О защите персональных данных по 152 фз: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Содержание

Статья 1. Сфера действия настоящего Федерального закона / КонсультантПлюс

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

(часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей

редакции)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;3) утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ;

(см. текст в предыдущей редакции)

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;5) утратил силу. - Федеральный закон от 29.07.2017 N 223-ФЗ.

(см. текст в предыдущей редакции)

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".(часть 3 введена Федеральным законом от 29.07.2017 N 223-ФЗ)

Открыть полный текст документа

Соответствие 152-ФЗ «О персональных данных» | Selectel

1. Разместите вашу информационную систему в Selectel

Подберем соответствующую ей IT-инфраструктуру, руководствуясь требованиями безопасности. В качестве вариантов предлагаем выделенные серверы в «Аттестованном сегменте ЦОД», виртуальную машину (или несколько) в «Облачной платформе Selectel» или «Облаке на базе VMware».

Дата-центры Selectel находятся в России. Это базовое условие, которое нужно соблюсти, чтобы выполнить требование по локализации персональных данных. Для инфраструктуры, которую мы предлагаем клиентам, уже проведена нужная оценка эффективности безопасности ПДн.

2. Проведите аудит вашей информационной системы ПДн. В итоге у вас на руках будут:

  • Результаты аудита, в которых описано, как вы собираете и обрабатываете информацию, и соответствуют ли эти процессы требованиям законодательства.
  • Все необходимые документы, связанные с обработкой ПДн. Они могут разрабатываться как для отдельной информационной системы, размещаемой в Selectel, так и для всех ваших информационных систем. Это зависит от поставленных задач и уже внедренных мер.

3. Опишите систему защиты персональных данных. В результате вы получите:

  • Технический проект, который будет включать в себя план реализации системы защиты.
  • Список средств защиты, которые будут применяться.
  • Перечень услуг, которые помогают обезопасить персональные данные.
  • Стоимость внедрения и оценку эффективности системы защиты.

4. Установите необходимые средства защиты самостоятельно или используйте сервисы информационной безопасности, предоставляемые Selectel

Поможем настроить, а затем обслуживать и администрировать средства защиты информации. Если в вашей компании нет сотрудников, которые следят за информационной безопасностью, используйте сервисы от Selectel — наши специалисты работают круглосуточно.

5. Оцените эффективность мер обеспечения безопасности ПДн или проведите аттестацию системы, если она нужна

Проводить оценку эффективности стоит до того, как вы ввели в работу информационную систему. Повторять оценку предстоит всякий раз, когда вы внесете изменения в систему, но не реже, чем раз в 3 года.

Аттестация — необязательная процедура. Она требуется компаниям, которые работают с государственными информационными системами или подключаются к ним, а также компаниям, информационные системы которых обрабатывают государственную тайну или управляют экологически опасными объектами. Аттестация накладывает ограничения: с ней вы сможете использовать только сертифицированные средства защиты, вам придется проходить переаттестацию всякий раз, когда в информационной системе что-то меняется. Аттестацию может проводить только организация, у которой есть соответствующая лицензия.

В итоге вы получите:

  • Акт оценки эффективности или аттестат, который подтвердит, что ваша информационная система соответствует всем актуальным требованиям безопасности информации.

ПЛЮС | FAQ по защите персональных данных

Давайте разберем ситуацию. Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме. Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать письменное согласие субъекта на обработку биометрических персональных данных, если на объекте используется система видеонаблюдения?» А это уже нетривиальная задача, особенно когда на объекте имеется большое число посетителей, а камеры видеонаблюдения установлены в коридорах организации.

Вспомним также, что из определения, данного в законе, к биометрическим персональным данным относятся сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность». Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «

позволяют установить личность». Между тем, сами по себе «физиологические особенности человека» – это объективная реальность, данная нам в ощущениях и присущая именно индивиду, а не его изображению или электронной форме записи этого изображения. Следовательно, любое изображение человека (в том числе и видеозапись, сделанная системой видеонаблюдения) содержит в себе биометрические персональные данные, так как оно объективно отражает физиологические особенности человека и их можно использовать для идентификации.

Обратим также внимание на то, что закон, не исключая вообще факта обработки биометрических персональных данных, накладывает особые условия их обработки (письменное согласие субъекта) только в одном конкретном случае: когда целью обработки биометрических данных является установление личности субъекта. В остальных случаях ограничений на обработку биометрических данных закон не накладывает. То есть, основным квалификационным признаком отнесения той или иной информационной системы под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», будет являться не сам факт обработки биометрических персональных данных, а факт их

использования для идентификации субъекта. 

Использование систем видеонаблюдения, как правило, относится к компетенции служб безопасности объектов. При этом, как правило, такие системы относятся к системам охраны объектов и предназначаются для общего наблюдения за обстановкой на объекте, обнаружения каких-либо фактов нарушения установленного на объекте режима безопасности и фиксации (в том числе автоматически, без участия оператора) таких фактов для последующего ретроспективного контроля видеообстановки на охраняемом объекте. То есть, сама по себе система видеонаблюдения не используется непосредственно для идентификации субъекта по его биометрическим данным.

Следовательно, системы видеонаблюдения, предназначенные для контроля обстановки на объекте, не подпадают под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», так как не используют биометрические данные для идентификации субъекта персональных данных.

Теперь предположим, что на объекте произошел факт нарушения установленного режима безопасности с участием одного или нескольких субъектов, который был зафиксирован системой видеонаблюдения. Для принятия мер к нарушителям по данному факту необходимо установить личности субъектов его совершивших, то есть необходимо

идентифицировать субъектов по физиологическим особенностям, зафиксированным на видеозаписи системы видеонаблюдения. Все действия по установлению причастных к факту нарушения проводятся в рамках процедуры расследования инцидента. Примем во внимание, что факт нарушения режима безопасности является противоправным действием (иначе зачем принимать какие-то меры в отношении субъекта?), а субъект в этом случае является подозреваемым (его вину надо еще доказать!). Поэтому, такое расследование будет ни что иное, как дознание. А это уже категория Уголовно-процессуального или Административного процессуального Кодексов РФ. Именно в ходе дознания проводится сбор и проверка материалов по факту совершенного противоправного действия. Именно в ходе дознания уполномоченные лица с привлечением экспертов и, при необходимости, специального программного обеспечения и специальной техники, используя видеозапись системы видеонаблюдения, смогут идентифицировать личность субъекта-нарушителя. При этом, видеозапись факта нарушения режима безопасности переходит в категорию
вещественных доказательств
, точно таких же как, например, отпечаток пальца преступника.

