosyo ng mas konkretong wika at mas kaunting mga hindi malinaw na parirala mula sa mga parliamentarian. Una sa listahan ay ang pagpapalit ng kahulugan ng personal na data. Kung walang malinaw na pag-unawa sa kung anong mga uri ng impormasyon ang maaaring mauri bilang PD, halos hindi posible na protektahan ang mga karapatan ng mga mamamayan, na malakas na nakasaad sa bagong batas.

    Ang proseso ng pagproseso ng personal na data ng sinumang mamamayan ay inireseta sa Federal Law No. 152-FZ "Sa Personal na Data". Sa una batas na ito ay pinagtibay noong Hulyo 27, 2006, at pagkatapos ay sumailalim sa iba't ibang mga pagbabago at mga karagdagan.

    Ang Batas "Sa Personal na Data" ay kinokontrol ang mga relasyon sa pagitan ng estado, mga awtoridad ng munisipyo, mga indibidwal at legal na entity sa larangan ng pagproseso at pagprotekta sa personal na impormasyon, na isinasagawa sa tulong ng mga tool sa automation o wala nito.

    Ang layunin ng batas na ito ay upang matiyak ang proteksyon ng mga kalayaan at karapatan ng mga mamamayan sa pamamagitan ng mga legal na pamamaraan sa pagproseso ng kanilang personal na data, kabilang ang kawalan ng paglabag. privacy, pamilya at personal na mga lihim.

    Aling organisasyon ang napapailalim sa mga kinakailangan ng Pederal na Batas "Sa Personal na Data"?

    Ang alinmang organisasyon ay may pagkakataon na hindi i-regulate ang mga aksyon nito alinsunod sa Kabanata 1 ng Artikulo 2 ng Pederal na Batas Blg. 152-FZ "Sa Personal na Data" tungkol sa pagproseso ng personal na data, sa mga ganitong kaso gaya ng:

    1. Pagproseso ng personal na data ng mga indibidwal para lamang sa mga personal at pampamilyang pangangailangan, kung ang mga karapatan ng mga paksa ng personal na data ay hindi nilalabag;
    2. Mga organisasyon ng imbakan, pagkuha, accounting at paggamit ng mga dokumentong naglalaman ng personal na data Pondo sa Arkibal Russian Federation at iba pa mga dokumento sa archival alinsunod sa batas sa pag-archive sa Russian Federation;
    3. Pagproseso ng personal na data na tinutukoy sa sa tamang panahon sa impormasyong bumubuo ng isang lihim ng estado;
    4. Probisyon mga awtorisadong katawan impormasyon sa mga aktibidad ng mga korte sa Russian Federation alinsunod sa Pederal na Batas ng Disyembre 22, 2008 N 262-FZ "Sa pagtiyak ng pag-access sa impormasyon sa mga aktibidad ng mga korte sa Russian Federation".

    Kapag ang isang organisasyon ay hindi nasa ilalim ng mga punto sa itaas, dapat itong sumunod sa mga kinakailangan ng batas. Ang lahat ng iba pang mga kaso na nauugnay sa pagkolekta, pagproseso at pag-iimbak ng personal na data ay kinokontrol alinsunod sa Pederal na Batas No. 152 "Sa Personal na Data". Halos lahat ng mga organisasyon ay nasa ilalim ng mga kinakailangang ito, dahil halos lahat ng mga kumpanya sa isang paraan o iba pa ay nagpoproseso ng personal na data ng kanilang mga empleyado o iba pang mga indibidwal. Ang lahat ng personal na data ay dapat panatilihing mahigpit na kumpidensyal.

    Upang ipagsapalaran ang mga paghahabol mula sa mga may-ari ng personal na data at mga ahensya ng gobyerno ay minimal, ito ay kinakailangan upang magsagawa ng isang hanay ng mga gawa na nagbibigay-katwiran sa pangangailangan upang iproseso ang personal na data. Kinakailangan din na sumunod sa mga kinakailangan para sa pagtiyak ng pagiging kumpidensyal kapwa sa hindi awtomatikong pagpoproseso at sa kaso ng pagproseso ng personal na data sa mga sistema ng impormasyon.

    Personal na data - ano ito?

    Sa Kabanata 1, Artikulo 3 ng Pederal na Batas "sa personal na data" mayroong isang kahulugan ng personal na data:

    - personal na data - anumang impormasyon na nauugnay sa isang direkta o hindi direktang natukoy o nakikilalang natural na tao (paksa ng personal na data).

    Ito ay maaaring isang apelyido, unang pangalan, patronymic, address ng tirahan at e-mail, mga contact number, lugar ng paninirahan, relihiyon, katayuan sa pag-aasawa, mga larawan, impormasyon tungkol sa mga kamag-anak at marami pang iba. Ang bawat organisasyon na nagmamay-ari ng naturang impormasyon ay kinakailangan na protektahan ang mga sistema ng impormasyon kung saan ang naturang data ay itatabi.

