О защите персональных данных по 152 фз: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

(см. текст в предыдущей редакции)

Открыть полный текст документа

Соответствие 152-ФЗ «О персональных данных» | Selectel

1. Разместите вашу информационную систему в Selectel

Подберем соответствующую ей IT-инфраструктуру, руководствуясь требованиями безопасности. В качестве вариантов предлагаем выделенные серверы в «Аттестованном сегменте ЦОД», виртуальную машину (или несколько) в «Облачной платформе Selectel» или «Облаке на базе VMware».

Дата-центры Selectel находятся в России. Это базовое условие, которое нужно соблюсти, чтобы выполнить требование по локализации персональных данных. Для инфраструктуры, которую мы предлагаем клиентам, уже проведена нужная оценка эффективности безопасности ПДн.

2. Проведите аудит вашей информационной системы ПДн. В итоге у вас на руках будут:

• Результаты аудита, в которых описано, как вы собираете и обрабатываете информацию, и соответствуют ли эти процессы требованиям законодательства.
• Все необходимые документы, связанные с обработкой ПДн. Они могут разрабатываться как для отдельной информационной системы, размещаемой в Selectel, так и для всех ваших информационных систем. Это зависит от поставленных задач и уже внедренных мер.

3. Опишите систему защиты персональных данных. В результате вы получите:

• Технический проект, который будет включать в себя план реализации системы защиты.
• Список средств защиты, которые будут применяться.
• Перечень услуг, которые помогают обезопасить персональные данные.
• Стоимость внедрения и оценку эффективности системы защиты.

4. Установите необходимые средства защиты самостоятельно или используйте сервисы информационной безопасности, предоставляемые Selectel

Поможем настроить, а затем обслуживать и администрировать средства защиты информации. Если в вашей компании нет сотрудников, которые следят за информационной безопасностью, используйте сервисы от Selectel — наши специалисты работают круглосуточно.

5. Оцените эффективность мер обеспечения безопасности ПДн или проведите аттестацию системы, если она нужна

Проводить оценку эффективности стоит до того, как вы ввели в работу информационную систему. Повторять оценку предстоит всякий раз, когда вы внесете изменения в систему, но не реже, чем раз в 3 года.

Аттестация — необязательная процедура. Она требуется компаниям, которые работают с государственными информационными системами или подключаются к ним, а также компаниям, информационные системы которых обрабатывают государственную тайну или управляют экологически опасными объектами. Аттестация накладывает ограничения: с ней вы сможете использовать только сертифицированные средства защиты, вам придется проходить переаттестацию всякий раз, когда в информационной системе что-то меняется. Аттестацию может проводить только организация, у которой есть соответствующая лицензия.

В итоге вы получите:

• Акт оценки эффективности или аттестат, который подтвердит, что ваша информационная система соответствует всем актуальным требованиям безопасности информации.

ПЛЮС | FAQ по защите персональных данных

Давайте разберем ситуацию. Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме. Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать

Вспомним также, что из определения, данного в законе, к биометрическим персональным данным относятся сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность». Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «

Обратим также внимание на то, что закон, не исключая вообще факта обработки биометрических персональных данных, накладывает особые условия их обработки (письменное согласие субъекта) только в одном конкретном случае: когда целью обработки биометрических данных является установление личности субъекта. В остальных случаях ограничений на обработку биометрических данных закон не накладывает. То есть, основным квалификационным признаком отнесения той или иной информационной системы под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», будет являться не сам факт обработки биометрических персональных данных, а факт их

Использование систем видеонаблюдения, как правило, относится к компетенции служб безопасности объектов. При этом, как правило, такие системы относятся к системам охраны объектов и предназначаются для общего наблюдения за обстановкой на объекте, обнаружения каких-либо фактов нарушения установленного на объекте режима безопасности и фиксации (в том числе автоматически, без участия оператора) таких фактов для последующего ретроспективного контроля видеообстановки на охраняемом объекте. То есть, сама по себе система видеонаблюдения не используется непосредственно для идентификации субъекта по его биометрическим данным.

Следовательно, системы видеонаблюдения, предназначенные для контроля обстановки на объекте, не подпадают под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», так как не используют биометрические данные для идентификации субъекта персональных данных.

Теперь предположим, что на объекте произошел факт нарушения установленного режима безопасности с участием одного или нескольких субъектов, который был зафиксирован системой видеонаблюдения. Для принятия мер к нарушителям по данному факту необходимо установить личности субъектов его совершивших, то есть необходимо идентифицировать субъектов по физиологическим особенностям, зафиксированным на видеозаписи системы видеонаблюдения. Все действия по установлению причастных к факту нарушения проводятся в рамках процедуры расследования инцидента. Примем во внимание, что факт нарушения режима безопасности является противоправным действием (иначе зачем принимать какие-то меры в отношении субъекта?), а субъект в этом случае является подозреваемым (его вину надо еще доказать!). Поэтому, такое расследование будет ни что иное, как

Следовательно, идентификация субъекта проводится не в рамках процесса видеозаписи, а в рамках процедуры дознания по факту нарушения режима безопасности на основе изучения вещественных доказательств, каковыми могут выступать элементы системы видеонаблюдения, в том числе и носители видеозаписи совершенного факта. В данном случае обработка биометрических персональных данных осуществляется вне основных функций системы видеонаблюдения и регламентируется нормативными правовыми актами, определяющими порядок проведения дознания и работы с вещественными доказательствами, а также частью 2 статьи 11 Федерального закона «О персональных данных». Надо также учитывать, что носители видеозаписи могут быть изъяты из системы видеонаблюдения и изучены вне ее с использованием специальных технических средств. Уполномоченное лицо, осуществляющее дознание по факту нарушения режима безопасности, может также

С 2021 года ФЗ-152 «О персональных данных» существенно изменен

В канун Нового года Президент РФ В.В.Путин подписал принципиальные изменения в ФЗ-152 «О персональных данных», вступающие в силу 1 марта 2021 года (Федеральный закон от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»).