Следовательно, идентификация субъекта проводится не в рамках процесса видеозаписи, а в рамках процедуры дознания по факту нарушения режима безопасности на основе изучения вещественных доказательств, каковыми могут выступать элементы системы видеонаблюдения, в том числе и носители видеозаписи совершенного факта. В данном случае обработка биометрических персональных данных осуществляется вне основных функций системы видеонаблюдения и регламентируется нормативными правовыми актами, определяющими порядок проведения дознания и работы с вещественными доказательствами, а также частью 2 статьи 11 Федерального закона «О персональных данных». Надо также учитывать, что носители видеозаписи могут быть изъяты из системы видеонаблюдения и изучены вне ее с использованием специальных технических средств. Уполномоченное лицо, осуществляющее дознание по факту нарушения режима безопасности, может также привлечь в качестве вспомогательных средств элементы системы видеонаблюдения для целей расследования.  

ВЫВОДЫ:
1. Необходимо разделять два процесса: процесс контроля обстановки на объекте и процесс идентификации субъекта по биометрическим персональным данным.
2. Системы видеонаблюдения предназначены именно для контроля обстановки на объекте.
3. Идентификация субъекта, при необходимости, осуществляется не в ходе процесса контроля обстановки, а в ходе процедуры дознания, проводимой при расследовании инцидента.
4. В ходе расследования инцидента, видеозапись, позволяющая ретроспективно оценить обстановку, имеет силу вещественных доказательств, оценка которых проводится с привлечением экспертов и специального оборудования.
5. Использование системы видеонаблюдения для целей контроля обстановки на объекте не подпадает под действие ст. 11 Федерального закона № 152-ФЗ «О персональных данных».
 

С 2021 года ФЗ-152 «О персональных данных» существенно изменен

В канун Нового года Президент РФ В.В.Путин подписал принципиальные изменения в ФЗ-152 «О персональных данных», вступающие в силу 1 марта 2021 года (Федеральный закон от 30.12.2020 N 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных").

Закон в новой редакции полностью переписал нормы статьи 8 закона, приняв отдельную статью 10.1 об особенностях обработки персональных данных при их распространении.

В законе вводится понятие отдельного письменном согласия (письменного) при распространении персональных данных субъектов, и тем самым разграничиваются такие понятия, как «наличие согласия», «согласие в письменной форме».

Форму данного отдельного согласия должен в ближайшее время утвердить Роскомнадзор, а это означает, что каждая организация, размещающая, например, персональные данные своих работников, клиентов, граждан на сайте, иных Интернет ресурсах, обязана после 1 марта получить отдельное согласие и тем самым отказаться от укоренившейся практики так называемых «общих» согласий. Каждая компания, которая использовала персональные данные граждан, взяв их из открытых источников, должна также получить отдельное согласие гражданина (субъекта персональных данных). При этом, если в прошлой редакции статьи 6 ФЗ-152 «О персональных данных» существовала норма, позволяющая любой организации свободно использовать персональные данные граждан, которые они самостоятельно разместили, например, в Интернете, то с 1 марта 2021 года это запрещено. Операторам ПДн теперь придется доказывать, что у них есть законное основание на последующее распространение таких персональных данных.

Законом определены 2 случая предоставления согласия:

  • непосредственно от субъекта (работника/гражданина/клиента)
  • с использованием информационной системы Роскомнадзора.

Надеемся, что в ближайшие недели мы получим разъяснения от уполномоченного органа в области персональных данных по реализации такого решения, как использование ИС Роскомнадзора.

Закон запрещает используемый сегодня операторами персональных данных подход : «что не запрещено, то разрешено». Отныне организация (оператор персональных данных) не имеет права распространять ПДн по умолчанию или бездействию человека.

Субъект персональных данных вправе установить запреты на передачу своих данных неопределенному кругу лиц, как это часто делают многие операторы в своих согласиях. Сегодня у гражданина часто не остается выбора и он вынужден подписывать такие согласия.

Для оператора законом определен 3-х дневный срок прекращения обработки персональных данных при обращении субъекта персональных данных. Организация в 3-х дневный срок с момента получения согласия обязана опубликовать информацию об условиях обработки о запретах, разрешениях субъектов на распространение их персональных данных.

Федеральный закон от 30.12.2020 N 515-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" вводит требования по внедрению дополнительных мер защиты информационных систем: мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

Практическая защита персональных данных. Где компания обрабатывает ПДн?


  |  Слушать на Spotify  |  Слушать на Яндекс Музыке  |   Слушать на Anchor.fm  |   Слушать на Breaker  |   Слушать на Google Podcast  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision 

В прошлой статье мы рассмотрели самый первый вопрос, который возникает у компании: что такое персональные данные?

Вкратце пробежим по основным ключевым аспектам:

1) если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация - его персональными данными (Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных» автор Савельев А. Г.)

2) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливают следующие группы/категории персональных данных:

a. Специальная категория персональных данных (ч. 1, п.3 ст. 10 152-ФЗ)

b. Биометрические персональные данные (ч. 1 ст. 11 152-ФЗ)

c. Общедоступные персональные данные (ч.1 ст. 8 152-ФЗ)

d. Иные (п. 5 ПП 1119).

3) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает дополнительные признаки обработки персональных данных:

a. чьи персональные данные (субъект, являющийся сотрудником/работником компании или субъект, не являющийся сотрудником/работником компании)

b. объем обрабатываемых персональных данных (до 100 000, свыше 100 000, без указания количества объема).

На всякий случай повторю сказанное в прошлой статье: показатель без указания количества объема относится к нескольким случаям, и рассматривать его в самом начале работ не целесообразно.

Приступим ко второму вопросу: где компания обрабатывает персональные данные? Но сначала необходимо понять, что вообще понимается под термином «Обработка персональных данных».

Согласно определению, данному в 2008 году, обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Однако Федеральный закон от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» внес в данное определение корректировки, которыми мы руководствуемся и в 2021 году. Сейчас под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ч. 3 ст. 3 152-ФЗ).

Как мы видим, определение уточняет определенные условия обработки, но ключевое понятие осталось неизменным: обработка - это любое действие/операция с персональными данными.

Этот аспект (ПЕРВЫЙ АСПЕКТ) необходимо понимать и помнить. Зачастую в ходе работ заказчик (эксплуатанты, владельцы и т.д.) говорит, что система не обрабатывает персональные данные. Обоснованием такой позиции является то, что система просто не сохраняет их у себя, а сразу передает в другую систему или на сервер. Такая позиция является неверной, т.к., если ей руководствоваться, часть процессов и систем компании выпадает из рассмотрения, что, как следствие, приводит к их нарушениям.

Следующим аспектом (ВТОРОЙ АСПЕКТ), на который обращает внимание определение 152-ФЗ и которое необходимо учитывать в ходе работ, это то, как производится обработка. Она может производиться:

1) с использованием средств автоматизации

2) без использования средств автоматизации.