    Pagkolekta, pag-iimbak at pagproseso ng personal na data

    Kapag kinakailangan upang makakuha ng personal na data ng isang empleyado o iba pa indibidwal ang organisasyon ay may karapatan na kolektahin ito nang direkta mula sa paksa mismo. Kung ang impormasyon ay maaari lamang makuha mula sa mga ikatlong partido, kung gayon ang paksa ay kinakailangang maabisuhan, at dapat ding magbigay ng kanyang nakasulat na pahintulot sa ang pamamaraang ito. Sa turn, obligado ang operator na ipaalam sa mamamayan ang tungkol sa mga layunin na hinahabol niya kapag tumatanggap at nagpoproseso ng kanyang personal na data.

    Lahat ng nauugnay sa mga legal na batayan para sa pagproseso ng personal na impormasyon ay nabaybay sa Kabanata 2, Artikulo 6, Clause 1 No. 152 ng Pederal na Batas "Sa Personal na Data":

    1) ang pagproseso ng personal na data ay isinasagawa nang may pahintulot ng paksa ng personal na data sa pagproseso ng kanyang personal na data;
    2) ang pagproseso ng personal na data ay kinakailangan upang makamit ang mga layunin na ibinigay para sa isang internasyonal na kasunduan ng Russian Federation o ng batas, para sa pagpapatupad at katuparan ng mga pag-andar, kapangyarihan at tungkulin na itinalaga ng batas ng Russian Federation sa operator. ;
    3) ang pagproseso ng personal na data ay kinakailangan para sa pangangasiwa ng hustisya, ang pagpapatupad kilos na panghukuman, isang gawa ng ibang katawan o opisyal na sasailalim sa pagpapatupad alinsunod sa batas ng Russian Federation sa mga paglilitis sa pagpapatupad(mula rito ay tinutukoy bilang ang pagpapatupad ng isang hudisyal na aksyon);
    4) ang pagproseso ng personal na data ay kinakailangan para sa pagkakaloob ng mga serbisyo ng estado o munisipyo alinsunod sa Pederal na Batas ng Hulyo 27, 2010 N 210-FZ "Sa organisasyon ng pagkakaloob ng mga serbisyo ng estado at munisipyo", upang matiyak ang probisyon ng naturang serbisyo, upang irehistro ang paksa ng personal na data sa iisang portal mga serbisyo ng estado at munisipyo;
    5) ang pagproseso ng personal na data ay kinakailangan para sa pagganap ng isang kasunduan kung saan ang paksa ng personal na data ay isang partido o benepisyaryo o tagagarantiya, pati na rin upang tapusin ang isang kasunduan sa inisyatiba ng paksa ng personal na data o isang kasunduan sa ilalim ng kung saan ang paksa ng personal na data ang magiging benepisyaryo o guarantor;
    6) ang pagproseso ng personal na data ay kinakailangan upang maprotektahan ang buhay, kalusugan o iba pang mahahalagang interes ng paksa ng personal na data, kung ang pagkuha ng pahintulot ng paksa ng personal na data ay imposible;
    7) ang pagpoproseso ng personal na data ay kinakailangan upang magamit ang mga karapatan at lehitimong interes ng operator o mga ikatlong partido o upang makamit ang mga layunin sa lipunan, sa kondisyon na ang mga karapatan at kalayaan ng paksa ng personal na data ay hindi nilalabag;
    8) ang pagproseso ng personal na data ay kinakailangan para sa pagpapatupad propesyonal na aktibidad mamamahayag at/o legal na aktibidad mass media o siyentipiko, pampanitikan o iba pang malikhaing aktibidad, sa kondisyon na hindi ito lumalabag sa mga karapatan at lehitimong interes ng paksa ng personal na data;
    9) ang pagproseso ng personal na data ay isinasagawa para sa istatistika o iba pang layunin ng pananaliksik, maliban sa mga layuning tinukoy sa Artikulo 15 ng Pederal na Batas na ito, napapailalim sa ipinag-uutos na depersonalization ng personal na data;
    10) ang pagproseso ng personal na data ay isinasagawa, ang pag-access ng isang walang limitasyong bilang ng mga tao na ibinigay ng paksa ng personal na data o sa kanyang kahilingan (mula dito ay tinutukoy bilang personal na data na ginawang pampubliko ng paksa ng personal na data);
    11) ang pagproseso ng personal na data na napapailalim sa publikasyon o ipinag-uutos na pagsisiwalat alinsunod sa pederal na batas ay isinasagawa.