Закон в новой редакции полностью переписал нормы статьи 8 закона, приняв отдельную статью 10.1 об особенностях обработки персональных данных при их распространении.

В законе вводится понятие отдельного письменном согласия (письменного) при распространении персональных данных субъектов, и тем самым разграничиваются такие понятия, как «наличие согласия», «согласие в письменной форме».

Форму данного отдельного согласия должен в ближайшее время утвердить Роскомнадзор, а это означает, что каждая организация, размещающая, например, персональные данные своих работников, клиентов, граждан на сайте, иных Интернет ресурсах, обязана после 1 марта получить отдельное согласие и тем самым отказаться от укоренившейся практики так называемых «общих» согласий. Каждая компания, которая использовала персональные данные граждан, взяв их из открытых источников, должна также получить отдельное согласие гражданина (субъекта персональных данных). При этом, если в прошлой редакции статьи 6 ФЗ-152 «О персональных данных» существовала норма, позволяющая любой организации свободно использовать персональные данные граждан, которые они самостоятельно разместили, например, в Интернете, то с 1 марта 2021 года это запрещено. Операторам ПДн теперь придется доказывать, что у них есть законное основание на последующее распространение таких персональных данных.

Законом определены 2 случая предоставления согласия:

• непосредственно от субъекта (работника/гражданина/клиента)
• с использованием информационной системы Роскомнадзора.

Надеемся, что в ближайшие недели мы получим разъяснения от уполномоченного органа в области персональных данных по реализации такого решения, как использование ИС Роскомнадзора.

Закон запрещает используемый сегодня операторами персональных данных подход : «что не запрещено, то разрешено». Отныне организация (оператор персональных данных) не имеет права распространять ПДн по умолчанию или бездействию человека.

Субъект персональных данных вправе установить запреты на передачу своих данных неопределенному кругу лиц, как это часто делают многие операторы в своих согласиях. Сегодня у гражданина часто не остается выбора и он вынужден подписывать такие согласия.

Для оператора законом определен 3-х дневный срок прекращения обработки персональных данных при обращении субъекта персональных данных. Организация в 3-х дневный срок с момента получения согласия обязана опубликовать информацию об условиях обработки о запретах, разрешениях субъектов на распространение их персональных данных.

Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» вводит требования по внедрению дополнительных мер защиты информационных систем: мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

Практическая защита персональных данных. Где компания обрабатывает ПДн?

Руслан Рахметов, Security Vision 

В прошлой статье мы рассмотрели самый первый вопрос, который возникает у компании: что такое персональные данные?

Вкратце пробежим по основным ключевым аспектам:

1) если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация — его персональными данными (Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных» автор Савельев А. Г.)

2) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливают следующие группы/категории персональных данных:

a. Специальная категория персональных данных (ч. 1, п.3 ст. 10 152-ФЗ)

b. Биометрические персональные данные (ч. 1 ст. 11 152-ФЗ)

c. Общедоступные персональные данные (ч.1 ст. 8 152-ФЗ)

d. Иные (п. 5 ПП 1119).

3) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает дополнительные признаки обработки персональных данных:

a. чьи персональные данные (субъект, являющийся сотрудником/работником компании или субъект, не являющийся сотрудником/работником компании)

b. объем обрабатываемых персональных данных (до 100 000, свыше 100 000, без указания количества объема).

На всякий случай повторю сказанное в прошлой статье: показатель без указания количества объема относится к нескольким случаям, и рассматривать его в самом начале работ не целесообразно.

Приступим ко второму вопросу: где компания обрабатывает персональные данные? Но сначала необходимо понять, что вообще понимается под термином «Обработка персональных данных».

Согласно определению, данному в 2008 году, обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Однако Федеральный закон от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» внес в данное определение корректировки, которыми мы руководствуемся и в 2021 году. Сейчас под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ч. 3 ст. 3 152-ФЗ).

Как мы видим, определение уточняет определенные условия обработки, но ключевое понятие осталось неизменным: обработка — это любое действие/операция с персональными данными.

Этот аспект (ПЕРВЫЙ АСПЕКТ) необходимо понимать и помнить. Зачастую в ходе работ заказчик (эксплуатанты, владельцы и т.д.) говорит, что система не обрабатывает персональные данные. Обоснованием такой позиции является то, что система просто не сохраняет их у себя, а сразу передает в другую систему или на сервер. Такая позиция является неверной, т.к., если ей руководствоваться, часть процессов и систем компании выпадает из рассмотрения, что, как следствие, приводит к их нарушениям.

Следующим аспектом (ВТОРОЙ АСПЕКТ), на который обращает внимание определение 152-ФЗ и которое необходимо учитывать в ходе работ, это то, как производится обработка. Она может производиться:

1) с использованием средств автоматизации

2) без использования средств автоматизации.

В зависимости от использованного способа обработки впоследствии будут формироваться требования к применяемым средствам и мерам обеспечения безопасности персональных данных. Документами, конкретизирующими требования по обработке и защите, в частности, являются:

1)  постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

2) постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Кроме вышеуказанных постановлений Правительства Российской Федерации есть еще ряд ключевых нормативно-правовых актов, которые регулируют отдельные аспекты обработки персональных данных:

Однако, в рамках статьи мы не будем рассматривать указанные акты, т.к. они затрагивают отдельные узкие аспекты обработки. Итак, вернемся к ПП 687 и ПП 1119.Пусть Вас не вводят в заблуждение положения п. 1 и п. 2 ПП 687:

1) п. 1 — Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека

2) п. 2 — Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

На настоящий момент принята следующая позиция: все, что обрабатывается в информационных системах, и момент вывода персональных данных из информационных систем будут относиться к регулированию по ПП 1119, в остальных случаях — к ПП 687.

Однако, так было не всегда. Ранее существовало постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», которое предъявляло более жесткие требования к организации обработки и защиты персональных данных. Вследствие чего многие компании старались по возможности уйти из-под требований ПП 781.

