Обробка та зберігання персональних даних у Росії. Персональні дані російських громадян та сервера в іноземних державах

Термінологія зберігання персональних данихсформувалася пізніше.

У 2001 році в Трудовий кодексРосії з'явилася 14 глава, присвячена співробітників, а через 15 років уряд, нарешті, сформував терміни поводження з конфіденційною інформацією.

Під зберіганням інформації мається на увазі спосіб її поширення у часі та просторіза допомогою певного носія. Основною умовою та метою зберігання даних називається забезпечення до неї постійного доступу чи доступу на вимогу.

Зберігання даних є складовоюобробки інформації. Коли громадянин дає, йдеться про збирання, накопичення, уточнення, вилучення, оновлення та зберігання інформації.

Де можна зберігати біля РФ?

У кожного оператора має бути політика зберігання відомостей персонального характеру, Що включає такі пункти:

Електронні

Персональні відомості належать до конфіденційної інформації, тому мають бути захищені.Всі операції з такими відомостями, включаючи зберігання, використовуються (ІСПД).

Їх у Росії прийнято поділяти на чотири категорії залежно від важливості та обсягу інформації.

  • категорія 1.Типова інформаційна система персональних даних із відомостями більш ніж на 100 тисяч суб'єктів. У ній міститься інформація про расову, національну приналежність, політичні погляди, релігію, інтимне життя та інші відомості, поширення яких надасть явне негативний впливжиття фізичних осіб.
  • Категорія 2. Система містить персональні відомості, розголошення яких дозволить третім особам отримати про фізичну особу додаткові відомості, крім даних, що належать до першої категорії.
  • Категорія 3. Система з персональними відомостями, що дають змогу ідентифікувати фізичну особу.
  • Категорія 4. Передбачає зберігання, розкриття яких не вплине.

Процес зберігання починається із створення такої системи та її перевірки державними органами Росії. Після цього оператор повинен забезпечити всі вимоги щодо інженерного захисту приміщення, перевіряється відповідність системи щодо:

  1. вимогам пожежної безпеки;
  2. охорони;
  3. електричного живлення;
  4. заземлення;
  5. санітарним вимогам.

Останнім пунктом є атестація або сертифікація ІСПД. Якщо ІСПД готова, то компанії належить прописати юридичну основувсіх процесів з персональними відомостями, яка з'являтиметься на сайті перед введенням відомостей про користувача у форму.

Вона може називатися як завгодно, наприклад, "Політика обробки персональних даних" або "Згода на зберігання особистої інформації".

Головне, щоб клієнт міг ознайомитись з нею та натиснути на «галочку», висловивши таким чином свою згоду на надання оператору інформації. Весь процес зберігання такої інформації регламентується законодавчими актамипро конфіденційні дані.

Забороняється передавати їх третій особі, а також використовувати з метою, яка не була вказана спочатку.

Для операторів, що працюють з електронними носіями, інструкція виглядатиме так:

  1. Доступ до даних необхідно обмежити.
  2. Передавати інформацію зашифрованими каналами.
  3. Мати.
  4. вести облік фізичних носіїв, якщо є.
  5. Запобігати витоку.
  6. Окремо зберігати інформацію, що обробляється з різними цілями.
  7. інформацію після обробки після 30 днів зберігання (бажано) або після закінчення шести місяців (у обов'язковому порядку).

Розміщувати дані компанії можуть як їм зручно, зокрема на сучасні хмари.

У державі чітко регламентовані процеси зберігання ПД, всі оператори такої інформації повинні пройти низку перевірок та довести свою здатність забезпечити інформацію. У разі несанкціонованого поширення або доступу до даних оператор несе цивільну, матеріальну і навіть кримінальну відповідальність.

Громадянство

Як випливає із положень частин 2 та 3 статті 105 Повітряного кодексу Російської Федерації, договір повітряного перевезення пасажира, договір повітряного перевезення вантажу або договір повітряного перевезення пошти засвідчується відповідно квитком та багажною квитанцією у разі перевезення пасажиром багажу, вантажної накладної, поштової накладної; квиток, багажна квитанція, інші документи, що використовуються при наданні послуг з повітряного перевезення пасажирів, можуть бути оформлені в електронному вигляді(електронний перевізний документ) з розміщенням інформації щодо умов договору повітряного перевезення в автоматизованій інформаційній системі оформлення повітряних перевезень. Таким чином, авіаперевізникам з метою реалізації вищезазначених положень закону, потрібне провадження діяльності з обробки персональних даних пасажира з метою оформлення документів, що засвідчують укладання договору повітряного перевезення.

Відповідно до ст. 85.1 Повітряного кодексу Російської Федерації, з метою забезпечення авіаційної безпекиперевізники забезпечують передачу персональних даних пасажирів повітряних суден до автоматизованих централізованих баз персональних даних про пасажирів відповідно до законодавства Російської Федерації про транспортну безпеку та законодавством Російської Федерації у сфері персональних даних, при міжнародних повітряних перевезеннях також до уповноважених органів іноземних держав відповідно до міжнародних договорів Російської Федерації Федерації або законодавством іноземних держав вильоту, призначення або транзиту обсягом, передбаченому законодавством Російської Федерації, якщо інше встановлено міжнародними договорами Російської Федерації. При цьому слід мати на увазі, що Російська Федерація є стороною низки міжнародних конвенційв галузі авіаперевезень, зокрема, Чиказької конвенції («Конвенція про міжнародну цивільної авіації» укладено Чикаго 7 грудня 1944 року, набула чинності для Російської Федерації 16 серпня 2005 року - «Збори законодавства РФ», 30.10.2006, №44), Варшавської конвенції ( «Конвенція про уніфікацію деяких правил, що стосуються міжнародних повітряних перевезень» укладена у Варшаві 12 жовтня 1929, набула чинності для СРСР 13 лютого 1933, Збірник чинних договорів, угод та конвенцій, укладених СРСР з іноземними державами, Вип. VIII - М., 1935, с. 326 – 339.) та Гваладахарської конвенції ( «Конвенція, додаткова до Варшавської конвенції, для уніфікації деяких правил, що стосуються міжнародних повітряних перевезень, що здійснюються особою, яка не є перевізником за договором», укладена в Гвадалахарі 18 вересня 1961 року, набула чинності для СРСР 21 грудня 1983 року, «Відомості ЗС СРСР» , 15.02.1984 №7), які також становлять невід'ємну частину правового регулюваннядіяльності авіаперевізників та пов'язаних з нею інформаційних процесів.

Виходячи із вищевикладеного, вимоги ч. 5 ст. 18 ФЗ «Про персональні дані» не поширюються на діяльність російських, а також іноземних авіаперевізників у частині збору та обробки персональних даних громадян-пасажирів для цілей бронювання, оформлення та видачі їм авіаквитків ( проїзних квитків), багажних квитанцій та інших перевізних документів, оскільки вони підпадають під виняток, передбачений п. 2 ч. 1 ст. 6 ФЗ «Про персональні дані».

Вимоги ч. 5 ст. 18 ФЗ «Про персональні дані» також не поширюються на діяльність осіб, що діють від імені авіаперевізника (уповноважений агент), діяльність яких передбачена пунктом 6 Загальних правил повітряних перевезень пасажирів, багажу, вантажів та вимог до обслуговування пасажирів, вантажовідправників, вантажоодержувачів, затверджених Наказом Мінтрансу Росії №82 від 28 червня 2007 року "Про затвердження Федеральних авіаційних правил" Загальні правилаповітряних перевезень пасажирів, багажу, вантажів та вимоги до обслуговування пасажирів, вантажовідправників, вантажоодержувачів», а також інших осіб, в частині обробки персональних даних громадян-пасажирів виключно для цілей бронювання, оформлення та видачі останніх авіаквитків (проїзних квитків), багажних квитанцій та інших перевізних документів, у тому числі в електронному вигляді при внутрішньоросійських та міжнародних перельотах, у разі якщо вищевказана діяльність цих осіб передбачена законодавством Російської Федерації або відповідним міжнародним договором, у тому числі з метою забезпечення авіаційної безпеки.