В зависимости от использованного способа обработки впоследствии будут формироваться требования к применяемым средствам и мерам обеспечения безопасности персональных данных. Документами, конкретизирующими требования по обработке и защите, в частности, являются:

1)  постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

2) постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Кроме вышеуказанных постановлений Правительства Российской Федерации есть еще ряд ключевых нормативно-правовых актов, которые регулируют отдельные аспекты обработки персональных данных:

Однако, в рамках статьи мы не будем рассматривать указанные акты, т.к. они затрагивают отдельные узкие аспекты обработки. Итак, вернемся к ПП 687 и ПП 1119.Пусть Вас не вводят в заблуждение положения п. 1 и п. 2 ПП 687:

1) п. 1 - Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека

2) п. 2 - Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

На настоящий момент принята следующая позиция: все, что обрабатывается в информационных системах, и момент вывода персональных данных из информационных систем будут относиться к регулированию по ПП 1119, в остальных случаях - к ПП 687.

Однако, так было не всегда. Ранее существовало постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», которое предъявляло более жесткие требования к организации обработки и защиты персональных данных. Вследствие чего многие компании старались по возможности уйти из-под требований ПП 781.

Противостояние ПП 687 и ПП 781 в трактовке вопроса, что относить к обработке персональных данных с использованием средств автоматизации, а что нет, доходила порой до случаев, когда передача факсимильного сообщения с использованием факса приравнивалась к автоматизированной обработке, а сам факс считался информационной системой персональных данных. Но нередки были и случаи, когда заказчик доказывал, что обрабатывает персональные данные на отдельном автоматизированном рабочем месте и обработка регулируется и осуществляется исключительно ПП 687.

Однако за 11 лет Роскомнадзор выработал свою позицию, и она укладывается в то, что я указал выше (информационные системы и вывод из нее персональных данных – ПП 1119, бумага – ПП 687).

Обычно к обработке персональных данных, которую регламентирует ПП 687, относится ведение различных карточек, реестров, журналов (проходов, инструктажа, учета и т.д.) и т.п.

Важным аспектом, который необходимо учитывать, является сложившаяся позиция Роскомнадзора, которую он неоднократно озвучивал в ходе различных мероприятий – если форма, в которую заносятся персональные данные, установлена каким-то нормативно-правовым актом и/или органом государственной власти, то она применяется в той форме/виде, как установлена. В иных случаях должны быть учтены дополнительные положения/требования ПП 687. Ранее из-за отсутствия такой позиции у Роскомнадзора компании иногда перерабатывали установленные формы, что приводило к их отклонению проверяющими профильных ведомств или нареканию.

Таким образом, выявлением мест/процессов обработки персональных данных без использования средств автоматизации будет являться выявление фактов использования различных материальных носителей персональных данных. Одним из возможных вариантов решения данной задачи будет организация в компании рабочей группы, в которую войдут представители всех подразделений. Указанная группа сумеет в кратчайшие сроки (т.к. понимает процессы, в которые вовлечены их коллеги) определить процессы, задействованные подразделения/лиц, используемые виды материальных носителей, места хранения и нормативно-правовые акты, а также локальные нормативные акты компании, которые определяют/регламентируют такую обработку.

Перейдем к обработке персональных данных с использованием средств автоматизации.Но, прежде чем рассмотреть положения ПП 1119, необходимо остановиться на ранее существовавших требованиях ПП 781. Это связано с тем, что в ходе работ вам, возможно, придется столкнуться с работами/материалами, выполненными по старым требованиям.

Первым признаком того, что работы были выполнены по старым требованиям, будет являться год разработки документов или выполненных работ – до 2012.

Вторым признаком будет являться наличие в указании класса информационной системы персональных данных терминов «специальная» или «типовая».

Третьим возможным признаком работ, выполненных по старым требованиям, будет являться указание на использования исключительно сертифицированных средств защиты информации/персональных данных.

Почему важно обратить на это внимание? Согласно ПП 781 устанавливалась иная классификация информационных систем персональных данных (типовые, специальные). Классификация проводилась по ряду отличных от указанных в ПП 1119 признаков и в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Использование старых подходов и документов с высокой вероятностью приведет к ошибочному формированию требований для последующих работ.

Кроме этого, в ходе определения информационных систем персональных данных надо учитывать следующие нюансы:

  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ч. 3 ст. 5 152-ФЗ)

  • при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).

Зачастую в обработке персональных данных с использованием средств автоматизации участвуют те же подразделения, что и без их использования. Таким образом, в целях выявления информационных систем персональных данных в компании будет правильным привлечение специалистов из ранее организованной в компании рабочей группы по определению мест обработки/процессов, в рамках которых происходит обработка персональных данных без использования средств автоматизации.

Последний аспект (ТРЕТИЙ АСПЕКТ), который ряд компаний упускает из виду, - это привлечение к обработке персональных данных других компаний. Сейчас не является чем-то необычным, когда какие-то процессы или операции отдаются на подряд или выполняются совместными силами нескольких компаний. В этой связи вопрос обработки персональных данных зачастую выходит за область деятельности одной компании. Также не является чем-то необычным отсутствие в договорах/контактах с привлекаемыми компаниями отдельных положений, регулирующих условия обработки персональных данных.

Так, например, при выводе на рынок новых услуг, связанных с информационными системами, нередки случаи, когда одна компания предоставляет услугу (владеет сервисом), вторая владеет ЦОД/вычислительной инфраструктурой, третья пишет и обслуживает прикладное программное обеспечение информационной системы, а четвертая предоставляет услуги операторов или операционистов колл-центра (обслуживающих клиентов сервиса). В такой связке сложно понять, что фактически в обработке персональных данных клиентов участвуют все перечисленные компании. А значит, с точки зрения закона ко всем им должны быть применены соответствующие положения 152-ФЗ.

Еще одним сложным вопросом является момент передачи персональных данных за территорию Российской Федерации. Согласно 152-ФЗ такая передача называется трансграничной и регламентируется отдельными положениями 152-ФЗ (ст. 12), а также необходимостью оценки адекватной защиты прав субъектов персональных данных в стране, куда передаются персональные данные. В настоящий момент оценка производится согласно приказу Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Таким образом, в ходе обработки персональных данных необходимо выяснить правовое основание обработки, лиц, участвующих в этой обработке, и корректно ли сформулированы договорные условия с участвующими/задействованными компаниями.

Важным нюансом, на который обращает внимание Роскомнадзор, является соблюдение компанией (в соответствии со ст. 3 152-ФЗ - оператором) условий ч. 3 ст. 6 152-ФЗ. Указанный пункт гласит: «Оператор вправе поручить обработку персональных данных третьему лицу на основании поручения. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки. Должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 152-ФЗ». Однако, считаем необходимым также привести и мнение ряда юристов, которые считают, что ч. 3 ст. 6 152-ФЗ дает право, а не устанавливает обязанность оператора. Юристы обосновывают указанную позицию тем, что за неисполнение указанных требований не предусмотрены какие-то штрафные санкции.