Противостояние ПП 687 и ПП 781 в трактовке вопроса, что относить к обработке персональных данных с использованием средств автоматизации, а что нет, доходила порой до случаев, когда передача факсимильного сообщения с использованием факса приравнивалась к автоматизированной обработке, а сам факс считался информационной системой персональных данных. Но нередки были и случаи, когда заказчик доказывал, что обрабатывает персональные данные на отдельном автоматизированном рабочем месте и обработка регулируется и осуществляется исключительно ПП 687.

Однако за 11 лет Роскомнадзор выработал свою позицию, и она укладывается в то, что я указал выше (информационные системы и вывод из нее персональных данных – ПП 1119, бумага – ПП 687).

Обычно к обработке персональных данных, которую регламентирует ПП 687, относится ведение различных карточек, реестров, журналов (проходов, инструктажа, учета и т.д.) и т.п.

Важным аспектом, который необходимо учитывать, является сложившаяся позиция Роскомнадзора, которую он неоднократно озвучивал в ходе различных мероприятий – если форма, в которую заносятся персональные данные, установлена каким-то нормативно-правовым актом и/или органом государственной власти, то она применяется в той форме/виде, как установлена. В иных случаях должны быть учтены дополнительные положения/требования ПП 687. Ранее из-за отсутствия такой позиции у Роскомнадзора компании иногда перерабатывали установленные формы, что приводило к их отклонению проверяющими профильных ведомств или нареканию.

Таким образом, выявлением мест/процессов обработки персональных данных без использования средств автоматизации будет являться выявление фактов использования различных материальных носителей персональных данных. Одним из возможных вариантов решения данной задачи будет организация в компании рабочей группы, в которую войдут представители всех подразделений. Указанная группа сумеет в кратчайшие сроки (т.к. понимает процессы, в которые вовлечены их коллеги) определить процессы, задействованные подразделения/лиц, используемые виды материальных носителей, места хранения и нормативно-правовые акты, а также локальные нормативные акты компании, которые определяют/регламентируют такую обработку.

Перейдем к обработке персональных данных с использованием средств автоматизации.Но, прежде чем рассмотреть положения ПП 1119, необходимо остановиться на ранее существовавших требованиях ПП 781. Это связано с тем, что в ходе работ вам, возможно, придется столкнуться с работами/материалами, выполненными по старым требованиям.

Первым признаком того, что работы были выполнены по старым требованиям, будет являться год разработки документов или выполненных работ – до 2012.

Вторым признаком будет являться наличие в указании класса информационной системы персональных данных терминов «специальная» или «типовая».

Третьим возможным признаком работ, выполненных по старым требованиям, будет являться указание на использования исключительно сертифицированных средств защиты информации/персональных данных.

Почему важно обратить на это внимание? Согласно ПП 781 устанавливалась иная классификация информационных систем персональных данных (типовые, специальные). Классификация проводилась по ряду отличных от указанных в ПП 1119 признаков и в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Использование старых подходов и документов с высокой вероятностью приведет к ошибочному формированию требований для последующих работ.

Кроме этого, в ходе определения информационных систем персональных данных надо учитывать следующие нюансы:

• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ч. 3 ст. 5 152-ФЗ)

• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).

Зачастую в обработке персональных данных с использованием средств автоматизации участвуют те же подразделения, что и без их использования. Таким образом, в целях выявления информационных систем персональных данных в компании будет правильным привлечение специалистов из ранее организованной в компании рабочей группы по определению мест обработки/процессов, в рамках которых происходит обработка персональных данных без использования средств автоматизации.

Последний аспект (ТРЕТИЙ АСПЕКТ), который ряд компаний упускает из виду, — это привлечение к обработке персональных данных других компаний. Сейчас не является чем-то необычным, когда какие-то процессы или операции отдаются на подряд или выполняются совместными силами нескольких компаний. В этой связи вопрос обработки персональных данных зачастую выходит за область деятельности одной компании. Также не является чем-то необычным отсутствие в договорах/контактах с привлекаемыми компаниями отдельных положений, регулирующих условия обработки персональных данных.

Так, например, при выводе на рынок новых услуг, связанных с информационными системами, нередки случаи, когда одна компания предоставляет услугу (владеет сервисом), вторая владеет ЦОД/вычислительной инфраструктурой, третья пишет и обслуживает прикладное программное обеспечение информационной системы, а четвертая предоставляет услуги операторов или операционистов колл-центра (обслуживающих клиентов сервиса). В такой связке сложно понять, что фактически в обработке персональных данных клиентов участвуют все перечисленные компании. А значит, с точки зрения закона ко всем им должны быть применены соответствующие положения 152-ФЗ.

Еще одним сложным вопросом является момент передачи персональных данных за территорию Российской Федерации. Согласно 152-ФЗ такая передача называется трансграничной и регламентируется отдельными положениями 152-ФЗ (ст. 12), а также необходимостью оценки адекватной защиты прав субъектов персональных данных в стране, куда передаются персональные данные. В настоящий момент оценка производится согласно приказу Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Таким образом, в ходе обработки персональных данных необходимо выяснить правовое основание обработки, лиц, участвующих в этой обработке, и корректно ли сформулированы договорные условия с участвующими/задействованными компаниями.

Важным нюансом, на который обращает внимание Роскомнадзор, является соблюдение компанией (в соответствии со ст. 3 152-ФЗ — оператором) условий ч. 3 ст. 6 152-ФЗ. Указанный пункт гласит: «Оператор вправе поручить обработку персональных данных третьему лицу на основании поручения. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки. Должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 152-ФЗ». Однако, считаем необходимым также привести и мнение ряда юристов, которые считают, что ч. 3 ст. 6 152-ФЗ дает право, а не устанавливает обязанность оператора. Юристы обосновывают указанную позицию тем, что за неисполнение указанных требований не предусмотрены какие-то штрафные санкции.