    Kung ang isang organisasyon ay nagpoproseso ng personal na data na salungat sa mga talata sa itaas, kung gayon ito ay isang paglabag sa pederal na batas.

    Ang organisasyon ay obligadong tiyakin ang pagiging kumpidensyal ng magagamit na personal na data alinsunod sa Artikulo 7 ng Pederal na Batas "Sa Personal na Data". Ang mga pagbubukod ay ang mga kaso kung kailan hindi nagpapakilala ang personal na data o kapag available ang mga ito sa publiko.
    Ang Artikulo 8 ay nagsasaad na maaaring mayroong pampublikong magagamit na mga mapagkukunan ng personal na data. Maaaring naglalaman ang mga ito ng apelyido, unang pangalan, patronymic, bansa at taon ng kapanganakan, tirahan, numero ng telepono, impormasyon tungkol sa propesyon o iba pang personal na data ng paksa, na ibinibigay niya nang may nakasulat na pahintulot. Kabilang dito ang, halimbawa, mga direktoryo o address book. Ang impormasyong ito ay maaaring alisin sa pagkakaroon sa pamamagitan ng desisyon ng paksa o mga awtorisadong katawan ng estado.

    Mga prinsipyo at kundisyon para sa pagproseso ng personal na data

    Sa proseso ng pagproseso ng personal na data, ang bawat organisasyon ay dapat sumunod sa mga prinsipyo na nabaybay sa Kabanata 2 ng Artikulo 5 ng Pederal na Batas "Sa Personal na Data":

    1. Ang pagpoproseso ng personal na data ay dapat isagawa ayon sa batas at patas na batayan.
    2. Ang pagproseso ng personal na data ay dapat na limitado sa pagkamit ng mga tiyak, paunang natukoy at lehitimong layunin. Hindi pinapayagan na iproseso ang personal na data na hindi tugma sa mga layunin ng pagkolekta ng personal na data.
    3. Hindi pinapayagan na pagsamahin ang mga database na naglalaman ng personal na data, ang pagproseso nito ay isinasagawa para sa mga layunin na hindi tugma sa isa't isa.
    4. Tanging ang personal na data na nakakatugon sa mga layunin ng kanilang pagproseso ang napapailalim sa pagproseso.
    5. Ang nilalaman at saklaw ng naprosesong personal na data ay dapat sumunod sa mga nakasaad na layunin ng pagproseso. Ang naprosesong personal na data ay hindi dapat maging labis na may kaugnayan sa mga nakasaad na layunin ng kanilang pagproseso.
    6. Kapag nagpoproseso ng personal na data, ang katumpakan ng personal na data, ang kanilang kasapatan, at sa mga kinakailangang kaso at kaugnayan sa mga layunin ng pagpoproseso ng personal na data. Dapat gawin ng operator ang mga kinakailangang hakbang o tiyakin na ginawa ang mga ito upang alisin o linawin ang hindi kumpleto o hindi tumpak na data.
    7. Ang pag-iimbak ng personal na data ay dapat isagawa sa isang form na nagbibigay-daan upang matukoy ang paksa ng personal na data, nang hindi hihigit sa kinakailangan ng mga layunin ng pagproseso ng personal na data, kung ang panahon ng pag-iimbak ng personal na data ay hindi itinatag ng pederal na batas, isang kasunduan kung saan ang benepisyaryo o guarantor ay isang partido, kung saan ang paksa ay personal na data. Ang naprosesong personal na data ay napapailalim sa pagkawasak o depersonalization kapag naabot ang mga layunin ng pagproseso o sa kaso ng pagkawala ng pangangailangan upang makamit ang mga layuning ito, maliban kung itinakda ng pederal na batas.

    Ang mga kundisyon na dapat sundin ng isang organisasyon sa proseso ng pagproseso ng personal na data ay inireseta sa Artikulo 6 ng Pederal na Batas "Sa Personal na Data" at binubuo sa katotohanan na ang operator, kapag nagpoproseso ng personal na data ng paksa, ay may karapatang magproseso sila lamang sa kanyang nakasulat na pahintulot.
    Gayunpaman, sa ilang mga kaso, ang gayong pahintulot ay hindi kinakailangan. Kaya, halimbawa, kung ang pagproseso ng personal na impormasyon ay isinasagawa para sa iba't ibang layuning pang-agham at istatistika na may kinakailangan depersonalization ng personal na data. O kapag ang pagproseso ng personal na data ay kinakailangan para sa kalusugan, buhay o iba pang mahahalagang interes ng paksa ng naturang data.