У разі, якщо обробка персональних даних підпадає під винятки, передбачені пунктами 2, 3, 4, 8 частини 1 статті 6 Федерального закону«Про персональні дані», положення частини 5 статті 18 152-ФЗ не застосовуються. Відповідна кваліфікація здійснюваних дій щодо обробки персональних даних та забезпечення її відповідності вимогам законодавства здійснюються оператором персональних даних при забезпеченні (організації забезпечення) такої обробки. Коректність згаданої кваліфікації та забезпечення обробки у конкретній ситуації перевіряється уповноваженим федеральним органомпід час проведення контрольних заходів.

Товари та послуги

Із сукупності положень частини 5 статті 18 Федерального закону «Про персональні дані» («при ​​зборі персональних даних, у тому числі за допомогою інформаційно-телекомунікаційної мережі Інтернет, оператор зобов'язаний забезпечити запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення персональних даних громадян Російської Федерації з використанням баз даних, що знаходяться на території Російської Федерації, за винятком випадків, зазначених у пунктах 2, 3, 4, 8 частини 1 статті 6 цього Федерального закону) та пункту 2 частини 1 статті 6 Федерального закону «Про персональні даних» («обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення та виконання покладених законодавством Російської Федерації на оператора функцій, повноважень та обов'язків») слідує, що обробка персональних даних з метою та відповідно до вимог , встановленими ратифікацією ой Російською Федерацією Конвенції Ради Європи про захист приватних осіб щодо автоматизованої обробки даних особистого характеру не суперечить законодавству Російської Федерації, що регулює відносини у сфері захисту персональних даних. Крім того, частина 5 статті 18152-ФЗ не обмежують транскордонну передачу персональних даних громадян Російської Федерації.

Закон не передбачає поняття «первинний збір», а встановлює вимоги до обробки персональних даних за будь-якого збору інформації, при цьому виділяючи такі операції з ПД, як уточнення (оновлення, зміна) інформації, що містить персональні дані. З метою закону у процес збору інформації включені також процедури зберігання та накопичення інформації, що саме собою не дозволяє використовувати таке поняття, як «первинний збір». Таким чином, закон накладає на оператора обов'язок при здійсненні обробки зібраних персональних даних шляхом систематизації, накопичення, зберігання, уточнення, вилучення, використовувати бази даних, що знаходяться на території Російської Федерації. Таким чином, якщо для складання звітності, або аналізу інформації, що містить персональні дані, оператору потрібно здійснити згадані форми обробки персональних даних, такі дії повинні здійснюватися з використанням баз даних, що знаходяться на території Російської Федерації.

Трактування в частині первинного збору є неправильним з наступних підстав. Закон не передбачає поняття «первинний збір», а встановлює вимоги до обробки персональних даних за будь-якого збору інформації, при цьому виділяючи такі операції з ПД, як уточнення (оновлення, зміна) інформації, що містить персональні дані. З метою закону у процес збору інформації включені також процедури зберігання та накопичення інформації, що саме собою не дозволяє використовувати таке поняття, як «первинний збір». Таким чином, закон накладає на оператора обов'язок при здійсненні обробки зібраних персональних даних шляхом систематизації, накопичення, зберігання, уточнення, вилучення, використовувати бази даних, що знаходяться на території Російської Федерації.

Відповідно до положень пункту 7 частини 4 статті 16 Федерального закону №149-ФЗ від 27 липня 2006 року «Про інформацію, інформаційні технології та захист інформації», володар інформації, оператор інформаційної системи у випадках, встановлених законодавством Російської Федерації, зобов'язані забезпечити перебування біля Російської Федерації баз даних, з допомогою яких здійснюються збір, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), вилучення персональних даних громадян Російської Федерації.

Зважаючи також на положення частини 5 статті 18 Федерального закону №152-ФЗ від 27 липня 2006 року «Про персональні дані» (що набирає чинності з 1 вересня 2015 року), що встановлюють, що при зборі персональних даних, у тому числі за допомогою інформаційно- телекомунікаційної мережі Інтернет, оператор зобов'язаний забезпечити запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення персональних даних громадян Російської Федерації з використанням баз даних, що знаходяться на території Російської Федерації, вважаємо, що обробка ПД громадян Російської Федерації на території іншого держави може здійснюватися виключно у випадках, передбачених пунктами 2, 3, 4, 8 частини 1 статті 6 Федерального закону "Про персональні дані", для яких є вилучення в частині 5 статті 18 152-ФЗ. Слід також враховувати, що законодавчо немає поділів на «основну» базу персональних даних та її «копію». В обох випадках йдеться про базу даних, за допомогою якої обробляються персональні дані. Водночас, Федеральний закон не містить вказівок на загальну заборону обробки персональних даних громадян Російської Федерації з використанням баз даних, що не перебувають на території Російської Федерації.

У зв'язку з цим вважаємо, що обробка персональних даних громадян Російської Федерації за допомогою збору, запису, систематизації, накопичення, зберігання, уточнення, вилучення може здійснюватися з використанням баз даних, що не знаходяться на території Російської Федерації у таких випадках:

  • якщо така діяльність підпадає під випадки, передбачені пунктами 2-4, 8 частини 1 статті 6152-ФЗ;
  • якщо така діяльність не підпадає під випадки, передбачені пунктами 2-4, 8 частини 1 статті 6 152-ФЗ, і на території Російської Федерації знаходяться використовуються для такої обробки персональних даних бази даних, в яких міститься більший обсяг персональних даних або рівний за межами території Російської Федерації (у разі неприпустимо перебування поза території Російської Федерації персональних даних, які одночасно перебувають у межах території Російської Федерації).

Транскордонна передача персональних даних не заборонена за умови дотримання вимог, встановлених у статті 12 Федерального закону №152-ФЗ. При цьому транскордонна передача даних повинна мати наперед визначену мету обробки, при досягненні якої суб'єкту персональних даних має бути гарантовано знищення переданих даних на території іноземної держави. За дотримання зазначених вимог відповідальність, передбачена російським законодавством, застосовна до оператора у разі порушення порядку та умов, встановлених для договору-доручення.

Відповідно до положень пункту 2 статті 3 Федерального закону «Про персональні дані», оператор — державний орган, муніципальний орган, юридична або фізична особа, які самостійно або спільно з іншими особами організовують та (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються із персональними даними. Отже, положення Федерального закону №242-ФЗ поширюються усім вищевказаних суб'єктів. Ухвалений федеральний закон не прив'язує поширення частини 5 статті 18 152-ФЗ лише до операторів, де обробка персональних даних є їх основним видом діяльності, або до операторів, які обробляють персональні дані лише з використанням інформаційно-телекомунікаційних мереж.

Відповідно до положень пункту 2 статті 3 Федерального закону «Про персональні дані», оператор - державний орган, муніципальний орган, юридична або фізична особа, які самостійно або спільно з іншими особами організовують та (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються із персональними даними. Отже, положення Федерального закону №242-ФЗ поширюються усім вищевказаних суб'єктів. Ухвалений федеральний закон не прив'язує поширення частини 5 статті 18 152-ФЗ лише до операторів, де обробка персональних даних є їх основним видом діяльності, або до операторів, які обробляють персональні дані лише з використанням інформаційно-телекомунікаційних мереж. У існуючих планах законопроектної діяльності не передбачено розробку проекту федерального закону, що коригує це положення.

Вищезазначені вимоги закону поширюються, у тому числі, і на обробку оператором отриманих в результаті збору персональних даних, а саме запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення.