Положение о персональных данных

Главная/Положение о персональных данных

Генеральный директор

Некоммерческого партнерства

«Ассоциация Европейского Бизнеса»

Положение о персональных данных

Некоммерческого партнерства «Ассоциация Европейского Бизнеса»

г. Москва

2016

1. Общие положения

1.1. Настоящее Положение разработано на основании Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» под персональными данными (далее — «персональные данные») понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации лицу.

Персональными данными физического лица являются, в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, расходы и другая информация.

1.3. Некоммерческое партнерство «Ассоциация Европейского Бизнеса» (далее –«Организация» или «АЕБ») является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Организации, утверждается настоящим Положением и приказом руководителя.

1.6. Целями настоящего Положения являются создание и определение условий для сбора, обработки, хранения и предоставления персональных данных.

1.7. Согласие лица, полученное Организацией, сохраняет силу в течение всего срока действия договорных отношений или иных юридически обязывающих отношений с данным лицом.

1.8. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:

а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

б) персональные данные следует получать лично у субъектов персональных данных (далее – субъект или лицо), либо у надлежаще уполномоченных представителей субъектов персональных данных.

В случае возникновения необходимости получения персональных данных у третьей стороны следует известить лицо об этом заранее, получить письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

г) при принятии решений запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации;

е) передача персональных данных третьей стороне не допускается без письменного согласия субъектов персональных данных, за исключением случаев, установленных федеральными законами;

ж) субъекты персональных данных и их представители должны быть ознакомлены под подпись с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;

з) субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны персональных данных;

и) при необходимости Организация, субъекты персональных данных и их представители должны совместно вырабатывать меры защиты персональных данных.

1.9. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Обработка персональных данных в Организации производится при непосредственном участии человека. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

2. Сохранение персональных данных в Организации

2.1. Организация гарантирует безопасность и конфиденциальность используемых персональных данных.

2.2. При необходимости Организация вправе проверять достоверность представленных сведений.

3. Получение, обработка, хранение персональных данных

3.1. В Организации устанавливается следующий порядок получения персональных данных:

3.1.1. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, частной жизни.

3.2. Организация вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия.

3.3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• наименование и адрес оператора, получающего согласие субъекта персональных данных;

• цель обработки персональных данных;

• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

• срок, в течение которого действует согласие, а также порядок его отзыва.

3.4. Согласие субъекта персональных данных на обработку персональных данных не требуется в следующих случаях:

• персональные данные являются общедоступными;

• обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;

• по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом;

• обработка персональных данных в целях исполнения договора;

• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.

3.5. Организация обеспечивает безопасное хранение персональных данных, в т.ч.:

3.5.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде при непосредственном участии человека и на бумажных носителях. Обработка персональных данных не автоматизирована и ведется Организацией при непосредственном участии человека (сотрудника Организации).

3.5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.5.4. При хранении персональных данных Организация обеспечивает:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

4. Передача персональных данных

4.1. Персональные данные передаются с соблюдением следующих требований:

• запрещается сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью лица, а также в других случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

• не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;

• предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

• разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

• не запрашивать информацию о состоянии здоровья субъекта персональных данных;

• передавать персональные данные субъекта персональных данных его представителям в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их полномочий.

5. Доступ к персональным данным

5.1. Право доступа к персональным данным имеют:

• Генеральный директор АЕБ;

• Исполнительный директор АЕБ;

• лицо(а), назначенное приказом Генерального директора АЕБ;

• работники, взаимодействующие с определенным субъектом персональных данных;

• работники финансового отдела;

• руководители структурных подразделений по направлениям их деятельности.

5.2. Субъекты персональных данных в целях обеспечения защиты персональных данных имеют следующие права:

• на ознакомление с настоящим Положением;

• на полную информацию об их персональных данных и обработке этих данных;

• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

• на определение своих представителей для защиты своих персональных данных;

• на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». При отказе Организации исключить или исправить персональные данные субъект персональных данных имеет право заявить в письменной форме Организации о своем несогласии с соответствующим обоснованием такого несогласия;

• на требование об извещении Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

• на обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите персональных данных.

5.3. Копировать и делать выписки персональных данных разрешается исключительно уполномоченным лицам АЕБ в служебных целях.

6. Порядок получения согласия субъекта

на обработку персональных данных

6.1. При начале взаимодействия с субъектами персональных данных, включая получение информации субъекта персональных данных впервые, ответственный сотрудник АЕБ обязан получить предварительное письменное согласие субъекта персональных данных в письменной форме (далее – «согласие»), в соответствии с образцом, приведенным в Приложении № 1 к настоящему Положению.

6.2. В том числе согласия должны быть получены:

• у членов Правления АЕБ;

• у кандидатов в члены Правления АЕБ;

• у членов Совета национального представительства АЕБ;

• у членов Ревизионной комиссии АЕБ;

• у членов и участников комитетов, подкомитетов, рабочих групп и иных временных и постоянных органов и групп, образуемых представителями членов АЕБ;

• у индивидуальных участников мероприятий АЕБ – физических-лиц, самостоятельно (от своего имени) участвующих в мероприятии;

• у любых физических лиц фото- и видеоизображения которых получаются и/или используются АЕБ, при этом изображение такого лица в данных материалах должно быть основным объектом;

• у иных физических лиц, предоставляющих персональные данные АЕБ, включая родственников сотрудников АЕБ.

6.3. Согласие заполняется, распечатывается ответственным сотрудником АЕБ и подписывается субъектом персональных данных в одном экземпляре, после чего передается уполномоченному сотруднику АЕБ и хранится в порядке, установленном настоящим Положением.

6.4. В формах заявления на членство в АЕБ в обязательном порядке указывается:

«Настоящим компания ( наименование компании-члена ) заверяет и гарантирует, что компания обладает надлежащими полномочиями на получение, передачу, обработку, использование и хранение персональных данных, которые НП «АЕБ» получает от компании в рамках осуществления НП «АЕБ» данных полномочий, а также в рамках прав и обязанностей члена, с соответствии с положениями применимого законодательства.».

6.5. В формы договоров АЕБ с физическими лицами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором НП «АЕБ» имеет право на получение, передачу, обработку, использование и хранение полученных персональных данных физического(их) лица(ц). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме.».