    Mga obligasyon ng operator ng personal na data

    Ang Kabanata 4 ng Artikulo 18 ng Pederal na Batas Blg. 3,152 "Sa Personal na Data" ay naglalaman ng kumpletong impormasyon sa kung ano ang responsibilidad ng processor ng data.
    Isinasaalang-alang pangunahing puntos Maaaring i-highlight ng artikulong ito ng batas ang ilan sa pinakamahahalagang prinsipyo.

    Ang operator ay obligado:

    – upang iproseso ang personal na data alinsunod sa batas,
    — magkaroon ng pahintulot mula sa may-ari ng personal na data sa mga kaso na itinakda ng batas,
    - tiyakin ang pagiging kompidensiyal,
    – sagutin ang lahat ng tanong ng may-ari tungkol sa kanyang personal na data, sa set termino ayon sa batas,
    – sirain ang personal na data pagkatapos maabot ang mga deadline para sa kanilang pagproseso,
    - abisuhan ang Roskomnadzor Department sa pagproseso ng personal na data at sa mga hakbang na kinakailangan upang maprotektahan ang mga ito.

    Ang artikulong ito ay nagsasaad din na kung ang may-ari ng personal na data ay tumangging magbigay ng personal na impormasyon na siya ay obligadong ibigay alinsunod sa pederal na batas, ang operator ay dapat magpaliwanag sa may-ari tungkol sa mga kahihinatnan ng naturang pagtanggi.

    Mga independiyenteng aktibidad ng mga organisasyon sa proteksyon ng personal na data

    Ang koleksyon, pagproseso at proteksyon ng personal na data sa Russian Federation ay isang lisensyadong aktibidad. Ang pagbuo ng mga pamamaraan para sa proteksyon ng personal na impormasyon ay responsibilidad ng FSB ng Russia at ng FSTEC ng Russia.
    Ang organisasyon, sa turn, ay maaari lamang gawin ang bahagi ng gawaing ito. Halimbawa, mangolekta ng impormasyon. Ang natitirang bahagi ng trabaho ay nangangailangan ng isang lisensya upang gumana teknikal na proteksyon kumpidensyal na impormasyon, pati na rin ang pag-install ng mga tool sa proteksyon ng cryptographic.

    Pagpapatunay ng mga aktibidad sa pagpoproseso ng personal na data

    Ang organisasyong sumusuri para sa legal na pagproseso ng personal na data ay tinatawag na Federal Service for Supervision in the Sphere of Communications, teknolohiya ng impormasyon at komunikasyong masa (Roskomnadzor).
    Ang Roskomnadzor ay nagsasagawa ng kontrol at pangangasiwa ng estado sa pagsunod sa mga kinakailangan kasalukuyang batas sa larangan:
    - Mass media, TVR broadcasting at mass communications - ang mga kinakailangan ng batas ng Russian Federation No. 2124-1 ng Disyembre 27, 1991 "Sa paraan ng mass communications", pati na rin ang pagsunod kundisyon ng lisensya,
    - komunikasyon - ang mga kinakailangan ng Pederal na Batas No. 126 ng Hulyo 7, 2003 "Sa Komunikasyon", pati na rin ang mga by-law, kabilang ang bisa ng lisensya at ang paggamit ng spectrum ng frequency ng radyo,
    - personal na data - Pederal na Batas ng Hulyo 27, 2006 No. 152 "Sa Personal na Data".

    Legal na batayan para sa pagpapatupad kontrol ng estado at ang pangangasiwa ay ang Pederal na Batas ng Disyembre 26, 2008 No. 294 "Sa Proteksyon ng mga Karapatan ng Mga Legal na Entidad at mga indibidwal na negosyante kapag nagsasagawa ng kontrol ng estado (pangasiwa) at kontrol sa munisipyo”.

    Ang Roskomnadzor ay nagsasagawa ng ilang uri ng mga inspeksyon:

    isa). Naka-iskedyul na tseke.
    Ang pag-audit na ito ay maaaring isagawa batay sa at sa loob ng eksaktong mga deadline na tinukoy sa plano ng pag-audit na inihanda ng Roskomnadzor at inaprubahan ng tanggapan ng tagausig. Ayon sa talata 4 ng Artikulo 27 ng Pederal na Batas "Sa Komunikasyon", ang Roskomnadzor ay may karapatang magsagawa ng ganitong uri ng inspeksyon nang hindi hihigit sa isang beses bawat 3 taon.
    Anumang organisasyong kasangkot sa pagproseso ng personal na data ay maaaring isama sa Roskomnadzor Inspection Plan.
    Ang batayan para sa pagsasagawa ng isang naka-iskedyul na inspeksyon ay ang katotohanan na ang pagproseso ng personal na data ng operator ay nagsimula, kabilang ang pagpasa ng tatlong taon mula sa petsa ng pagpaparehistro ng estado bilang isang personal na data operator o ang pagkumpleto ng isang naka-iskedyul na inspeksyon na may kaugnayan sa operator pagkatapos ng tatlong taon mula sa nakaraang naka-iskedyul na inspeksyon.