Розуміння правильне. 152-ФЗ термін "використання персональних даних" не розкриває. З метою тлумачення під «використанням персональних даних» можна розуміти дії з персональними даними, що не належать до інших форм обробки персональних даних, у тому числі прийняття рішень на основі персональних даних, для здійснення яких було здійснено збір персональних даних (мета збору персональних даних має відповідати цілі використання персональних даних).

Поняття «оператор» міститься у статті 3 закону №152-ФЗ, під яким розуміється державний орган, муніципальний орган, юридична або фізична особа, що самостійно або спільно з іншими особами організують та (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними. Беручи до уваги, що стаття 3 Закону №152-ФЗ не містить винятків щодо здійснення особою окремих операційз обробки персональних даних, а також інших визначень, відмінних від оператора, особа, яка визначає мету обробки персональних даних, або здійснює окремі дії з обробки персональних даних у контексті положень закону №152-ФЗ, є оператором, який здійснює обробку персональних даних.

— Чи не потрібне повторне або додаткове повідомлення про обробку персональних даних після 1 вересня 2015 року. Чи потрібно додатково повідомляти, де є бази даних?

Поняття "повторного" або "додаткового" повідомлення не існує. Статтею 22 Федерального закону «Про персональні дані» встановлено обов'язок оператора на початок обробки персональних даних надіслати повідомлення. У частині 2 зазначеної статті наведено низку винятків, коли такого повідомлення не вимагається. До Федерального закону №242-ФЗ вносяться зміни до частини 3, яка визначає вимоги до змісту повідомлення. Якщо організація раніше направила до Роскомнагляду повідомлення про обробку персональних даних, то після набуття чинності законом оператори, керуючись частиною 7 цієї статті, повинні повідомити відомості про місцезнаходження бази даних протягом десяти робочих днів.

— Чи підпадає первісний збір персональних даних на паперових носіях з подальшим їх внесенням до електронної бази даних під вимоги частини 5 статті 18 Федерального закону №152-ФЗ?

Відповідно до вимог частини 5 статті 18 Федерального закону №152-ФЗ при зборі персональних даних, у тому числі за допомогою інформаційно-телекомунікаційної мережі «Інтернет», оператор зобов'язаний забезпечити запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення персональних даних громадян Російської Федерації з використанням баз даних, що знаходяться на території Російської Федерації, за винятком випадків, зазначених у пунктах 2, 3, 4, 8 частини 1 статті 6 цього Закону. Основним принципом законодавства у сфері персональних даних є принцип, за яким обробка персональних даних має обмежуватися досягненням конкретних, заздалегідь визначених та законних цілей. У зв'язку з цим внесення персональних даних до інформаційної системи персональних даних, що використовується в цілях, аналогічних збору даних на паперових носіях, слід розглядати як єдиний процес, реалізація якого має здійснюватися у суворій відповідності до вимог частини 5 статті 18 Федерального закону №152-ФЗ. Поділ зазначеного єдиного процесу на окремі дії законодавством Російської Федерації у сфері персональних даних не передбачено. Таким чином, окремі видиобробки персональних даних, передбачені частиною 5 статті 18 Федерального закону №152-ФЗ, у тому числі збір персональних даних на паперових носіях з подальшим їх внесенням до електронної бази даних, повинні здійснюватися як єдиний процес у правовому полі законодавчої норми, яка зобов'язує зберігати персональні дані на території Російської Федерації.

Хмарна інфраструктура- Рішення від ДК «Інтегрус», що надає сучасному бізнесу готову ІТ-інфраструктуру без залучення значних матеріальних та людських ресурсів.

Компанія "Інтегрус" пропонує послуги захисту та зберігання персональних даних для корпоративних клієнтів у Росії. Звернувшись до нас, ви можете бути повністю впевнені, що отримуєте у своє розпорядження надійну захищену систему та повністю дотримуєтеся вимог законодавства.

Кому підходять наші послуги

Ціни на зберігання персональних даних на захищеному сервері в СПб

Тарифний план Ціна оренди сервера ІСПДн з атестатом, руб./міс **
Ціна оренди сервера ІСПДн без атестату, руб./міс.
ІСПДн-1 5Gb 4 990 2 490
ІСПДн-2 50Gb 9 990 4 990
ІСПДн-3 100Gb 19 990 9 990
ІСПДн-4 200Gb 29 990 14 990
ІСПДн-5 400Gb 39 990 19 990
Установчий платіж * 10 000

* – Крім самої вартості захищеного віртуального сервера в рамках тарифного плану, при замовленні першого сервера в ІСПД є установча плата в

розмірі 10000 рублів.

** – Вартість захищеного сервера ІСПДн з пакетом документів та процедурою атестації робочого місця.

Продаж захищеної інфраструктури для зберігання та обробки персональних даних за наданими тарифними планами здійснюється з мінімальним терміном- 1 рік.

Приклади робіт

Нашими силами було успішно зроблено проект з перенесення персональних даних учнів московського інституту на хмару. Були випущені атестати робочого місця, каналу зв'язку і хмарного сервера. Була створена не типова база даних, що займає 5гб на захищеному сервері.

Наші сертифікати

  • Що входить до наших послуг зберігання персональних даних

    • Ми організовуємо обробку та зберігання інформації у зовнішньому центрі обробки даних (ЦОД), надаємо у ваше розпорядження віртуальну машину, захищену відповідно до вимог Федерального закону про захист персональних даних №152-ФЗ.
    • Реалізуємо правові, організаційні та технічні норми закону.
    • Оформляємо та надаємо вашій організації повний комплект необхідних документів (з огляду на особливості вашого роду діяльності), у тому числі атестат відповідності вимогам безпеки
    • Вам не знадобиться укладати договір із суб'єктами про те, що їх персональні відомості передаватимуться на обробку у зовнішній дата-центр.

    Варто згадати два нюанси:

    • Мінімальний період для сервера дорівнює 6 місяців. Якщо ви вкладетеся в 5гб, тоді ціна складе 4990р. на місяць. Якщо все-таки потрібно більше тоді необхідний наступний тариф: 50гб і 9990руб. у місяць.
    • Ціна настановного платежу у вигляді 10 000 крб. справедливий для типового комплекту документів, у вашому випадку це «Платформа дистанційного навчання», вона у нас не типова і може знадобитися індивідуальна розробка пакета документації. Ціна розробки нетипової зміни становить +15 000 рублів. Робиться це одноразово.

    Для розуміння, чи потрібна буде індивідуальна розробка, нам потрібно короткий описсервісу (яка база даних і де зберігається (MySQL; SQL і т.д.)) який буде розміщуватися на сервері ІСПДн. Тобто. алгоритм роботи сервісу, хто є суб'єктом ПДн у сервісі, хто і як отримує доступ до сервісу.

    Як це працює

    Будь-яке підприємство зараз використовує у своїй роботі інформаційні системи, що обробляють персональні дані (ПДН). Наприклад, це бухгалтерські ІВ, фінансові, кадрові та інші. Під обробкою, згідно із законом, мається на увазі збирання, запис, систематизація, зберігання, уточнення, використання, передача, видалення та інші операції з цією інформацією.

    Відповідно, рано чи пізно постає питання про те, щоб привести свою роботу у відповідність із Федеральним законом "Про персональні дані" і отримати документальне підтвердження цієї відповідності.

    Самостійно і без необхідного досвіду виконати всі вимоги до зберігання персональних даних досить важко, це може призвести до зайвих витрат часу та ресурсів. Тому ми пропонуємо послуги своїх спеціалістів. Вони вже неодноразово вирішували завдання організації зберігання та передачі персональних даних і добре знають про “підводні камені”.