Положение о персональных данных

Главная/Положение о персональных данных

Генеральный директор

Некоммерческого партнерства

«Ассоциация Европейского Бизнеса»

Положение о персональных данных

Некоммерческого партнерства «Ассоциация Европейского Бизнеса»

г. Москва

2016

1. Общие положения

1.1. Настоящее Положение разработано на основании Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под персональными данными (далее - "персональные данные") понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации лицу.

Персональными данными физического лица являются, в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, расходы и другая информация.

1.3. Некоммерческое партнерство «Ассоциация Европейского Бизнеса» (далее –«Организация» или «АЕБ») является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Организации, утверждается настоящим Положением и приказом руководителя.

1.6. Целями настоящего Положения являются создание и определение условий для сбора, обработки, хранения и предоставления персональных данных.

1.7. Согласие лица, полученное Организацией, сохраняет силу в течение всего срока действия договорных отношений или иных юридически обязывающих отношений с данным лицом.

1.8. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:

а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

б) персональные данные следует получать лично у субъектов персональных данных (далее – субъект или лицо), либо у надлежаще уполномоченных представителей субъектов персональных данных.

В случае возникновения необходимости получения персональных данных у третьей стороны следует известить лицо об этом заранее, получить письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

г) при принятии решений запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами Российской Федерации;

е) передача персональных данных третьей стороне не допускается без письменного согласия субъектов персональных данных, за исключением случаев, установленных федеральными законами;

ж) субъекты персональных данных и их представители должны быть ознакомлены под подпись с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;

з) субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны персональных данных;

и) при необходимости Организация, субъекты персональных данных и их представители должны совместно вырабатывать меры защиты персональных данных.

1.9. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Обработка персональных данных в Организации производится при непосредственном участии человека. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

2. Сохранение персональных данных в Организации

2.1. Организация гарантирует безопасность и конфиденциальность используемых персональных данных.

2.2. При необходимости Организация вправе проверять достоверность представленных сведений.

3. Получение, обработка, хранение персональных данных

3.1. В Организации устанавливается следующий порядок получения персональных данных:

3.1.1. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, частной жизни.

3.2. Организация вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия.

3.3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

  • наименование и адрес оператора, получающего согласие субъекта персональных данных;

  • цель обработки персональных данных;

  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

  • срок, в течение которого действует согласие, а также порядок его отзыва.

3.4. Согласие субъекта персональных данных на обработку персональных данных не требуется в следующих случаях:

  • персональные данные являются общедоступными;

  • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;

  • по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом;

  • обработка персональных данных в целях исполнения договора;

  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.

3.5. Организация обеспечивает безопасное хранение персональных данных, в т.ч.:

3.5.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде при непосредственном участии человека и на бумажных носителях. Обработка персональных данных не автоматизирована и ведется Организацией при непосредственном участии человека (сотрудника Организации).

3.5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.5.4. При хранении персональных данных Организация обеспечивает:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

4. Передача персональных данных

4.1. Персональные данные передаются с соблюдением следующих требований:

  • запрещается сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью лица, а также в других случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

  • не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;

  • предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

  • разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

  • не запрашивать информацию о состоянии здоровья субъекта персональных данных;

  • передавать персональные данные субъекта персональных данных его представителям в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их полномочий.

5. Доступ к персональным данным

5.1. Право доступа к персональным данным имеют:

  • Генеральный директор АЕБ;

  • Исполнительный директор АЕБ;

  • лицо(а), назначенное приказом Генерального директора АЕБ;

  • работники, взаимодействующие с определенным субъектом персональных данных;

  • работники финансового отдела;

  • руководители структурных подразделений по направлениям их деятельности.

5.2. Субъекты персональных данных в целях обеспечения защиты персональных данных имеют следующие права:

  • на ознакомление с настоящим Положением;

  • на полную информацию об их персональных данных и обработке этих данных;

  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

  • на определение своих представителей для защиты своих персональных данных;

  • на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных". При отказе Организации исключить или исправить персональные данные субъект персональных данных имеет право заявить в письменной форме Организации о своем несогласии с соответствующим обоснованием такого несогласия;

  • на требование об извещении Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

  • на обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите персональных данных.

5.3. Копировать и делать выписки персональных данных разрешается исключительно уполномоченным лицам АЕБ в служебных целях.

6. Порядок получения согласия субъекта

на обработку персональных данных

6.1. При начале взаимодействия с субъектами персональных данных, включая получение информации субъекта персональных данных впервые, ответственный сотрудник АЕБ обязан получить предварительное письменное согласие субъекта персональных данных в письменной форме (далее – «согласие»), в соответствии с образцом, приведенным в Приложении № 1 к настоящему Положению.

6.2. В том числе согласия должны быть получены:

  • у членов Правления АЕБ;

  • у кандидатов в члены Правления АЕБ;

  • у членов Совета национального представительства АЕБ;

  • у членов Ревизионной комиссии АЕБ;

  • у членов и участников комитетов, подкомитетов, рабочих групп и иных временных и постоянных органов и групп, образуемых представителями членов АЕБ;

  • у индивидуальных участников мероприятий АЕБ – физических-лиц, самостоятельно (от своего имени) участвующих в мероприятии;

  • у любых физических лиц фото- и видеоизображения которых получаются и/или используются АЕБ, при этом изображение такого лица в данных материалах должно быть основным объектом;

  • у иных физических лиц, предоставляющих персональные данные АЕБ, включая родственников сотрудников АЕБ.

6.3. Согласие заполняется, распечатывается ответственным сотрудником АЕБ и подписывается субъектом персональных данных в одном экземпляре, после чего передается уполномоченному сотруднику АЕБ и хранится в порядке, установленном настоящим Положением.

6.4. В формах заявления на членство в АЕБ в обязательном порядке указывается:

«Настоящим компания ( наименование компании-члена ) заверяет и гарантирует, что компания обладает надлежащими полномочиями на получение, передачу, обработку, использование и хранение персональных данных, которые НП «АЕБ» получает от компании в рамках осуществления НП «АЕБ» данных полномочий, а также в рамках прав и обязанностей члена, с соответствии с положениями применимого законодательства.».

6.5. В формы договоров АЕБ с физическими лицами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором НП «АЕБ» имеет право на получение, передачу, обработку, использование и хранение полученных персональных данных физического(их) лица(ц). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме.».

6.6. В формы договоров АЕБ с контрагентами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором Стороны обязуются соблюдать порядок получения, передачи, обработки, использования и хранения персональных данных в соответствии с применимым законодательством и обязуются получить надлежащие согласия физических лиц на обработку их персональных данных.».

6.7. В онлайн-системы АЕБ в случае получения персональных данных в обязательном порядке вносится следующая оговорка:

«Я подтверждаю, что ознакомился(ась) с Порядком работы с персональными данными НП «АЕБ» и согласен(на) на обработку и передачу моих персональных данных, в том числе, без ограничений, свободно, своей волей и в своем интересе даю согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе третьим лицам, обезличивание, блокирование, удаление, уничтожение и иные действия в отношении моих персональных данных внесенных в ( приводится название системы ). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме.».