    2). Hindi nakaiskedyul na tseke.
    Ang mga dahilan para sa ganitong uri ng pagsusuri ay:
    – pagpapatunay ng pagpapatupad ng utos upang maalis ang natukoy na paglabag, na inisyu nang mas maaga,
    - pagtuklas ng mga paglabag ipinag-uutos na mga kinakailangan bilang resulta ng sistematikong pagmamasid,
    - ang kahilingan ng tagausig na magsagawa hindi nakaiskedyul na inspeksyon sa batayan ng mga materyales na natanggap at apela sa tanggapan ng tagausig mula sa mga mamamayan, indibidwal na negosyante, legal na entidad, estado at munisipal na gobyerno,
    — mga paglabag legal na karapatan at mga interes ng mga nasasakupang entity ng Russian Federation dahil sa hindi pagkilos ng mga operator na kasangkot sa pagproseso ng personal na data,
    - isang utos ng pinuno ng Serbisyo, na ibinibigay alinsunod sa mga tagubilin ng Pangulo ng Russian Federation o ng Pamahalaan ng Russian Federation.
    Ang tseke ay isinasagawa sa loob ng isang panahon na hindi hihigit sa 20 araw ng trabaho, ngunit sa parehong oras, sa kaso ng mga seryosong dahilan, maaari itong palawigin batay sa isang utos mula sa pinuno ng Kagawaran ng Roskomnadzor para sa isa pang 20 karagdagang pagtatrabaho araw.
    Bilang karagdagan, ang mga aktibidad sa pag-verify ay maaaring isagawa sa pamamagitan ng isa sa mga sumusunod na pamamaraan:
    a) field, ibig sabihin, ang tseke ay nagaganap sa lokasyon ng naka-check.
    b) dokumentaryo, nakasulat na kahilingan ng operator na ibigay mga kinakailangang dokumento at impormasyon. Kung ang mga dokumento ay hindi ibinigay, at ang kanilang probisyon ay dapat gawin ng batas nang walang kabiguan, kung gayon ito ay nangangailangan ng multa. Kung hindi pa nababayaran ang administrative fine, maaari itong doblehin.
    c) sistematikong pagmamasid, na isinasagawa nang walang pakikipag-ugnayan sa taong sinusuri, at walang mga dokumento at impormasyon na kinakailangan mula sa taong sinusuri. Mga espesyalista-inspektor ng estado Administrasyon ng Teritoryal Ang Roskomnadzor ay gumuhit ng mga konklusyon tungkol sa mga aktibidad ng inspeksyon, batay sa kanyang mga aksyon na may kaugnayan sa isang hindi tiyak na hanay ng mga paksa.

    Responsibilidad para sa iligal na pagproseso ng personal na data

    Hindi dapat pahintulutan ng operator ang pagkolekta, pag-iimbak, paggamit at pagpapakalat ng impormasyon na may kaugnayan sa personal at buhay pamilya, lihim na sulat, telegrapiko, postal o iba pang mensahe, pag-uusap sa telepono, kung hindi paghatol o legal na batayan para sa mga pagkilos na ito.

    Ang operator ay walang karapatan na gumamit ng personal na data para sa layuning magdulot ng pinsala sa moral at ari-arian sa mga mamamayan, pati na rin ang pagpapahirap sa paggamit ng kanilang mga kalayaan at karapatan. Bukod dito, ang operator ng personal na data ay walang karapatan na paghigpitan ang mga karapatan ng mga mamamayan ng Russian Federation, habang ginagamit ang kanilang personal na impormasyon na may kaugnayan sa pambansa, lahi, relihiyon, lingguwistika o mga kaakibat na partido.
    Ang mga indibidwal at legal na entity na, alinsunod sa kanilang mga kapangyarihan, ay nagmamay-ari ng anumang pribadong impormasyon tungkol sa mga mamamayan, ginagamit ito, habang lumalabag sa Pederal na Batas "Sa Personal na Data", ay mananagot para sa pagkilos na ito alinsunod sa kasalukuyang batas ng Russian Federation.

    Ang mga taong sa pamamagitan ng kanilang mga aksyon ay lumabag sa Pederal na Batas "Sa Personal na Data" ay may sibil, administratibo, pandisiplina, kriminal o iba pang pananagutan na ibinigay ng kasalukuyang batas ng Russian Federation.