6.6. В формы договоров АЕБ с контрагентами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором Стороны обязуются соблюдать порядок получения, передачи, обработки, использования и хранения персональных данных в соответствии с применимым законодательством и обязуются получить надлежащие согласия физических лиц на обработку их персональных данных.».

6.7. В онлайн-системы АЕБ в случае получения персональных данных в обязательном порядке вносится следующая оговорка:

«Я подтверждаю, что ознакомился(ась) с Порядком работы с персональными данными НП «АЕБ» и согласен(на) на обработку и передачу моих персональных данных, в том числе, без ограничений, свободно, своей волей и в своем интересе даю согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе третьим лицам, обезличивание, блокирование, удаление, уничтожение и иные действия в отношении моих персональных данных внесенных в ( приводится название системы ). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме.».

7. Ответственность за нарушение норм, регулирующих

обработку персональных данных

7.1. Работники АЕБ, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

7.2. Возмещение ущерба, причиненного неправомерным использованием информации, содержащей персональные данные, производится в соответствии с законодательством РФ.

Приложение № 1

к Положению о персональных данных

Некоммерческого партнерства «Ассоциация Европейского Бизнеса»

Согласие

на обработку персональных данных субъекта

персональных данных

(образец)

г. Москва «__» ______________ 20__ г.

Я, __________________________________________________________ (Ф.И.О.),

зарегистрированный(ая) по адресу _________________________________________

__________________________________________________________________________,

паспорт (либо иной документ, удостоверяющий личность)

серия _______ N _________ выдан ______________, ___________________________

(дата) (кем выдан)

__________________________________________________________________________,

свободно, своей волей и в своем интересе даю Некоммерческому Партнерству «Ассоциация Европейского Бизнеса» (АЕБ), расположенному по адресу: Российская Федерация, 127473, г. Москва, ул. Краснопролетарская, д. 16 стр. 3, согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение моих персональных данных, в том числе:

(указываются конкретные данные, которые будут обрабатываться, например «фамилия, имя, отчество, место работы, адрес, email , должность, фото- и/или видеоизображение» и т.п.)

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________.

Свои персональные данные предоставляю для обработки в целях: (например «проведения мероприятий АЕБ» или «осуществления членства в АЕБ» или «осуществления прав и обязанностей члена Правления АЕБ»)

_______________________________________________________________________

_______________________________________________________________________

______________________________________________________________________.

С Положением о персональных данных Некоммерческого партнерства «Ассоциация Европейского Бизнеса» ознакомлен(а).

Настоящее согласие действует со дня его подписания до даты отзыва в письменной форме.

Дата начала обработки персональных данных:

____________________________

(дата)

____________________________

(подпись)

Услуги по защите персональных данных в соответствии с положениями 152-ФЗ

ООО Фирма «АС» предлагает услуги по защите персональных данных в соответствии с положениями Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее 152-ФЗ). Конечной целью работ является построение системы защиты персональных данных в соответствии с требованиями 152-ФЗ.

Услуги по защите персональных данных в соответствии со 152-ФЗ включают следующие работы:

• Аудит информационных систем заказчика;
• Классификация информационной системы персональных данных;
• Разработка модели угроз безопасности;
• Разработка требований к системе защиты персональных данных;
• Составление технического задания;
• Проектирование системы защиты персональных данных;
• Разработка регламентирующей документации и обучение пользователей;
• Внедрение системы защиты персональных данных;
• Аттестация системы на соответствие требованиям
• Обследование информационных систем персональных данных, включая системы телекоммуникаций, программно-аппаратный комплекс, прикладные информационные системы, применяемые системы защиты информации.

В рамках проведения работ специалисты ООО Фирма «АС» подготовят и оформят всю необходимую документацию, в том числе:

• Описание системы персональных данных;
• Отчет по результатам обследования;
• Проект распоряжения о классификации системы персональных данных;
• Частная модель угроз безопасности персональных данных;
• Требования к системе защиты персональных данных;
• Комплект регламентирующей организационно-распорядительной документации;
• Аттестат соответствия требованиям по безопасности информации.

Система защиты персональных данных обеспечивает защищённость информационных систем от неправомерных действий при хранении, обработке и передаче персональных данных согласно с нормативными документами РФ. При создании системы защиты персональных данных используются только сертифицированные в соответствии с требованиями ФСТЭК РФ и ФСБ РФ программные и аппаратные средства: антивирусы, средства защиты от несанкционированного доступа, программы-сканеры и системы мониторинга, электронные ключи, сетевые экраны и криптошлюзы, и т.д. Все персональные данные должны быть исключены из общедоступных ресурсов и переведены в контролируемую зону. Доступ к персональным данным разрешён только сотрудникам, имеющим соответствующие права в рамках своих трудовых обязанностей.

ООО Фирма «АС» также обеспечивает удалённое сопровождение и поддержку системы защиты персональных данных.

Часто задаваемые вопросы по 152-ФЗ

Что такое персональные данные?

Персональные данные – это любая информация, относящаяся к определяемому на основании такой информации физическому лицу, в том числе: ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и другая информация (см. ФЗ-152, ст.3).

На кого распространяются требования 152-ФЗ?

На все государственные и коммерческие организации. Любая организация обрабатывает и хранит персональные данные своих сотрудников в рамках трудовых отношений. Особенно закон касается организаций, которые занимаются обслуживанием граждан.

В чём заключаются обязанности оператора?

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (см. 152-ФЗ, ст.19)

Какова ответственность  за нарушения по обработке персональных данных?

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут гражданскую, административную, дисциплинарную, уголовную и иную ответственность.

GDPR против Федерального закона о персональных данных

Правительства разных стран все больше внимания уделяют Интернету: они занимаются борьбой с пиратством в СМИ, пропагандой и распространением запрещенных товаров. Использование Интернета во всех сферах жизни и объем содержащихся в нем персональных данных породили очень важную тенденцию — защиту персональных данных (ПД) физических лиц. Желание государства регулировать эту сферу вполне закономерно.В этой статье мы сравниваем российский и европейский подходы к защите права личности на неприкосновенность частной жизни.