7. Ответственность за нарушение норм, регулирующих

обработку персональных данных

7.1. Работники АЕБ, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

7.2. Возмещение ущерба, причиненного неправомерным использованием информации, содержащей персональные данные, производится в соответствии с законодательством РФ.

Приложение № 1

к Положению о персональных данных

Некоммерческого партнерства «Ассоциация Европейского Бизнеса»

Согласие

на обработку персональных данных субъекта

персональных данных

(образец)

г. Москва "__" ______________ 20__ г.

Я, __________________________________________________________ (Ф.И.О.),

зарегистрированный(ая) по адресу _________________________________________

__________________________________________________________________________,

паспорт (либо иной документ, удостоверяющий личность)

серия _______ N _________ выдан ______________, ___________________________

(дата) (кем выдан)

__________________________________________________________________________,

свободно, своей волей и в своем интересе даю Некоммерческому Партнерству «Ассоциация Европейского Бизнеса» (АЕБ), расположенному по адресу: Российская Федерация, 127473, г. Москва, ул. Краснопролетарская, д. 16 стр. 3, согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение моих персональных данных, в том числе:

(указываются конкретные данные, которые будут обрабатываться, например «фамилия, имя, отчество, место работы, адрес, email , должность, фото- и/или видеоизображение» и т.п.)

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________.

Свои персональные данные предоставляю для обработки в целях: (например «проведения мероприятий АЕБ» или «осуществления членства в АЕБ» или «осуществления прав и обязанностей члена Правления АЕБ»)

_______________________________________________________________________

_______________________________________________________________________

______________________________________________________________________.

С Положением о персональных данных Некоммерческого партнерства «Ассоциация Европейского Бизнеса» ознакомлен(а).

Настоящее согласие действует со дня его подписания до даты отзыва в письменной форме.

Дата начала обработки персональных данных:

____________________________

(дата)

____________________________

(подпись)

Услуги по защите персональных данных в соответствии с положениями 152-ФЗ

ООО Фирма «АС» предлагает услуги по защите персональных данных в соответствии с положениями Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее 152-ФЗ). Конечной целью работ является построение системы защиты персональных данных в соответствии с требованиями 152-ФЗ.

Услуги по защите персональных данных в соответствии со 152-ФЗ включают следующие работы:

  • Аудит информационных систем заказчика;
  • Классификация информационной системы персональных данных;
  • Разработка модели угроз безопасности;
  • Разработка требований к системе защиты персональных данных;
  • Составление технического задания;
  • Проектирование системы защиты персональных данных;
  • Разработка регламентирующей документации и обучение пользователей;
  • Внедрение системы защиты персональных данных;
  • Аттестация системы на соответствие требованиям
  • Обследование информационных систем персональных данных, включая системы телекоммуникаций, программно-аппаратный комплекс, прикладные информационные системы, применяемые системы защиты информации.

В рамках проведения работ специалисты ООО Фирма «АС» подготовят и оформят всю необходимую документацию, в том числе:

  • Описание системы персональных данных;
  • Отчет по результатам обследования;
  • Проект распоряжения о классификации системы персональных данных;
  • Частная модель угроз безопасности персональных данных;
  • Требования к системе защиты персональных данных;
  • Комплект регламентирующей организационно-распорядительной документации;
  • Аттестат соответствия требованиям по безопасности информации.

Система защиты персональных данных обеспечивает защищённость информационных систем от неправомерных действий при хранении, обработке и передаче персональных данных согласно с нормативными документами РФ. При создании системы защиты персональных данных используются только сертифицированные в соответствии с требованиями ФСТЭК РФ и ФСБ РФ программные и аппаратные средства: антивирусы, средства защиты от несанкционированного доступа, программы-сканеры и системы мониторинга, электронные ключи, сетевые экраны и криптошлюзы, и т.д. Все персональные данные должны быть исключены из общедоступных ресурсов и переведены в контролируемую зону. Доступ к персональным данным разрешён только сотрудникам, имеющим соответствующие права в рамках своих трудовых обязанностей.

ООО Фирма «АС» также обеспечивает удалённое сопровождение и поддержку системы защиты персональных данных.

Часто задаваемые вопросы по 152-ФЗ

Что такое персональные данные?

Персональные данные – это любая информация, относящаяся к определяемому на основании такой информации физическому лицу, в том числе: ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и другая информация (см. ФЗ-152, ст.3).

На кого распространяются требования 152-ФЗ?

На все государственные и коммерческие организации. Любая организация обрабатывает и хранит персональные данные своих сотрудников в рамках трудовых отношений. Особенно закон касается организаций, которые занимаются обслуживанием граждан.

В чём заключаются обязанности оператора?

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (см. 152-ФЗ, ст.19)

Какова ответственность  за нарушения по обработке персональных данных?

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут гражданскую, административную, дисциплинарную, уголовную и иную ответственность.

GDPR против Федерального закона о персональных данных

Правительства разных стран все больше внимания уделяют Интернету: они занимаются борьбой с пиратством в СМИ, пропагандой и распространением запрещенных товаров. Использование Интернета во всех сферах жизни и объем содержащихся в нем персональных данных породили очень важную тенденцию - защиту персональных данных (ПД) физических лиц. Желание государства регулировать эту сферу вполне закономерно.В этой статье мы сравниваем российский и европейский подходы к защите права личности на неприкосновенность частной жизни.

Законы и правила России и ЕС

Основными документами, регулирующими работу с персональными данными, являются принятый в 2006 году Федеральный закон № 152 Российской Федерации и Европейский общий регламент о защите персональных данных (GDPR), вступивший в силу 25 мая 2018 года.

Российское законодательство определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определенному или идентифицируемому лицу (субъекту ПД).Также есть понятие оператора ПД. Это относится к отдельным лицам и организациям, участвующим в обработке ПД. Обработка - это любое действие, выполняемое с персональными данными.

Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для того, чтобы исключить какие-либо недоразумения, если неясно, относится ли информация к ПД или нет. В отличие от 152-ФЗ, где есть концепция оператора ПД, GDPR имеет «контроллер» и «процессор».Согласно GDPR, контроллеры определяют цели и средства обработки, в то время как процессоры от их имени непосредственно занимаются обработкой.

Основные отличия 152-ФЗ от GDPR

Имея дело с личными данными, вы должны убедиться, что они правильно обрабатываются и защищаются. Организация обязана назначить лицо, ответственное за обработку персональных данных - этот пункт распространен в российских и европейских правилах.В GDPR есть понятие Data Protection Officer - он подчиняется напрямую высшему руководству компании, но, в отличие от 152-ФЗ, эту задачу можно поручить стороннему подрядчику (юридическому лицу).

В России организации обязаны наладить процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять Роскомнадзор. Необходимо получить согласие субъектов ПД (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте.Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных находятся на территории России.