    Зберігання персональних даних на сервері дата-центру: переваги підходу

    Щоб збудувати повноцінну систему захисту інформаційних системперсональних даних (ІСПДН) на підприємстві, необхідно виконати передпроектне обстеження ІСПДН, розробити модель загроз безпеки, створити концепцію і потім проект системи захисту ІСПДН, поставити, впровадити, розробити методи атестації, провести перевірку та оформити атестат відповідності.

    Якщо ж організувати зберігання персональних даних клієнтів в атестованій віртуальній інфраструктурі, розташованій у зовнішньому дата-центрі, виконання всіх цих робіт спрощується і зводиться до затвердження попередньо розроблених типових документів, а відповідні витрати значно скорочуються. Крім того, зберігання даних у надійному та сучасному дата-центрі гарантує, що ваша інформація буде завжди доступна для вас, цілісна та захищена від втрат.

    Однак, якщо переносити ПДн у зовнішній дата-центр, то, як правило, виникає низка складнощів. Так, наприклад, згідно з Федеральним законом №152-ФЗ "Про персональні дані" (ст.7 і ч.ч.3-5 ст.6), що визначає порядок зберігання персональних даних в Росії, оператору для доручення обробки ПДН сторонньому дата-центру , необхідно отримати згоду кожного суб'єкта на збирання та зберігання персональних даних, де вказано перелік даних та допустимих дій з ними, мети, строки та є власноручний підпис кожного суб'єкта (фактично, укласти з клієнтом договір на зберігання персональної інформації).

    Рис.1. Класична схема: організація-оператор віддає ПДн на обробку до зовнішнього дата-центру, перекладаючи всі турботи щодо забезпечення безпеки цих даних на оператора дата-центру.

    Організація-оператор ПДн за такої класичної схеми роботи з дата-центром стикається зі значними незручностями та обмеженнями у своїй роботі:

    • Залишаються актуальними всі організаційно-правові питання обробки даних: потрібно видавати положення про персональні дані, опрацьовувати правові підставидля обробки персональних даних та передачі персональних даних третім особам (включаючи дата-центр).
    • У силу ст.7 і ч.ч.3-5 ст.6 федерального закону №152-ФЗ "Про персональні дані" виникає обов'язок отримати згоду на передачу персональних даних на обробку в дата-центр з кожного суб'єкта персональних даних. Причому, така згода має бути оформлена відповідно до вимог ст.9 зазначеного федерального закону, тобто. містити, у тому числі, цілі обробки, повний перелік персональних даних, повний перелік дій з персональними даними, на які надається згода, строк дії згоди та власноручний підписсуб'єкта персональних даних чи його електронний аналог.И зазвичай отримання такої згоди викликає труднощі в организации-оператора.

    Щоб уникнути цих труднощів, ми пропонуємо таку технологію роботи:

    • За допомогою сертифікованих засобів криптозахисту ПДН, що передаються каналами зв'язку, захищаються від провайдера послуг зв'язку.
    • Подібним чином ми пропонуємо захистити ПДн і при обробці в дата-центрі використовувати засоби інформаційного захисту, що виключають будь-яку технічну можливість доступу з боку співробітників дата-центру. Для цього ми розвертаємо одну або кілька віртуальних машин, кожна з яких – всебічно ізольований об'єкт, будь-який доступ до якого хостинг провайдера блокується. Це досягається як функціями гіпервізора, і засобами захисту від несанкціонованого доступу. Надалі працювати з такою орендованою захищеною віртуальною машиною можна з робочого місця з офісу клієнта за допомогою віддаленого терміналу ("Видалений робочий стіл", VNC-термінал або SSH-термінал).

    Таким чином, ні провайдер, ні дата-центр ніяк не зможуть встановити суб'єкт персональних даних, визначити обсяг інформації у віртуальній машині клієнта, наявність будь-яких конфіденційних відомостей. Отже, таку роботу з ПДН в ізольованій віртуальній машині не можна вважати передачею ПДН оператору дата-центру або дорученням на обробку ПДН, що позбавляє клієнта необхідності отримувати згоду суб'єктів.

    Приклад організації передачі та обробки персональних даних із захищених каналів зв'язку

    Наведемо невеликий кейс, що ілюструє цю технологію на прикладі організації-оператора персональних даних, що територіально складається з центрального офісу та філій.

    Рис.2. Організація передає персональні дані по відкритих каналах

    Інтернет-провайдер здійснює передачу IP-пакетів, які містять персональні дані. Відповідно до п.3 ст.3 ФЗ-152 це вже окремий випадокобробки персональних даних Т. О., згідно з п.2 ст.3 ФЗ-152, інтернет-провайдер вже перетворюється на оператора ПДН. І відповідно до вимог ст.6 і ст.7 ФЗ-152, нашої уявної організації, що передає ПДН по відкритих каналах даному випадкувже потрібно отримувати згоду суб'єктів персональних даних на передачу їх персональних даних у відкритому вигляді мережами провайдера. А інтернет-провайдер, у свою чергу, має вживати всіх необхідних організаційно-технічних заходів для захисту цих даних.

    Однак, якщо вжити заходів щодо шифрування даних (криптографічного захисту) перед відправкою каналами зв'язку інтернет-провайдера, то з правової точки зору вже не виникне факту передачі ПДН на обробку. Т.к. згідно з п.1 ст.3 ФЗ-152 "персональні дані - це будь-яка інформація, що відноситься до прямо або опосередковано визначеної або визначеної фізичної особи (суб'єкта персональних даних)."

    На малюнку 3 проілюстровано, що провайдеру послуг зв'язку не передається інформація, за якою можна було б безпосередньо або опосередковано встановити суб'єкта персональних даних.

    Рис.3. Організація передає персональні дані по захищеним каналам

    ПІДСУМОК: Застосування криптографічних засобів захисту ПДн перед відправкою їх по каналах провайдера дозволяє з правової точки зору позбутися факту передачі їх на обробку цьому провайдеру.

    Захист ПДН при обробці у віртуальній інфраструктурі

    Так само компанія “Інтегрус” пропонує за допомогою захищених каналів передачі даних захистити ПДн при обробці їх у дата-центрах, у хмарних сховищах та віртуальних хостингах за допомогою спеціальних засобівзахисту інформації.

    Захист буде встановлений та налаштований таким чином, щоб повністю виключити технічну можливість доступу з боку працівників дата-центру (адміністраторів, інженерів, операторів) до тих персональних даних, які організація матиме в дата-центрі. Такий захист проводиться згідно з проектом системи захисту ПДН за допомогою сертифікованих по лінії ФСТЕК Росіїзасобів захисту (у тому числі гіпервізора віртуальних машин та засобів захисту від несанкціонованого доступу), а також з використанням сертифікованих за вимогами ФСБ Росії засобів криптографічного захисту інформації (при передачі каналами зв'язку та при обробці у віртуальній інфраструктурі). Докладно таку схему проілюстровано малюнку 4.

    Рис.4. Технологія захисту ПДН у віртуальній інфраструктурі.

    Захист персональних даних - послуги "Інтегрус" в організаційно-правовій сфері

    Окрім організації системи захисту, ми виконуємо всі організаційно-правові роботи:

    • Проробляємо правові підстави для обробки ПДН, її завдання, способи та терміни.
    • Готуємо та публікуємо документ, який декларує політику в галузі роботи з персональними даними (положення про зберігання, обробку персональних даних) та комплект організаційно-розпорядчих документів (актів класифікації ІВ, інструкцій, регламентів та журналів).
    • Розробляємо повідомлення про обробку персональних даних для направлення до Роскомнагляду (при необхідності).

    Якщо ви хочете отримати готову інформаційну систему, яка виконує вимоги Закону про зберігання персональних даних та відповідає всім стандартам, бажаєте без проблем працювати з персональними даними, не побоюватися претензій з боку клієнтів, співробітників або контролюючих органів, звертайтеся до фахівців “Інтегрус”. Залишіть заявку через форму зворотнього зв'язку на сайті, зателефонуйте або напишіть нам і ми охоче проконсультуємо вас з технічного та правового боку питання.