Законы и правила России и ЕС

Основными документами, регулирующими работу с персональными данными, являются принятый в 2006 году Федеральный закон № 152 Российской Федерации и Европейский общий регламент о защите персональных данных (GDPR), вступивший в силу 25 мая 2018 года.

Российское законодательство определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определенному или идентифицируемому лицу (субъекту ПД).Также есть понятие оператора ПД. Это относится к отдельным лицам и организациям, участвующим в обработке ПД. Обработка — это любое действие, выполняемое с персональными данными.

Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для того, чтобы исключить какие-либо недоразумения, если неясно, относится ли информация к ПД или нет. В отличие от 152-ФЗ, где есть концепция оператора ПД, GDPR имеет «контроллер» и «процессор».Согласно GDPR, контроллеры определяют цели и средства обработки, в то время как процессоры от их имени непосредственно занимаются обработкой.

Основные отличия 152-ФЗ от GDPR

Имея дело с личными данными, вы должны убедиться, что они правильно обрабатываются и защищаются. Организация обязана назначить лицо, ответственное за обработку персональных данных — этот пункт распространен в российских и европейских правилах.В GDPR есть понятие Data Protection Officer — он подчиняется напрямую высшему руководству компании, но, в отличие от 152-ФЗ, эту задачу можно поручить стороннему подрядчику (юридическому лицу).

В России организации обязаны наладить процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять Роскомнадзор. Необходимо получить согласие субъектов ПД (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте.Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных находятся на территории России.

GDPR не требует обязательного хранения персональных данных в странах ЕС. Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД — это возможно только в тех странах, которые, по мнению Европейского Союза, должным образом защищают личные данные.

Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных, а также ряду неприсоединившихся государств. обеспечивающие защиту частичных разрядов.

Российское законодательство разрешает сбор персональных данных в объеме, соответствующем целям обработки, и их хранение в течение периода, необходимого для целей обработки.Согласно GDPR, правовой основой для обработки PD является договор, согласие, общественный, жизненно важный или законный интерес.

Требования к защите

Одним из ключевых отличий GDPR от 152-FZ является защита персональных данных с учетом рисков потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и возможен — обработка не может быть произведена.

Российское законодательство включает только понятие уровня защиты персональных данных.Это зависит от их типа, количества и наличия незаявленных возможностей в системном и прикладном программном обеспечении. В этом случае даются конкретные инструкции по использованию сертифицированных средств защиты (приказ ФСТЭК № 21), а GDPR не имеет таких подзаконных актов.

Статья 25 GDPR требует, чтобы компании создавали системы со встроенной защитой личных данных и системы конфиденциальности по умолчанию — концепция «Конфиденциальность по дизайну и конфиденциальность по умолчанию».

Контроллер данных обязан интегрировать систему защиты данных во все бизнес-процессы (включая процессы разработки продуктов или услуг) на ранней стадии их проектирования, а затем постоянно поддерживать такую ​​систему.Например, при разработке мобильного приложения необходимо проанализировать и предотвратить возможные риски, связанные с конфиденциальностью, а также установить механизмы управления такими рисками перед кодированием.

Согласно концепции, лучший способ снизить риски конфиденциальности — не создавать их.

Штрафы за нарушения

Роскомнадзор может приехать в любую организацию с проверкой по результатам систематического мониторинга или по обращению физического лица.Также существуют плановые проверки, список которых размещен на сайте агентства. Если организация не уведомила Роскомнадзор о том, что она является оператором ПД, это не спасет ее от проверок, равно как и формальное оформление готовых документов, скачанных из Интернета, не поможет — Роскомнадзор обязательно проверит информационные системы и выяснит реальную ситуацию. Отчасти может помочь перенос персональных данных в защищенное облако 152-ФЗ, принадлежащее облачному провайдеру, но необходимо помнить, что именно оператор устанавливает цель обработки и несет ответственность за нарушения.

Последствия нарушения достаточно серьезные: блокировка сайта организации, большие штрафы для юридических и должностных лиц, приостановление деятельности компании на срок до 90 дней, а также лишение должностного лица права занимать определенные должности или заниматься определенной деятельностью. на срок от 2 до 5 лет. Несертифицированные средства защиты информации могут быть конфискованы и, конечно же, организация понесет репутационные потери.

За нарушение GDPR также существует ответственность.Однако если в России по разным статьям уголовного и гражданского кодекса преступники заплатят до трехсот тысяч рублей, то в Европе ограничений по суммам нет — штрафы могут достигать 4% от годового оборота Компания.

Российские законы о защите данных: Основное руководство по соблюдению требований

Российский ландшафт защиты данных

Защита персональных данных — это чувствительная область, требующая пристального внимания для компаний, выходящих на российский рынок.Это особенно актуально для банков и финансового сектора, медицинских фондов, индустрии туризма и всех видов электронной коммерции.

Несмотря на то, что российский рынок обладает значительным потенциалом для иностранных компаний, глобальные бизнес-игроки рассматривают российские законы о локализации данных как серьезное препятствие для расширения своего бизнеса в этом регионе.

Иностранные компании, работающие в стране, сталкиваются с различными законами и законами о конфиденциальности данных, которые регулируют обработку личных данных граждан.Несоблюдение этих законов может повлечь за собой штрафы, а также другие административные ограничения.

Эта страница предлагает краткое руководство по соблюдению положений российского законодательства о конфиденциальности данных и будет полезно как для иностранных компаний, работающих или планирующих свою деятельность в России.

Законы о локализации данных в России

Какие национальные законы регулируют сбор, использование и раскрытие персональных данных?

Основными законами, регулирующими защиту и конфиденциальность персональных данных в России, являются:

Основным законом в этой области, и основное внимание в этой статье уделяется Закону о персональных данных FZ 152 .