GDPR не требует обязательного хранения персональных данных в странах ЕС. Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД - это возможно только в тех странах, которые, по мнению Европейского Союза, должным образом защищают личные данные.

Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных, а также ряду неприсоединившихся государств. обеспечивающие защиту частичных разрядов.

Российское законодательство разрешает сбор персональных данных в объеме, соответствующем целям обработки, и их хранение в течение периода, необходимого для целей обработки.Согласно GDPR, правовой основой для обработки PD является договор, согласие, общественный, жизненно важный или законный интерес.

Требования к защите

Одним из ключевых отличий GDPR от 152-FZ является защита персональных данных с учетом рисков потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и возможен - обработка не может быть произведена.

Российское законодательство включает только понятие уровня защиты персональных данных.Это зависит от их типа, количества и наличия незаявленных возможностей в системном и прикладном программном обеспечении. В этом случае даются конкретные инструкции по использованию сертифицированных средств защиты (приказ ФСТЭК № 21), а GDPR не имеет таких подзаконных актов.

Статья 25 GDPR требует, чтобы компании создавали системы со встроенной защитой личных данных и системы конфиденциальности по умолчанию - концепция «Конфиденциальность по дизайну и конфиденциальность по умолчанию».

Контроллер данных обязан интегрировать систему защиты данных во все бизнес-процессы (включая процессы разработки продуктов или услуг) на ранней стадии их проектирования, а затем постоянно поддерживать такую ​​систему.Например, при разработке мобильного приложения необходимо проанализировать и предотвратить возможные риски, связанные с конфиденциальностью, а также установить механизмы управления такими рисками перед кодированием.

Согласно концепции, лучший способ снизить риски конфиденциальности - не создавать их.

Штрафы за нарушения

Роскомнадзор может приехать в любую организацию с проверкой по результатам систематического мониторинга или по обращению физического лица.Также существуют плановые проверки, список которых размещен на сайте агентства. Если организация не уведомила Роскомнадзор о том, что она является оператором ПД, это не спасет ее от проверок, равно как и формальное оформление готовых документов, скачанных из Интернета, не поможет - Роскомнадзор обязательно проверит информационные системы и выяснит реальную ситуацию. Отчасти может помочь перенос персональных данных в защищенное облако 152-ФЗ, принадлежащее облачному провайдеру, но необходимо помнить, что именно оператор устанавливает цель обработки и несет ответственность за нарушения.

Последствия нарушения достаточно серьезные: блокировка сайта организации, большие штрафы для юридических и должностных лиц, приостановление деятельности компании на срок до 90 дней, а также лишение должностного лица права занимать определенные должности или заниматься определенной деятельностью. на срок от 2 до 5 лет. Несертифицированные средства защиты информации могут быть конфискованы и, конечно же, организация понесет репутационные потери.

За нарушение GDPR также существует ответственность.Однако если в России по разным статьям уголовного и гражданского кодекса преступники заплатят до трехсот тысяч рублей, то в Европе ограничений по суммам нет - штрафы могут достигать 4% от годового оборота Компания.


Российские законы о защите данных: Основное руководство по соблюдению требований

Российский ландшафт защиты данных

Защита персональных данных - это чувствительная область, требующая пристального внимания для компаний, выходящих на российский рынок.Это особенно актуально для банков и финансового сектора, медицинских фондов, индустрии туризма и всех видов электронной коммерции.

Несмотря на то, что российский рынок обладает значительным потенциалом для иностранных компаний, глобальные бизнес-игроки рассматривают российские законы о локализации данных как серьезное препятствие для расширения своего бизнеса в этом регионе.

Иностранные компании, работающие в стране, сталкиваются с различными законами и законами о конфиденциальности данных, которые регулируют обработку личных данных граждан.Несоблюдение этих законов может повлечь за собой штрафы, а также другие административные ограничения.

Эта страница предлагает краткое руководство по соблюдению положений российского законодательства о конфиденциальности данных и будет полезно как для иностранных компаний, работающих или планирующих свою деятельность в России.

Законы о локализации данных в России

Какие национальные законы регулируют сбор, использование и раскрытие персональных данных?

Основными законами, регулирующими защиту и конфиденциальность персональных данных в России, являются:

Основным законом в этой области, и основное внимание в этой статье уделяется Закону о персональных данных FZ 152 .

Как соблюдать законодательство о персональных данных в Российской Федерации

ФЗ 152 может повлиять на ваш бизнес как в том случае, если он находится в России, так и за пределами России, но вашими клиентами являются граждане России. Давайте рассмотрим несколько часто задаваемых вопросов о законе FZ 152.

В каких случаях требование об использовании сервера в России распространяется на иностранные компании?


В соответствии с законодательством при сборе персональных данных оператор обязан обеспечить учет, систематизацию, накопление, хранение, обновление, извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации. Федерация .

Таким образом, даже если компания работает онлайн, не имеет физического присутствия в России и ее деятельность ориентирована на граждан России, компания должна соблюдать требования закона.

Если ваш сайт расположен на зарубежном хостинге, но вы собираете и обрабатываете данные о гражданах Российской Федерации, ваш домен может быть внесен в Реестр нарушителей прав субъектов данных. Реестр ведет Роскомнадзор.

В результате вам, как правило, следует собирать, обрабатывать и хранить базу данных личных данных о гражданах России на серверах, расположенных в России .


Можно ли передать личные данные партнеру компании по резидентству и защите данных?


Согласно закону FZ 152, компаниям разрешено доверять хранение и обработку данных с ограниченным доступом третьей стороне при условии, что центр обработки данных поставщика облачных услуг находится в России.

Персональные данные также могут быть переданы за границу - например, для обработки. Но сначала необходимо записать копию на сервере, который физически находится на территории России.

Как ваш партнер по защите данных в России, InCountry соблюдает Федеральный закон № 152 . Мы придерживаемся самых высоких стандартов в отрасли. Вот почему мы постоянно совершенствуем наши решения, опережая последние тенденции, встраивая безопасность в каждый уровень предложений и адаптируясь к последним стандартам соответствия.

Вы должны убедиться, что предоставляется надежная защищенная инфраструктура личных данных, а также правильно ли сама компания управляет данными и организует доступ к информации внутри организации.


При выборе облака выбирайте поставщиков, сертифицированных для хранения и защиты персональных данных граждан России в соответствии с российским законодательством о защите персональных данных (152-ФЗ), таких как InCountry. Пожалуйста, проверьте наши сертификаты и лицензии здесь.

Какие основные шаги необходимо предпринять иностранной компании для управления рисками, связанными с данными, и обеспечения соблюдения нормативных требований?

Чтобы управлять рисками, связанными с данными, и обеспечивать соблюдение нормативных требований и регулярное соблюдение конфиденциальности при ведении бизнеса в России, необходимо выполнить следующие действия.