    Code ng Mga Paglabag sa Administratibo(CoAP):

    A) Artikulo 13.11 Paglabag ayon sa batas ang pamamaraan para sa pagkolekta, pag-iimbak, paggamit o pagpapalaganap ng impormasyon tungkol sa mga mamamayan (personal na data). Ang artikulong ito ay nagsasangkot ng babala o pagpapataw ng administratibong multa sa:
    - mga mamamayan sa halagang 300-500 rubles,
    - mga opisyal sa halagang 500-1000 rubles,
    - mga ligal na nilalang sa halagang 5000-10000 rubles.

    B) artikulo 13.12 Paglabag sa mga tuntunin sa proteksyon ng impormasyon.
    Ayon sa artikulong ito, ang isang administratibong multa ay ipinapataw sa mga lumalabag sa batas sa halagang 500 hanggang 30 libong rubles. Karagdagan sa mga legal na entity kumpiska o administratibong pagsususpinde ng mga aktibidad sa loob ng 3 buwan ay maaaring ilapat.
    C) artikulo 13.14 Pagbubunyag ng impormasyon na may pinaghihigpitang pag-access.
    Alinsunod sa artikulong ito, posibleng magpataw ng administratibong multa sa:
    - mga mamamayan sa halagang 4 hanggang 5 libong rubles.

    D) Artikulo 19.5 Pagkabigong sumunod sa oras sa isang legal na utos (decree, presentasyon, desisyon) ng katawan (opisyal) na nagsasagawa pangangasiwa ng estado(kontrol).
    Ang mga lumalabag sa artikulong ito ay nahaharap sa administratibong multa mula 300 rubles hanggang 500 libong rubles, o disqualification hanggang 3 taon.

    Criminal Code (CC).

    Artikulo 137 Paglabag sa privacy.
    Ang artikulong ito ay nagsasaad na para sa iligal na pagkolekta o pagpapakalat ng impormasyon tungkol sa pribadong buhay ng paksa, na kanyang pamilya o personal na lihim, nang walang kanyang pahintulot, o ang pagpapakalat ng naturang impormasyon sa pamamagitan ng media, ay mananagot sa anyo.
    - isang multa ng hanggang 200 libong rubles o sa halagang katumbas ng sahod sa loob ng 18 buwan,
    sapilitang gawain hanggang 360 oras
    - correctional labor hanggang sa 1 taon,
    sapilitang paggawa hanggang 2 taon
    – pagbabawal na makisali sa ilang mga aktibidad hanggang sa 3 taon,
    - Arrest hanggang 2 taon.

    Labor Code (TC).

    Artikulo 90 Responsibilidad para sa paglabag sa mga patakaran na namamahala sa pagproseso at proteksyon ng personal na data ng isang empleyado.
    Ang artikulong ito ay nagbibigay ng parusa sa anyo ng pagpapaalis o ang posibilidad ng parusa alinsunod sa Criminal Code ng Russian Federation.

    Mga kinakailangan para sa proteksyon ng personal na data

    Alinsunod sa Artikulo 19 ng Pederal na Batas "Sa Personal na Data", ang mga kinakailangan para sa proteksyon ng personal na impormasyon ay itinuturing na sapilitan. Kapag nagpoproseso ng personal na data, obligado ang operator na gawin ang mga kinakailangang legal, organisasyon at teknikal na mga hakbang o tiyakin ang kanilang pag-aampon upang maprotektahan ang personal na data mula sa hindi awtorisado o hindi sinasadyang pag-access sa kanila, pagkasira, pagbabago, pagharang, pagkopya, probisyon, pamamahagi ng personal na data, gayundin mula sa iba pang mga ilegal na aksyon patungkol sa personal na data.

    Ang pagtiyak na ang seguridad ng personal na data ay nakakamit, lalo na:

    1) pagpapasiya ng mga banta sa seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data;
    2) ang aplikasyon ng mga pang-organisasyon at teknikal na mga hakbang upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data na kinakailangan upang matupad ang mga kinakailangan para sa proteksyon ng personal na data, ang katuparan nito ay nagsisiguro itinatag ng Pamahalaan Mga antas ng proteksyon ng personal na data ng Russian Federation;
    3) ang paggamit ng mga tool sa seguridad ng impormasyon na nakapasa sa pamamaraan ng pagtatasa ng conformity alinsunod sa itinatag na pamamaraan;
    4) pagtatasa ng pagiging epektibo ng mga hakbang na ginawa upang matiyak ang seguridad ng personal na data bago ang pag-commissioning ng sistema ng impormasyon ng personal na data;
    5) isinasaalang-alang ang mga carrier ng makina ng personal na data;
    6) pagtuklas ng mga katotohanan ng hindi awtorisadong pag-access sa personal na data at paggawa ng mga hakbang;
    7) pagbawi ng personal na data na binago o nawasak dahil sa hindi awtorisadong pag-access sa kanila;
    8) pagtatatag ng mga patakaran para sa pag-access sa personal na data na naproseso sa sistema ng impormasyon ng personal na data, pati na rin ang pagtiyak sa pagpaparehistro at accounting ng lahat ng mga aksyon na isinagawa gamit ang personal na data sa sistema ng impormasyon ng personal na data.