Как соблюдать законодательство о персональных данных в Российской Федерации

ФЗ 152 может повлиять на ваш бизнес как в том случае, если он находится в России, так и за пределами России, но вашими клиентами являются граждане России. Давайте рассмотрим несколько часто задаваемых вопросов о законе FZ 152.

В каких случаях требование об использовании сервера в России распространяется на иностранные компании?

В соответствии с законодательством при сборе персональных данных оператор обязан обеспечить учет, систематизацию, накопление, хранение, обновление, извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации. Федерация .

Таким образом, даже если компания работает онлайн, не имеет физического присутствия в России и ее деятельность ориентирована на граждан России, компания должна соблюдать требования закона.

Если ваш сайт расположен на зарубежном хостинге, но вы собираете и обрабатываете данные о гражданах Российской Федерации, ваш домен может быть внесен в Реестр нарушителей прав субъектов данных. Реестр ведет Роскомнадзор.

В результате вам, как правило, следует собирать, обрабатывать и хранить базу данных личных данных о гражданах России на серверах, расположенных в России .

Согласно закону FZ 152, компаниям разрешено доверять хранение и обработку данных с ограниченным доступом третьей стороне при условии, что центр обработки данных поставщика облачных услуг находится в России.

Персональные данные также могут быть переданы за границу — например, для обработки. Но сначала необходимо записать копию на сервере, который физически находится на территории России.

Как ваш партнер по защите данных в России, InCountry соблюдает Федеральный закон № 152 . Мы придерживаемся самых высоких стандартов в отрасли. Вот почему мы постоянно совершенствуем наши решения, опережая последние тенденции, встраивая безопасность в каждый уровень предложений и адаптируясь к последним стандартам соответствия.

Вы должны убедиться, что предоставляется надежная защищенная инфраструктура личных данных, а также правильно ли сама компания управляет данными и организует доступ к информации внутри организации.

При выборе облака выбирайте поставщиков, сертифицированных для хранения и защиты персональных данных граждан России в соответствии с российским законодательством о защите персональных данных (152-ФЗ), таких как InCountry. Пожалуйста, проверьте наши сертификаты и лицензии здесь.

Какие основные шаги необходимо предпринять иностранной компании для управления рисками, связанными с данными, и обеспечения соблюдения нормативных требований?

Чтобы управлять рисками, связанными с данными, и обеспечивать соблюдение нормативных требований и регулярное соблюдение конфиденциальности при ведении бизнеса в России, необходимо выполнить следующие действия.

• определение общих бизнес-процессов, потоков данных и соответствующих категорий данных
• назначение местного сотрудника по защите данных (DPO), который будет отвечать за процессы соответствия
• принятие местных политик защиты данных и других необходимых документов по конфиденциальности
• внедрение соответствующих меры безопасности в масштабах компании.
• , обеспечивающий основные соглашения со всеми третьими сторонами и обработчиками данных.
• «локализация» соответствующей базы данных или ИТ-системы на территории России является обязательной, если персональные данные российских физических лиц собираются в режиме онлайн.

Наконец, мы настоятельно рекомендуем проводить регулярные аудиты защиты данных, чтобы обеспечить постоянное соответствие конфиденциальности данных национальным требованиям и правилам защиты данных. Это поможет соответствовать требованиям при внесении поправок или обновлений в законы.

Каждый этап проекта защиты данных должен быть детально определен с самого начала. Он станет основой для эффективного обслуживания и развития данных в будущем.

Важно помнить, что согласованность обработки персональных данных должна быть четко определена для каждой компании — в рамках ее бизнес-процессов.

Любые изменения в таких процессах — например, в протоколах безопасности, системах доступа персонал ИТ-структуры должен отражать обновления соответствующих политик, ИТ-архитектуры и моделей рисков.

Штрафы за несоблюдение российского законодательства о конфиденциальности данных

Российская Федерация ввела строгие штрафы за несоблюдение требований защиты данных. Штраф за первое нарушение составляет от 33 000 до 100 000 долларов США, за повторное нарушение — от 100 000 до 300 000 долларов США.

С 2019 года Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) проводит регулярные проверки, чтобы убедиться, что компании соблюдают правила.

Следующие правила проведения расследований:

• Операторы персональных данных получают уведомление за 3 дня о плановых проверках и за 24 часа о неожиданных проверках.

• Плановая проверка не может длиться более 20 дней, а неожиданная — не более 10 дней.

• Юридические лица и индивидуальные предприниматели не подлежат проверке в течение первых трех лет после юридической регистрации. Это дает вновь созданным компаниям время для создания процессов комплаенса и подготовки к расследованиям.

• Частота проверки зависит от типов обрабатываемых данных и процедур обработки. Для большинства компаний проверки будут проводиться только раз в 3 года.

• Компании, работающие с особыми категориями данных (например,г. биометрии), а операторы, передающие данные в зарубежные страны, могут ожидать расследования каждые 2 года.

Локализация и защита персональных данных в России — почему InCountry — ваш идеальный партнер

Узнайте, почему InCountry — ваш идеальный партнер для управления защитой и соблюдением требований данных в России.

InCountry:

• Соответствие FZ-152
• Соответствие HIPAA
• Сертификат PCI DSS
• Управление вашими данными осуществляется в соответствии с высочайшими стандартами безопасности и конфиденциальности.Мы используем отраслевые стандарты шифрования, чтобы обеспечить безопасность и конфиденциальность ваших данных на каждом этапе нашей деятельности.
• Инфраструктура InCountry надежно управляет вашими регулируемыми данными в Российской Федерации с круглосуточной поддержкой клиентов.
• Партнерство с InCountry — это самый быстрый способ соблюдать правила размещения данных и открывать новые территории, такие как Российская Федерация
• Наши решения могут быть реализованы быстро и экономично, в зависимости от объема настройки и контроля, который вам нужен

По всем дополнительным вопросам обращайтесь к нам по адресу sales @ incountry.com

Последние изменения в регулировании персональных данных в России | Международная сеть юристов

[автор: Ольга Новинская]

Защита персональных данных (ПД) становится главной темой последних дней, поэтому российское законодательство в этой сфере стремительно меняется. В статье представлен обзор обновлений регулирования персональных данных за 3 квартал 2020 года.