  • определение общих бизнес-процессов, потоков данных и соответствующих категорий данных
  • назначение местного сотрудника по защите данных (DPO), который будет отвечать за процессы соответствия
  • принятие местных политик защиты данных и других необходимых документов по конфиденциальности
  • внедрение соответствующих меры безопасности в масштабах компании.
  • , обеспечивающий основные соглашения со всеми третьими сторонами и обработчиками данных.
  • «локализация» соответствующей базы данных или ИТ-системы на территории России является обязательной, если персональные данные российских физических лиц собираются в режиме онлайн.

Наконец, мы настоятельно рекомендуем проводить регулярные аудиты защиты данных, чтобы обеспечить постоянное соответствие конфиденциальности данных национальным требованиям и правилам защиты данных. Это поможет соответствовать требованиям при внесении поправок или обновлений в законы.

Каждый этап проекта защиты данных должен быть детально определен с самого начала. Он станет основой для эффективного обслуживания и развития данных в будущем.

Важно помнить, что согласованность обработки персональных данных должна быть четко определена для каждой компании - в рамках ее бизнес-процессов.

Любые изменения в таких процессах - например, в протоколах безопасности, системах доступа персонал ИТ-структуры должен отражать обновления соответствующих политик, ИТ-архитектуры и моделей рисков.

Штрафы за несоблюдение российского законодательства о конфиденциальности данных

Российская Федерация ввела строгие штрафы за несоблюдение требований защиты данных. Штраф за первое нарушение составляет от 33 000 до 100 000 долларов США, за повторное нарушение - от 100 000 до 300 000 долларов США.

С 2019 года Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) проводит регулярные проверки, чтобы убедиться, что компании соблюдают правила.

Следующие правила проведения расследований:

  • Операторы персональных данных получают уведомление за 3 дня о плановых проверках и за 24 часа о неожиданных проверках.
  • Плановая проверка не может длиться более 20 дней, а неожиданная - не более 10 дней.
  • Юридические лица и индивидуальные предприниматели не подлежат проверке в течение первых трех лет после юридической регистрации. Это дает вновь созданным компаниям время для создания процессов комплаенса и подготовки к расследованиям.
  • Частота проверки зависит от типов обрабатываемых данных и процедур обработки. Для большинства компаний проверки будут проводиться только раз в 3 года.
  • Компании, работающие с особыми категориями данных (например,г. биометрии), а операторы, передающие данные в зарубежные страны, могут ожидать расследования каждые 2 года.

Локализация и защита персональных данных в России - почему InCountry - ваш идеальный партнер

Узнайте, почему InCountry - ваш идеальный партнер для управления защитой и соблюдением требований данных в России.

InCountry:

  • Соответствие FZ-152
  • Соответствие HIPAA
  • Сертификат PCI DSS
  • Управление вашими данными осуществляется в соответствии с высочайшими стандартами безопасности и конфиденциальности.Мы используем отраслевые стандарты шифрования, чтобы обеспечить безопасность и конфиденциальность ваших данных на каждом этапе нашей деятельности.
  • Инфраструктура InCountry надежно управляет вашими регулируемыми данными в Российской Федерации с круглосуточной поддержкой клиентов.
  • Партнерство с InCountry - это самый быстрый способ соблюдать правила размещения данных и открывать новые территории, такие как Российская Федерация
  • Наши решения могут быть реализованы быстро и экономично, в зависимости от объема настройки и контроля, который вам нужен

По всем дополнительным вопросам обращайтесь к нам по адресу sales @ incountry.com

Последние изменения в регулировании персональных данных в России | Международная сеть юристов

[автор: Ольга Новинская]

Защита персональных данных (ПД) становится главной темой последних дней, поэтому российское законодательство в этой сфере стремительно меняется. В статье представлен обзор обновлений регулирования персональных данных за 3 квартал 2020 года.

ПОПЫТКИ ПРОТИВ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ

Российское агентство по охране здоровья и защите прав потребителей разработало поправки к Закону от 07.02.1992 № 2300-1 «О защите прав потребителей», воспрепятствование недобросовестному поведению хозяйствующих субъектов, собирающих ПД клиентов в целях, не связанных с заключением и исполнением договоров.

Законопроект запрещает отказ от заключения, изменения, расторжения или исполнения договора с покупателем, если он (она) отказывается предоставить персональные данные для продавца. Исключение из этого правила применяется в случаях, когда предоставление персональных данных предусмотрено законом или необходимо для совершения сделки.

Кроме того, проект предоставляет потребителям право требовать объяснения, если продавец отказывается завершить сделку из-за своего отказа в предоставлении персональных данных.

Принятие закона может повлиять на практику использования ПДн хозяйствующими субъектами, взаимодействующими с российскими клиентами. В частности, продавец должен точно указать данные, необходимые для заключения контракта, и быть готовым дать мотивированные объяснения покупателям.

Информируем, что упомянутая ранее новая редакция Кодекса об административных правонарушениях дополняет этот законопроект штрафами для хозяйствующих субъектов, которые обрабатывают персональные данные избыточно.Вы можете найти наш обзор здесь.

Законопроект «О внесении изменений в статью 16 Закона Российской Федерации« О защите прав потребителей »(подготовлен Российским агентством по здравоохранению и правам потребителей, ID проекта 02.04.09-20.00108592)

КОЛИЧЕСТВО СОГЛАСИЙ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ МОЖЕТ БЫТЬ УМЕНЬШЕНО

Госдума рассматривает в первом чтении законопроект, который вводит возможность получения согласия на обработку персональных данных сразу для нескольких целей или несколькими лицами, обрабатывающими данные от имени оператора.

Авторы законопроекта убеждены, что предлагаемые изменения уменьшат количество письменных согласий, предоставляемых отдельными лицами, и могут оптимизировать цифровое взаимодействие в различных областях.

Для каждой цели обработки данных необходимо указать следующую информацию:

  • Перечень персональных данных;
  • Лицо, которое будет обрабатывать персональные данные от имени оператора;
  • Описание методов обработки;
  • Срок действия согласия;
  • Способ отзыва согласия.

Законопроект также пытается решить проблему анонимности персональных данных. Предлагается поручить Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) определить требования к анонимности и ее способам.

Имеется приказ Роскомнадзора от 05.09.2013 № 996 об обезличивании персональных данных, который распространяется на операторов, являющихся государственными или муниципальными органами. Отметим, что, согласно комментариям должностных лиц Роскомнадзора, частные лица не вправе анонимизировать персональные данные.Практическое значение состоит в том, что оператор обязан уничтожить персональные данные в случаях, когда цель обработки достигнута.

Законопроект № 992331-7 «О внесении изменений в Федеральный закон« О персональных данных »»

ШТРАФЫ ЗА РАСКРЫТИЕ ЧУВСТВИТЕЛЬНОЙ ИНФОРМАЦИИ МОГУТ БЫТЬ УВЕЛИЧЕНЫ В 10 РАЗ

Законопроект, предусматривающий усиление наказания за разглашение информации с ограниченным доступом, находится на стадии первого чтения в Государственной Думе РФ.Информация с ограниченным доступом включает личные данные.