    Upang makamit ang mga layunin sa itaas, lahat ng organisasyong nagpoproseso ng personal na data ay dapat sumunod sa mga sumusunod na kinakailangan:

    — sumunod sa mga kinakailangan ng Pederal na Batas No. 152 "Sa Personal na Data", habang nagbibigay ng lahat ng kinakailangang ebidensya ng legalidad ng pagkolekta at pagproseso ng personal na impormasyon,
    — magbigay ng proteksyon laban sa hindi awtorisadong pamamahagi ng personal na data,
    - bumuo ng mga regulasyon lokal na kilos at teknikal na dokumentasyon ng organisasyon upang matiyak ang kinokontrol na pagproseso ng personal na data,
    — abisuhan ang Departamento ng Roskomnadzor.

    Upang matupad ang mga kinakailangang ito, kailangan mong gawin ang mga sumusunod:

    1. Magsagawa ng pag-aaral ng mga proseso ng pagkolekta at pagproseso ng personal na impormasyon sa kumpanya. Ibig sabihin, sa anong lugar at sa anong anyo ang mga ito ay pinoproseso, sa anong lugar sila nakaimbak, sino ang may pananagutan dito at may access sa kanila, ano ang pinagmumulan ng personal na data at mga katulad na katanungan. Kinakailangang mangolekta ng kumpletong impormasyon tungkol sa lahat ng prosesong nauugnay sa personal na data.

    2. Kinakailangang bumuo ng isang pakete ng mga dokumento na nauugnay sa proseso ng pagproseso ng personal na data, lalo na
    A. Ang pagkilos ng pagkakategorya,
    B. Ang konsepto ng paglikha ng isang personal na sistema ng proteksyon ng data,
    B. Modelo ng Banta,
    D. Modelong nanghihimasok,
    D. Teknikal na gawain upang bumuo ng isang sistema ng proteksyon ng personal na data,
    E. Teknikal na disenyo ( tala ng paliwanag teknikal na proyekto) upang bumuo ng isang sistema ng proteksyon ng personal na data,
    G. Dokumentasyong pang-organisasyon at administratibo.

    Sa pangkalahatan, ang bilang ng mga dokumento sa isang karaniwang organisasyon ay humigit-kumulang 80 piraso, kabilang ang mga rehistro at mga order.

    3. Magpatupad ng mga teknikal na paraan ng proteksyon sa organisasyon, ayon sa binuong dokumentasyon.

    4. Magsagawa ng pagtatasa ng conformity o sertipikasyon ng mga sistema ng impormasyon.

    Ang sertipikasyon at pagtatasa ay mga espesyal na itinatag na dokumento, salamat sa kung saan ang organisasyon ay may pagkakataon na kumpirmahin na sumusunod ito sa lahat ng mga kinakailangan ng kasalukuyang batas ng Russian Federation.

    Batayan sa pag-unlad mga naaprubahang dokumento Ang mga operator ng personal na data ay ang Serbisyong Pederal para sa Teknikal at kontrol sa pag-export ng Russian Federation (FSTEC) at ng Federal Security Service ng Russian Federation (FSB), na nabaybay sa kanilang regulasyon mga metodolohikal na dokumento at mga order.

    Ang isa sa mga dokumentong ito ay:

    Umorder Serbisyong Pederal on Technical and Export Control (FSTEC of Russia) na may petsang Pebrero 5, 2010 No. 58 "Sa Pag-apruba ng Mga Regulasyon sa Mga Paraan at Paraan ng Proteksyon ng Impormasyon sa Personal Data Information Systems".