    • Одні називають цей закон поверненням до залізної завіси та запізнілою рефлексією зміну інформаційного простору. Інші пов'язують з ним зміцнення позицій та подальший розвиток потужностей вітчизняних ІТ-компаній. Автори поправок наполягають на тому, що новий закондопоможе захистити права російських громадяну сфері обробки та зберігання персональних даних. За роз'ясненнями про те, з чим у найближчому майбутньому доведеться мати справу бізнесу та звичайним користувачам, ми звернулися до керівника проекту компанії «Глобал Офіс» Мартинової Христини.

    Сьогодні закони 242-ФЗ та 152-ФЗ на слуху у багатьох. За останні кілька місяців вони стали гострими больовими зонами в дискусіях бізнесменів, айтішників та простих смертних. Прийнятий у липні цього року федеральний закон 242-ФЗ встановив всім учасників, залучених у процес обробки та зберігання персональних даних, нові правила гри. Одне з головних нововведень торкнулося тексту закону 152-ФЗ, положення якого доповнилися вимогою з 1 січня 2016 року зберігати персональні дані росіян на серверах, що знаходяться в РФ:

    При зборі персональних даних, зокрема у вигляді інформаційно-телекомунікаційної мережі «Інтернет», оператор зобов'язаний забезпечити запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення персональних даних громадян РФ з допомогою баз даних, що є біля РФ.

    При цьому під заборону можуть потрапити будь-які дії з даними - аж до виведення на екран комп'ютера, якщо бази даних «лежать» за кордоном. Щоправда, досі ні парламентарі, ні Роскомнагляд не дали однозначних відповідей на питання про те, що саме слід розуміти під вилученням даних, їх систематизацією і самою базою даних.

    Ще більш розпливчастим залишається зміст нового терміна «обличчя, що забезпечує обробку інформації в інформаційно-телекомунікаційній мережі, зокрема в мережі «Інтернет», внесене до закону 149-ФЗ». Хто має право отримати цей статус і які правові ознакитакої особи? Не виключено, що аналіз законодавчих польотів відбуватиметься вже за фактом передбачуваного порушення. У цьому випадку прояснити букву закону допоможе судова практика. Але знову ж таки незрозуміло, на якій підставі починатиметься судовий розгляд– за зверненням Роскомнагляду або будь-якої іншої особи.

    Блокування сайту порушника, внесення його до «чорного списку» Роскомнагляду та право користувачів на видалення своїх персональних даних за рішенням суду – все це навряд чи можна вважати новелами закону. По суті це невеликий «апгрейд» положень законів «Про персональні дані» та «Про інформацію», в яких досить повно викладено і каральні процедури (включаючи формування реєстру порушників), та механізми судового захистугромадян.

    Про персональні дані

    Варто віддати належне тому широкому суспільному резонансу, який розгорнувся синхронно з офіційними обговореннями закону. Користувачі, які раніше вважали, що персональні дані – це П.І.Б., відомості паспорта та номер телефону, нарешті отримали ковток тверезості та розсудливості. Виявилося, що за абревіатурою ПД ховається «будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних)» (п. 1 ст. 3 152-ФЗ). Це можуть бути і дані про здоров'я, і ​​інформація про транзакції, і листування в соцмережах, і зареєстровані акаунти в онлайн-магазинах.

    Для бізнесу персональні дані – всюдисущий інформаційний «матеріал». Наприклад, клієнтам «Глобал Офіс», які працюють на виділеному сервері «1С: Підприємство. Зарплата та Управління Персоналом», питання про персональні дані постає щоразу при підготовці звітності, нарахуванні заробітної плати та відпускних, розрахунку лікарняних та вишукуванні податків. Більш того, нешкідливі на перший погляд документи, створені за допомогою програмних продуктів Microsoft Word, Excel, Power Point та ін, можуть потрапити під статтю нового закону, навіть якщо їхній основний зміст не має жодного відношення до відправника або одержувача. Як таке можливо? Завдяки метаданим, які можуть зберігатися не тільки в самому документі, але і в описі його властивостей: наприклад, ім'я автора, ім'я користувача, поштова адреса, що зберегла останнім, заголовки повідомлень електронної поштиі т.д. Таку ж приховану небезпеку представляє реєстрація профілю та пересилання листів через Microsoft Outlook.

    Поряд з персональними даними співробітників компаніям доводиться мати справу і з іншими видами конфіденційної інформації, до якої належать реквізити компанії, інформація про контрагенти та ін. За законом персональні дані – один із шести видів відомостей конфіденційного характеру(Див. Указ Президента РФ «Про затвердження переліку відомостей конфіденційного характеру»). Для зручності між нами та нашими клієнтами існує домовленість про те, що всі відомості, що зберігаються в програмних продуктах 1С, що надаються нами, є персональними, а, отже, до них застосовуються процедури шифрування, знеособлення та ін механізми захисту даних.

    Що робити бізнесу?

    Побудувати власний дата-центр і спати спокійно – технологічна розкіш, яка тільки по зубах великим компаніям. У компанії «Яндекс» на будівництво першої фази дата-центру пішло близько двох років і ще більша купа грошей. Найімовірніше рішення для більшості російських середнячків – це дзвінок до вже чинного дата-центру, де пропонують послуги з розміщення серверів (colocation).

    Інший законний спосібвстановити з новим законом дружній контакт – знеособлення даних. Деякі експерти покладають на нього великі надії. Персональні дані будуть відокремлені від суб'єкта таким чином, щоб їх неможливо було співвіднести з конкретною людиною. У такому «аморфному» вигляді з ними можна робити все, що завгодно. Передбачається, що зворотна прив'язка до людини здійснюватиметься після повернення знеособлених даних на територію РФ. Сьогодні така технологія успішно застосовується у медицині. Знеособити дані можна за допомогою популярних рішень ERP та CRM виробництва Microsoft, SAP або Oracle.

    На ще одну лазівку в прийнятому законівказали юристи. Нині чинне законодавство не забороняє пересилання даних за кордон та дублювання інформації. Теоретично персональні дані можуть зберігатися біля Росії і далі вільно йти у продубльованому вигляді на іноземні сервери.

    Формально виконати вимогу про зберігання даних на російських серверах також дозволяють спеціальні програми(У компанії «Глобал Офіс» це SecurityIP). Вони приховують кінцеву IP-адресу робочого сервера, щоб не можна було визначити точне розташування сервера.

    Безумовно, зміни у головному законі про персональні дані створюють труднощі не тільки для бізнес-спільноти, але й для користувачів. І при наполегливому мовчанні Роскомнагляду відповіді на питання поки що залишаються відкритими. Поправки про перенесення строків набрання чинності законом на 1 січня 2015 року все ще обговорюються в урядових кабінетах. Бізнес, як і раніше, вимагає від парламентаріїв більше конкретних формулювань і менше туманних фраз. Перше у списку – заміна визначення персональних даних. Без чіткого розуміння того, які види відомостей можуть бути класифіковані як ПД, навряд чи можливий захист прав громадян, голосно заявлений у новому законі.

    Процес обробки персональних даних будь-якого громадянина прописаний у Федеральному Законі № 152-ФЗ "Про персональні дані". Спочатку даний законбув прийнятий 27 липня 2006 року, і вже надалі піддавався різним змінам та доповненням.

    Закон «Про персональні дані» регулює відносини між державними, муніципальними органами, фізичними та юридичними особами у сфері обробки та захисту особистої інформації, які здійснюються за допомогою засобів автоматизації або без неї.

    Метою цього закону є забезпечення захисту свобод і прав громадян законними методами при обробці його особистих даних, у тому числі недоторканність приватного життя, сімейної та особистої таємниць.