ПОПЫТКИ ПРОТИВ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ

Российское агентство по охране здоровья и защите прав потребителей разработало поправки к Закону от 07.02.1992 № 2300-1 «О защите прав потребителей», воспрепятствование недобросовестному поведению хозяйствующих субъектов, собирающих ПД клиентов в целях, не связанных с заключением и исполнением договоров.

Законопроект запрещает отказ от заключения, изменения, расторжения или исполнения договора с покупателем, если он (она) отказывается предоставить персональные данные для продавца. Исключение из этого правила применяется в случаях, когда предоставление персональных данных предусмотрено законом или необходимо для совершения сделки.

Кроме того, проект предоставляет потребителям право требовать объяснения, если продавец отказывается завершить сделку из-за своего отказа в предоставлении персональных данных.

Принятие закона может повлиять на практику использования ПДн хозяйствующими субъектами, взаимодействующими с российскими клиентами. В частности, продавец должен точно указать данные, необходимые для заключения контракта, и быть готовым дать мотивированные объяснения покупателям.

Информируем, что упомянутая ранее новая редакция Кодекса об административных правонарушениях дополняет этот законопроект штрафами для хозяйствующих субъектов, которые обрабатывают персональные данные избыточно.Вы можете найти наш обзор здесь.

Законопроект «О внесении изменений в статью 16 Закона Российской Федерации« О защите прав потребителей »(подготовлен Российским агентством по здравоохранению и правам потребителей, ID проекта 02.04.09-20.00108592)

КОЛИЧЕСТВО СОГЛАСИЙ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ МОЖЕТ БЫТЬ УМЕНЬШЕНО

Госдума рассматривает в первом чтении законопроект, который вводит возможность получения согласия на обработку персональных данных сразу для нескольких целей или несколькими лицами, обрабатывающими данные от имени оператора.

Авторы законопроекта убеждены, что предлагаемые изменения уменьшат количество письменных согласий, предоставляемых отдельными лицами, и могут оптимизировать цифровое взаимодействие в различных областях.

Для каждой цели обработки данных необходимо указать следующую информацию:

• Перечень персональных данных;
• Лицо, которое будет обрабатывать персональные данные от имени оператора;
• Описание методов обработки;
• Срок действия согласия;
• Способ отзыва согласия.

Законопроект также пытается решить проблему анонимности персональных данных. Предлагается поручить Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) определить требования к анонимности и ее способам.

Имеется приказ Роскомнадзора от 05.09.2013 № 996 об обезличивании персональных данных, который распространяется на операторов, являющихся государственными или муниципальными органами. Отметим, что, согласно комментариям должностных лиц Роскомнадзора, частные лица не вправе анонимизировать персональные данные.Практическое значение состоит в том, что оператор обязан уничтожить персональные данные в случаях, когда цель обработки достигнута.

Законопроект № 992331-7 «О внесении изменений в Федеральный закон« О персональных данных »»

ШТРАФЫ ЗА РАСКРЫТИЕ ЧУВСТВИТЕЛЬНОЙ ИНФОРМАЦИИ МОГУТ БЫТЬ УВЕЛИЧЕНЫ В 10 РАЗ

Законопроект, предусматривающий усиление наказания за разглашение информации с ограниченным доступом, находится на стадии первого чтения в Государственной Думе РФ.Информация с ограниченным доступом включает личные данные.

Действующая редакция статьи 13.14 Кодекса Российской Федерации об административных правонарушениях предусматривает штрафы до 1000 рублей (около 13 долларов США) для физических лиц и до 5000 рублей (около 65 долларов США) для должностных лиц, если они получили доступ к информации ограниченного доступа. в связи с исполнением служебных или профессиональных обязанностей. Как отметили разработчики закона, такие штрафы незначительны и не достигают цели предотвращения нарушений безопасности данных.

В связи с этим предложенные резервы значительно увеличили размер штрафов:

• До 10 000 руб. (Ок.129 USD) для физических лиц,
• До 50 000 рублей (примерно 646 долларов США) для должностных лиц.

Следует отметить, что работа над новой редакцией Кодекса об административных правонарушениях все еще продолжается. В законопроекте устанавливаются новые виды нарушений безопасности данных, в том числе нарушение конфиденциальности ПД, нарушение правил анонимности ПД и т. Д. Об этом проекте мы уже писали ранее.

Законопроект № 1023005-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях »

ВЕРХОВНЫЙ СУД РАЗЪЯСНИЛ ЮРИСДИКЦИОННЫЕ ПРАВИЛА В ОТНОШЕНИИ ПРЕТЕНЗИЙ О ЗАЩИТЕ ПД

14 июля 2020 года Верховный Суд Российской Федерации рассмотрел дело, возбужденное Роскомнадзором в интересах гражданина России.Компания Whois Privacy Corp. (Багамские острова) разместила на своем сайте персональные данные гражданина России без его согласия.

Суд первой и апелляционной инстанций пришел к выводу, что заявленные иски связаны с регулированием Интернет-ресурса как средства массовой информации и подлежат рассмотрению в административном порядке.

Верховный суд не согласился с таким решением и заявил, что иски о защите персональных данных должны решаться в порядке гражданского судопроизводства с учетом ссылки в Гражданском процессуальном кодексе Российской Федерации.Кроме того, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных) позволяет Роскомнадзору предъявлять иски и представлять интересы физических лиц в суде.

Несмотря на то, что Закон о персональных данных не содержит четких положений, касающихся его территориального охвата, толкование Верховного суда демонстрирует экстерриториальный принцип в отношении сферы действия Закона о персональных данных. Иностранным компаниям следует учитывать вопросы юрисдикции при обработке персональных данных граждан России.

Определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 14 июля 2020 г. № 58-KG20-2

Защита данных 2021 | Законы и правила | Россия

1.