    V ang order na ito para sa lahat ng organisasyon tulad ng mga pamamaraan at paraan ng pagprotekta sa personal na data mula sa hindi awtorisado access bilang,
    — pagpapatupad ng isang permissive system para sa pagtanggap ng mga user ( mga Tauhang nagbibigay serbisyo) sa mga mapagkukunan ng impormasyon, sistema ng impormasyon at mga kaugnay na gawa, mga dokumento;
    - paghihigpit sa pag-access ng gumagamit sa lugar kung saan matatagpuan ang mga teknikal na paraan na nagpapahintulot sa pagproseso ng personal na data, pati na rin ang storage media;
    - delimitasyon ng access para sa mga user at mga tauhan ng pagpapanatili sa mga mapagkukunan ng impormasyon, mga tool sa software para sa pagproseso (paglilipat) at pagprotekta ng impormasyon;
    - pagpaparehistro ng mga aksyon ng mga gumagamit at mga tauhan ng pagpapanatili, kontrol ng hindi awtorisadong pag-access at mga aksyon ng mga gumagamit, mga tauhan ng pagpapanatili at mga hindi awtorisadong tao;
    - accounting at imbakan ng naaalis na media, at ang kanilang sirkulasyon, hindi kasama ang pagnanakaw, pagpapalit at pagkasira;
    - reserbasyon teknikal na paraan, pagdoble ng mga array at storage media;
    paggamit ng mga tool sa seguridad ng impormasyon na nakapasa sa pamamaraan ng pagtatasa ng conformity sa inireseta na paraan;
    — paggamit ng ligtas na mga channel ng komunikasyon;
    - paglalagay ng mga teknikal na paraan na nagpapahintulot sa pagproseso ng personal na data sa loob ng protektadong lugar;
    - organisasyon ng pisikal na proteksyon ng mga lugar at teknikal na paraan ng wasto, na nagpapahintulot sa pagproseso ng personal na data;
    — pag-iwas sa pagpapakilala ng mga nakakahamak na programa (mga virus program) at mga bookmark ng software sa mga sistema ng impormasyon.

    Ang mga pangunahing pamamaraan at paraan ng pagprotekta ng data mula sa hindi awtorisadong pag-access sa kaganapan ng pakikipag-ugnayan sa pagitan ng impormasyon at mga network ng telekomunikasyon ng internasyonal na pagpapalitan ng impormasyon at mga sistema ng impormasyon ay kinabibilangan ng:

    — firewalling upang kontrolin ang pag-access, i-filter ang mga packet ng network at isalin ang mga address ng network upang itago ang istruktura ng sistema ng impormasyon;
    - pagtuklas ng mga panghihimasok sa sistema ng impormasyon na lumalabag o lumikha ng mga paunang kondisyon para sa paglabag sa itinatag na mga kinakailangan para sa pagtiyak ng seguridad ng personal na data;
    - pagtatasa ng seguridad ng mga sistema ng impormasyon, na kinasasangkutan ng paggamit ng mga espesyal na tool ng software (mga scanner ng seguridad);
    - proteksyon ng impormasyon sa panahon ng paghahatid nito sa mga channel ng komunikasyon;
    - ang paggamit ng mga smart card, electronic lock at iba pang mga carrier ng impormasyon para sa maaasahang pagkilala at pagpapatunay ng mga gumagamit;
    - paggamit ng proteksyon laban sa virus;
    sentralisadong pamamahala ng sistema ng proteksyon ng personal na data ng sistema ng impormasyon;
    — pag-filter ng mga papasok (papalabas) na packet ng network ayon sa mga patakarang itinakda ng operator ( awtorisadong tao);
    — pana-panahong pagsusuri ng seguridad ng mga naka-install na firewall batay sa imitasyon ng mga panlabas na pag-atake sa mga sistema ng impormasyon;
    — aktibong pag-audit ng seguridad ng sistema ng impormasyon para sa real-time na pagtuklas ng hindi awtorisadong aktibidad ng network;
    - pagsusuri ng impormasyong natanggap sa pamamagitan ng impormasyon at mga network ng telekomunikasyon ng internasyonal na pagpapalitan ng impormasyon (mga pampublikong network ng komunikasyon), kabilang ang para sa pagkakaroon ng mga virus sa computer;
    - paggamit ng mga katangian ng seguridad;
    - paglikha ng isang channel ng komunikasyon na nagsisiguro sa proteksyon ng ipinadalang impormasyon;
    - pagpapatupad ng pagpapatunay ng mga nakikipag-ugnay na sistema ng impormasyon at pagpapatunay ng pagpapatunay ng gumagamit at integridad ng ipinadalang data.

    V Mga karagdagang kinakailangan para sa mga organisasyong kasama ang:

    - paglikha ng isang channel ng komunikasyon na nagsisiguro sa proteksyon ng ipinadalang impormasyon;
    - pagpapatunay ng mga nakikipag-ugnay na sistema ng impormasyon at pagpapatunay ng pagpapatunay ng gumagamit at integridad ng ipinadalang data;
    — tinitiyak ang pag-iwas sa posibilidad ng pagtanggi ng user sa katotohanan ng pagpapadala ng personal na data sa ibang user;
    - pagtiyak na hindi itinatanggi ng user ang katotohanan ng pagtanggap ng personal na data mula sa ibang user.

    Mga Tag: PDN 152-FZ


    © 2022 egoist24.ru Mga sistema ng pagbabayad. mortgage. Mga bangko. Yandex pera. webmoney. Pangkalahatang Impormasyon.