    Яка організація підпадає під вимоги Федерального закону «Про персональні дані»?

    Будь-яка організація має можливість не регламентувати свої дії відповідно до глави 1 статті 2 Федерального закону за № 152-ФЗ «Про персональні дані», що стосуються обробки персональних даних, у таких випадках як:

    1. Опрацювання персональних даних фізичними особами виключно для особистих та сімейних потреб, якщо при цьому не порушуються права суб'єктів персональних даних;
    2. Організації зберігання, комплектування, обліку та використання документів, що містять персональні дані Архівного фондуРосійської Федерації та інших архівних документіввідповідно до законодавства про архівну справу в Російській Федерації;
    3. Опрацювання персональних даних, віднесених до встановленому порядкудо відомостей, що становлять державну таємницю;
    4. Надання уповноваженими органамиінформації про діяльність судів у Російській Федерації відповідно до Федерального закону від 22 грудня 2008 року N 262-ФЗ «Про забезпечення доступу до інформації про діяльність судів у Російській Федерації».

    Коли ж організація не підпадає під вищевказані пункти, вона має обов'язково підпорядковуватися вимогам закону. Всі інші випадки, що стосуються збору, обробки та зберігання персональних даних, регламентуються відповідно до Федерального закону № 152 «Про персональні дані». Практично всі організації підпадають під дані вимоги, оскільки майже всі компанії тим чи іншим чином виробляють обробку персональних даних своїх співробітників чи інших фізичних осіб. При цьому всі особисті дані мають бути суворо конфіденційними.

    Для того, щоб ризик претензій від власників персональних даних та державних органівбув мінімальним, необхідно виконати комплекс робіт, які доводять необхідність обробки персональних даних. Також необхідно виконати вимоги забезпечення конфіденційності як при неавтоматизованій обробці, так і у разі обробки персональних даних в інформаційних системах.

    Персональні дані – що це?

    У розділі 1 статті 3 ФЗ «про персональні дані» є визначення персональних даних:

    — персональні дані — будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних).

    Це може бути прізвище, ім'я по батькові, адреса місця проживання та електронної пошти, контактні телефони, місце перебування, віросповідання, сімейний стан, фотографії, відомості про родичів та багато іншого. Кожна організація, яка має таку інформацію, зобов'язана захищати інформаційні системи, у яких мають зберігатися такі дані.

    Збір, зберігання та обробка персональних даних

    При необхідності отримання персональних даних працівника чи іншого фізичної особиорганізація вправі збирати її у самого суб'єкта. Якщо ж інформацію можна отримати лише у третіх осіб, то суб'єкт повинен бути обов'язково повідомлений, а також зобов'язаний дати свою письмову згоду на цю процедуру. У свою чергу оператор зобов'язаний сповістити громадянина про цілі, які він переслідує при отриманні та обробці його особистих даних.

    Все, що стосується законних підстав обробки персональної інформації, прописано у розділі 2 статті 6 пункті 1 № 152 Федерального закону «Про персональні дані»:

    1) обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних;
    2) обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення та виконання, покладених законодавством Російської Федерації на оператора функцій, повноважень та обов'язків;
    3) обробка персональних даних необхідна для здійснення правосуддя, виконання судового акту, акта іншого органу чи посадової особи, що підлягають виконанню відповідно до законодавства Російської Федерації про виконавчому провадженні(далі - виконання судового акта);
    4) обробка персональних даних необхідна для надання державної або муніципальної послуги відповідно до Федерального закону від 27 липня 2010 року N 210-ФЗ «Про організацію надання державних та муніципальних послуг», для забезпечення надання такої послуги, для реєстрації суб'єкта персональних даних на єдиному порталідержавних та муніципальних послуг;
    5) обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем;
    6) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе;
    7) обробка персональних даних необхідна для здійснення прав та законних інтересів оператора або третіх осіб або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних;
    8) обробка персональних даних необхідна для здійснення професійної діяльностіжурналіста та (або) законної діяльностізасоби масової інформації чи наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтереси суб'єкта персональних даних;
    9) обробка персональних даних здійснюється в статистичних або інших дослідницьких цілях, за винятком цілей, зазначених у статті 15 цього Закону, за умови обов'язкового знеособлення персональних даних;
    10) здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі - персональні дані, зроблені загальнодоступними суб'єктом персональних даних);
    11) здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому розкриттю відповідно до федерального закону.

    Якщо організація здійснює обробку персональних даних, що суперечить вищезазначеним пунктам, це є порушенням федерального законодавства.

    Організація зобов'язана забезпечити конфіденційність наявних персональних даних відповідно до статті 7 Федерального закону «Про персональні дані». Винятки становлять ті випадки, коли персональні дані знеособлені або є загальнодоступними.
    У статті 8 зазначено, що може бути загальнодоступні джерела персональних даних. Вони можуть містити прізвище, ім'я, по батькові, країну та рік народження, адресу проживання, номер телефону, інформацію про професію або інші персональні дані суб'єкта, які він надає за своєю письмовою згодою. До них належать, наприклад, довідники чи адресні книги. Ці відомості можуть бути позбавлені доступності за рішенням суб'єкта або державних уповноважених органів.

    Принципи та умови обробки персональних даних

    У процесі обробки персональних даних кожна організація повинна дотримуватися принципів, прописаних у розділі 2 статті 5 Федерального закону «Про персональні дані»:

    1. Обробка персональних даних має здійснюватися на законній та справедливій основі.
    2. Обробка персональних даних повинна обмежуватися досягненням конкретних, заздалегідь визначених та законних цілей. Не допускається обробка персональних даних, несумісна з метою збору персональних даних.
    3. Не допускається об'єднання баз даних, що містять персональні дані, обробка яких здійснюється з метою, несумісною між собою.
    4. Обробці підлягають лише персональні дані, що відповідають цілям їхньої обробки.
    5. Зміст та обсяг оброблюваних персональних даних повинні відповідати заявленим цілям обробки. Персональні дані, що обробляються, не повинні бути надмірними по відношенню до заявлених цілей їх обробки.
    6. При обробці персональних даних повинні бути забезпечені точність персональних даних, їх достатність, а необхідних випадкахта актуальність по відношенню до цілей обробки персональних даних. Оператор повинен вживати необхідних заходів або забезпечувати їх прийняття за видаленням або уточненням неповних або неточних даних.
    7. Зберігання персональних даних має здійснюватися у формі, що дозволяє визначити суб'єкта персональних даних, не довше, ніж цього вимагають мети обробки персональних даних, якщо термін зберігання персональних даних не встановлений федеральним законом, договором, стороною якого, вигодонабувачем або поручителем, за яким є суб'єкт персональні дані. Оброблювані персональні дані підлягають знищенню чи знеособлення по досягненні цілей обробки чи разі втрати необхідності у досягненні цих цілей, якщо інше не передбачено федеральним законом.

    Умови, яких має дотримуватися організація у процесі обробки персональних даних, прописані у статті 6 Федерального закону «Про персональні дані» і полягають у тому, що оператор при здійсненні обробки персональних даних суб'єкта має право обробляти їх тільки за його письмовою згодою.
    Однак у деяких випадках така згода не потрібна. Так, наприклад, якщо обробка персональної інформації проводиться в різних наукових та статистичних цілях з обов'язковою умовоюзнеособлення персональних даних. Або коли обробка особистих даних необхідна для здоров'я, життя або інших життєво значущих інтересів суб'єкта таких даних.

    Обов'язки оператора персональних даних

    Глава 4 статті 18 Федерального закону за 3 152 "Про персональні дані" містить повну інформацію про те, що входить в обов'язки оператора з обробки даних.
    Розглядаючи ключові моментицієї статті закону можна назвати кілька найважливіших принципів.

    Оператор зобов'язаний:

    - проводити обробку персональних даних відповідно до закону,
    — мати дозвіл від власника персональних даних у випадках, передбачених законодавством,
    - Забезпечувати конфіденційність,
    — відповідати на всі запитання власника щодо його персональних даних у поставлений законом термін,
    — знищити персональні дані після того, як буде досягнуто термінів їх обробки,
    — сповіщати Управління Роскомнагляду на тему обробки персональних даних та про заходи, що їх вживають для їх захисту.

    Також у цій статті йдеться про те, що якщо власник персональних даних відмовляється надати персональну інформацію, яку він зобов'язаний надати відповідно до федерального закону, оператор повинен роз'яснити власнику про наслідки такої відмови.

    Самостійна діяльність організацій при захисті персональних даних

    Збір, обробка та захист персональних даних в Російській Федерації є видом діяльності, що ліцензується. Розробка методик із захисту персональної інформації перебуває у віданні ФСБ Росії та ФСТЕК Росії.
    Організація, своєю чергою, може лише зробити частину таких робіт. Наприклад, здійснити збирання інформації. Інші роботи вимагають наявність ліцензії на діяльність технічний захистконфіденційної інформації, а також встановлення засобів криптографічного захисту.

    Перевірка діяльності з обробки персональних даних

    Організація, яка проводить перевірку щодо законної обробки персональних даних, називається Федеральна служба з нагляду у сфері зв'язку, інформаційних технологійта масових комунікацій (Роскомнагляд).
    Роскомнагляд проводить державний контроль та нагляд за дотриманням вимог чинного законодавствав сфері:
    - ЗМІ, ТВР мовлення та масових комунікацій - вимоги закону Російської Федерації за № 2124-1 від 27 грудня 1991 року "Про засоби масових комунікацій", а також дотримання ліцензійних умов,
    - зв'язку - вимоги Федерального закону за № 126 від 7 липня 2003 року "Про зв'язок", а також підзаконних актів, у тому числі дія ліцензії та використання радіочастотного спектру,
    - Персональних даних - Федеральний закон від 27 липня 2006 року за № 152 «Про персональні дані».

    Правовим підґрунтям для здійснення державного контролюта нагляду є Федеральний закон від 26 грудня 2008 року за № 294 «Про захист прав юридичних осіб та індивідуальних підприємцівпри здійсненні державного контролю (нагляду) та муніципального контролю».

    Роскомнагляд проводить кілька видів перевірок:

    1). Планова перевірка
    Дана перевірка може бути проведена на підставі та в точно поставлені терміни, які зазначені у плані перевірок, підготовленого Роскомнаглядом та затвердженого прокуратурою. Відповідно до пункту 4 статті 27 Федерального закону «Про зв'язок» такий вид перевірки Роскомнагляд має право проводити не більше одного разу на 3 роки.
    До Плану перевірок Роскомнагляду може потрапити будь-яка організація, що займається обробкою персональних даних.
    Підставою щодо проведення планової перевірки вважається факт початку обробки оператором з обробки персональних даних, зокрема проходження трьох років із моменту державної реєстраціїяк оператора персональних даних або завершення проведення планової перевірки щодо оператора після закінчення трьох років з попередньої планової перевірки.

    2). Позапланова перевірка.
    Підставами щодо такого виду перевірки можна вважати:
    — перевірка виконання припису про ліквідацію виявленого порушення, яке було видано раніше,
    - Виявлення порушень обов'язкових вимогвнаслідок систематичного спостереження,
    - Вимога прокурора про проведення позапланової перевіркина підставі матеріалів і звернень, що надійшли до органів прокуратури від громадян, індивідуальних підприємців, юридичних осіб, органів державної влади та муніципальної влади,
    - Порушення законних правта інтересів суб'єктів Російської Федерації внаслідок бездіяльності операторів, що займаються обробкою персональних даних,
    - Наказ керівника Служби, який виданий згідно з дорученням Президента Російської Федерації або Уряду Російської Федерації.
    Перевірка проводиться в строк не більше 20 робочих днів, але в той же час у разі серйозних причин вона може бути продовжена на підставі наказу керівника Управління Роскомнагляду ще на 20 додаткових робочих днів.
    Крім того, перевірочні заходи можуть проводитися одним із нижченаведених методів:
    а) виїзні, т. е. перевірка відбувається за місцем перебування проверяемого.
    б) документарні, письмовий запит оператора про надання необхідних документівта інформації. Якщо документи були надані, а надання їх має проводитися згідно із законом в обов'язковому порядку, це тягне у себе накладення штрафу. Якщо ж адміністративний штраф не було сплачено, його можна збільшити вдвічі.
    в) систематичне спостереження, провадиться без взаємодії з особою, яку перевіряють, також від особи, що перевіряється, не вимагають жодних документів та інформації. Державні спеціалісти-інспектори територіального управлінняРоскомнагляду роблять висновки про діяльність проверяемого, виходячи з його дії щодо невизначеного кола суб'єктів.

    Відповідальність за незаконне опрацювання персональних даних

    Оператор не повинен допускати збирання, зберігання, використання та розповсюдження інформації, що стосується особистої та сімейного життя, таємного листування, телеграфних, поштових або інших повідомлень, телефонних переговорів, якщо на те немає судового рішенняабо законної підставидля цих процесів.

    Оператор не має права використовувати персональні дані з метою заподіяння моральної та майнової шкоди громадянам, а також утруднення реалізації їхніх свобод та прав. Понад те, оператор персональних даних немає права обмежувати права громадян Російської Федерації, використовуючи у своїй їх персональну інформацію, що стосується національної, расової, релігійної, мовної чи партійної приналежностей.
    Фізичні та юридичні особи, які відповідно до своїх повноважень, мають будь-яку приватну інформацію про громадян, використовують її, порушуючи при цьому Федеральний закон «Про персональні дані» несуть відповідальність за дане діяння згідно з чинним законодавством Російської Федерації.

    Ті особи, які своїми діями порушили Федеральний закон «Про персональні дані» несуть цивільну, адміністративну, дисциплінарну, кримінальну чи іншу відповідальність, передбачену чинним законодавством Російської Федерації.

    Кодекс про Адміністративні порушення(КоАП):

    А) стаття 13.11 Порушення встановленого закономпорядку збору, зберігання, використання чи розповсюдження інформації про громадян (персональні дані). Ця стаття тягне за собою попередження або накладення адміністративного штрафу на:
    - громадян у розмірі від 300-500 рублів,
    - Посадових осіб у розмірі від 500-1000 рублів,
    - юридичних осіб у розмірі від 5000-10000 рублів.

    Б) Стаття 13.12 Порушення правил захисту інформації.
    Згідно з цією статтею, адміністративний штраф покладається на порушників закону в розмірі від 500 до 30 тисяч рублів. Крім того, до юридичним особамможе бути застосовано конфіскацію або адміністративне призупинення діяльності строком на 3 місяці.
    В) Стаття 13.14 Розголошення інформації з обмеженим доступом.
    Відповідно до цієї статті можливе накладення адміністративного штрафу на:
    - громадян у розмірі від 4 до 5 тисяч рублів.

    Г) стаття 19.5 Невиконання у строк законного розпорядження (постанови, подання, рішення) органу (посадової особи), що здійснює державний нагляд(Контроль).
    Порушникам цієї статті загрожує адміністративний штраф у розмірі від 300 рублів до 500 тисяч рублів, або дискваліфікація терміном до 3 років.

    Кримінальний кодекс (КК).

    Стаття 137 Порушення недоторканності приватного життя.
    У цій статті йдеться про те, що за незаконне збирання або розповсюдження інформації про приватне життя суб'єкта, яка є його сімейною або особистою таємницею, без його на те згоди або розповсюдження такої інформації за допомогою засобів масової інформації несе за собою відповідальність у вигляді
    - штрафу розміром до 200 тисяч рублів або ж у розмірі рівному заробітної платиза 18 місяців,
    обов'язкових робіттерміном до 360 годин
    - Виправних робіт строком до 1 року,
    примусових робіттерміном до 2 років,
    — заборони займатися певною діяльністю на строк до 3 років,
    - Арешту строком до 2 років.

    Трудовий кодекс (ТК).

    Стаття 90 Відповідальність за порушення норм, що регулюють обробку та захист персональних даних працівника.
    Ця стаття передбачає покарання у вигляді звільнення або можливості покарання відповідно до Кримінального кодексу Російської Федерації.

    Вимоги до захисту персональних даних

    Відповідно до статті 19 Федерального закону «Про персональні дані» вимоги захисту персональної інформації вважаються обов'язковими. Оператор при обробці персональних даних зобов'язаний вживати необхідних правових, організаційних та технічних заходів або забезпечувати їх прийняття для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження персональних даних, а також від інших неправомірних дій щодо персональних даних.

    Забезпечення безпеки персональних даних досягається, зокрема:

    1) визначенням загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних;
    2) застосуванням організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, необхідних для виконання вимог до захисту персональних даних, виконання яких забезпечує встановлені УрядомРосійської Федерації рівні безпеки персональних даних;
    3) застосуванням процедури оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку;
    4) оцінкою ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних;
    5) врахуванням машинних носіїв персональних даних;
    6) виявленням фактів несанкціонованого доступу до персональних даних та вжиття заходів;
    7) відновлення персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них;
    8) встановлення правил доступу до персональних даних, що обробляються в інформаційній системі персональних даних, а також забезпеченням реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційній системі персональних даних.

    З метою досягнення вищезазначених цілей, всі організації, які здійснюють обробку персональних даних, повинні дотримуватися таких вимог:

    - Виконувати вимоги Федерального закону за № 152 «Про персональні дані», забезпечивши при цьому всі необхідні докази законності збору та обробки персональної інформації,
    - Забезпечувати захист від несанкціонованого поширення персональних даних,
    - розробляти нормативні локальні актита технічну організаційну документацію, для забезпечення регламентованої обробки персональних даних,
    — повідомляти Управління Роскомнагляду.

    Для того, щоб виконувати ці вимоги, потрібно виконати наступні роботи:

    1. Провести вивчення процесів збору та обробки персональної інформації в компанії. Зокрема, де, і як вони обробляються, де зберігаються, хто відповідає за це і має до них доступ, що за джерело персональних даних тощо. Необхідно зібрати повну інформацію про всі процеси, пов'язані з особистими даними.

    2. Потрібно розробити пакет документів, що належать до процесу обробки персональних даних, а саме
    А. Акт категорування,
    Б. Концепція створення системи захисту персональних даних,
    В. Модель загроз,
    Г. Модель порушника,
    Д. Технічне завданняна побудову системи захисту персональних даних,
    Е. Технічний проект ( пояснювальну запискутехнічного проекту) щодо побудови системи захисту персональних даних,
    Ж. Організаційно-розпорядча документація.

    Загалом кількість документів у середній організації становить близько 80 штук, у тому числі журнали обліку та накази.

    3. Впровадити в організації технічні засоби захисту відповідно до розробленої документації.

    4. Провести оцінку відповідності або атестацію інформаційних систем.

    Атестація та оцінка є спеціальними встановленими документами, завдяки яким організація має можливість підтвердити те, що вона виконує всі вимоги чинного законодавства України.

    Підставою для розробки затверджених документівоператорів персональних даних є Федеральна служба з технічного та експортного контролюРосійської Федерації (ФСТЕК) та Федеральна служба безпеки Російської Федерації (ФСБ), що прописано в їх нормативних умовах методичні документита накази.

    Одним із таких документів є:

    Наказ Федеральної службиз технічного та експортного контролю (ФСТЭК Росії) від 5 лютого 2010 року за № 58 «Про затвердження Положення про методи та засоби захисту інформації в інформаційних системах персональних даних».

    В даному наказідля всіх організацій прописані такі методи та способи захисту персональних даних від несанкціонованого доступу як,
    - Реалізація дозвільної системи допуску користувачів ( обслуговуючого персоналу) до інформаційних ресурсів, інформаційної системи та пов'язаних з її використанням роботам, документам;
    — обмеження доступу користувачів до приміщень, де розміщені технічні засоби, що дозволяють здійснювати обробку персональних даних, а також зберігаються носії інформації;
    — розмежування доступу користувачів та обслуговуючого персоналу до інформаційних ресурсів, програмних засобів обробки (передачі) та захисту інформації;
    — реєстрація дій користувачів та обслуговуючого персоналу, контроль несанкціонованого доступу та дій користувачів, обслуговуючого персоналу та сторонніх осіб;
    - Облік та зберігання знімних носіїв інформації, та їх звернення, що виключає розкрадання, заміну та знищення;
    - Резервування технічних засобів, дублювання масивів та носіїв інформації;
    використання засобів захисту інформації, що пройшли в установленому порядку процедуру оцінки відповідності;
    - Використання захищених каналів зв'язку;
    — розміщення технічних засобів, що дозволяють здійснювати обробку персональних даних, у межах території, що охороняється;
    - Організація фізичного захисту приміщень та власне технічних засобів, що дозволяють здійснювати обробку персональних даних;
    - запобігання впровадженню в інформаційні системи шкідливих програм (програм-вірусів) та програмних закладок.

    Основні методи та способи захисту даних від несанкціонованого доступу у разі взаємодії інформаційно-телекомунікаційних мереж міжнародного інформаційного обміну та інформаційних систем включають:

    - міжмережеве екранування з метою управління доступом, фільтрації мережних пакетів та трансляції мережевих адрес для приховання структури інформаційної системи;
    - Виявлення вторгнень в інформаційну систему, що порушують або створюють передумови до порушення встановлених вимог щодо забезпечення безпеки персональних даних;
    - аналіз захищеності інформаційних систем, що передбачає застосування спеціалізованих програмних засобів (сканерів безпеки);
    — захист інформації під час її передачі каналами зв'язку;
    - використання смарт-карт, електронних замків та інших носіїв інформації для надійної ідентифікації та автентифікації користувачів;
    - Використання засобів антивірусного захисту;
    централізоване керування системою захисту персональних даних інформаційної системи;
    - Фільтрування вхідних (вихідних) мережних пакетів за правилами, заданими оператором ( уповноваженою особою);
    - періодичний аналіз безпеки встановлених міжмережевих екранів на основі імітації зовнішніх атак на інформаційні системи;
    — активний аудит безпеки інформаційної системи щодо виявлення в режимі реального часу несанкціонованої мережевої активності;
    - аналіз інформації, що приймається по інформаційно-телекомунікаційним мережам міжнародного інформаційного обміну (мережам зв'язку загального користування), у тому числі на наявність комп'ютерних вірусів;
    - Використання атрибутів безпеки;
    - Створення каналу зв'язку, що забезпечує захист інформації, що передається;
    — здійснення аутентифікації взаємодіючих інформаційних систем та перевірка справжності користувачів та цілісності даних, що передаються.

    В Додаткові вимогидля організацій включено:

    - Створення каналу зв'язку, що забезпечує захист інформації, що передається;
    — автентифікація взаємодіючих інформаційних систем та перевірка справжності користувачів та цілісності даних, що передаються;
    - Забезпечення запобігання можливості заперечення користувачем факту відправлення персональних даних іншому користувачеві;
    - Запобігання можливості заперечення користувачем факту отримання персональних даних від іншого користувача.

    Теґи: ПДн 152-ФЗ


    © 2022 egoist24.ru Платіжні системи. Іпотека. банки. Яндекс гроші. WebManey. Загальна інформація.