Действующая редакция статьи 13.14 Кодекса Российской Федерации об административных правонарушениях предусматривает штрафы до 1000 рублей (около 13 долларов США) для физических лиц и до 5000 рублей (около 65 долларов США) для должностных лиц, если они получили доступ к информации ограниченного доступа. в связи с исполнением служебных или профессиональных обязанностей. Как отметили разработчики закона, такие штрафы незначительны и не достигают цели предотвращения нарушений безопасности данных.

В связи с этим предложенные резервы значительно увеличили размер штрафов:

  • До 10 000 руб. (Ок.129 USD) для физических лиц,
  • До 50 000 рублей (примерно 646 долларов США) для должностных лиц.

Следует отметить, что работа над новой редакцией Кодекса об административных правонарушениях все еще продолжается. В законопроекте устанавливаются новые виды нарушений безопасности данных, в том числе нарушение конфиденциальности ПД, нарушение правил анонимности ПД и т. Д. Об этом проекте мы уже писали ранее.

Законопроект № 1023005-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях »

ВЕРХОВНЫЙ СУД РАЗЪЯСНИЛ ЮРИСДИКЦИОННЫЕ ПРАВИЛА В ОТНОШЕНИИ ПРЕТЕНЗИЙ О ЗАЩИТЕ ПД

14 июля 2020 года Верховный Суд Российской Федерации рассмотрел дело, возбужденное Роскомнадзором в интересах гражданина России.Компания Whois Privacy Corp. (Багамские острова) разместила на своем сайте персональные данные гражданина России без его согласия.

Суд первой и апелляционной инстанций пришел к выводу, что заявленные иски связаны с регулированием Интернет-ресурса как средства массовой информации и подлежат рассмотрению в административном порядке.

Верховный суд не согласился с таким решением и заявил, что иски о защите персональных данных должны решаться в порядке гражданского судопроизводства с учетом ссылки в Гражданском процессуальном кодексе Российской Федерации.Кроме того, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных) позволяет Роскомнадзору предъявлять иски и представлять интересы физических лиц в суде.

Несмотря на то, что Закон о персональных данных не содержит четких положений, касающихся его территориального охвата, толкование Верховного суда демонстрирует экстерриториальный принцип в отношении сферы действия Закона о персональных данных. Иностранным компаниям следует учитывать вопросы юрисдикции при обработке персональных данных граждан России.

Определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 14 июля 2020 г. № 58-KG20-2

Защита данных 2021 | Законы и правила | Россия

1.

Соответствующее законодательство и компетентные органы

1.1 Каков основной закон о защите данных?

Федеральный закон от 29.07.2012 г.152-ФЗ «О персональных данных» от 27 июля 2006 г. (Закон о ПД) является основным законом, регулирующим защиту данных в России. Он был принят в 2005 году после ратификации Конвенции Совета Европы о защите частных лиц в отношении автоматической обработки персональных данных (Страсбургская конвенция).

Закон о ПД основан на международных документах о конфиденциальности и защите данных в определенных аспектах; в нем используются концепции, аналогичные концепции, содержащейся в Общем регламенте защиты данных (GDPR) (действует в ЕС с 25 мая 2018 г.).

1.2 Есть ли какие-либо другие общие законы, влияющие на защиту данных?

В целом Конституция России признает фундаментальное право на неприкосновенность частной жизни каждого отдельного человека (статьи 23 и 24).

В частности, основное национальное законодательство о конфиденциальности и защите данных содержится также в Федеральном законе № 149-ФЗ «Об информации, информационных технологиях и защите данных» (2006 г.) (Закон о защите данных).

Наконец, Страсбургская конвенция, ратифицированная Россией в 2005 году, защищает и обеспечивает защиту данных на международном уровне.

В российском законодательстве о защите данных особое внимание уделяется техническим мерам защиты данных. Многочисленные юридические и технические требования изложены в нормативных актах, издаваемых правительством России и специализированными государственными органами в сфере защиты данных.

1.3 Существует ли какое-либо отраслевое законодательство, влияющее на защиту данных?

Конкретные положения о защите данных можно найти в других законах, включая главу 14 Трудового кодекса Российской Федерации (2001 г.), статью 85.1 Воздушного кодекса Российской Федерации (1997 г.), Федерального закона № 395-1 «О банках и банковской деятельности» (1990 г.), Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (2011 г.), Федеральный закон №38-ФЗ «О рекламе» (2006 г.), Кодекс Российской Федерации об административных правонарушениях (2001 г.) и др.

1.4 Какие органы отвечают за защиту данных?

Основным местным органом регулирования защиты данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (, Роскомнадзор, ).

К специализированным государственным органам в сфере защиты данных также относятся Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСС).

2.

Определения

2.1 Просьба представить ключевые определения, используемые в соответствующем законодательстве:

■ « Личные данные »

Персональные данные - это любая информация, относящаяся прямо или косвенно к идентифицированному или идентифицируемому физическому лицу (субъекту персональных данных).

■ « Обработка »

Обработка определяется как любое действие (операция) или набор действий (операций) в отношении персональных данных, выполняемых как автоматически, так и вручную, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), анонимизация, блокировка, удаление или уничтожение личных данных.

■ «Контроллер »

Российское законодательство не содержит понятия и термина «контролер».В российском Законе о ПД упоминается понятие «оператор данных», которым может быть государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и / или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных и которое также определяет цели обработки персональных данных, содержание персональных данных и действия (операции), связанные с персональными данными.

■ « Процессор »

Российское законодательство не содержит понятия или термина «переработчик»; тем не менее, это относится к концепции «оператора данных», к стороне, которая может действовать (обрабатывать персональные данные) с согласия субъекта данных, с разрешения оператора данных на основании соответствующего соглашения или на основании операции. специального государственного или муниципального закона.

■ « Субъект данных »

Субъект данных определяется как конкретное или идентифицируемое физическое лицо (физическое лицо).

■ « Конфиденциальные личные данные »

Вместо термина «конфиденциальные персональные данные» в Законе о ПД используется термин «особые категории персональных данных», который относится к любой информации, относящейся к расовому или этническому происхождению, национальности, политическим взглядам, религиозным или философским убеждениям, государственным здоровье или сексуальная жизнь.

■ « Data Breach »

Российское законодательство не определяет термин «утечка данных». Однако обработка данных в нарушение принципов и обязательств, предусмотренных Законом о ПД, может быть квалифицирована как нарушение данных.

Другие ключевые определения - укажите (например, «Псевдонимные данные», «Прямые персональные данные», «Косвенные персональные данные»)

  • «Биометрическая информация о персональных данных» - это отдельный вид информации, относящейся к физиологическим и биологическим характеристикам человека, по которым его можно идентифицировать и которая используется оператором для установления личности субъекта персональных данных (статья 11 Закон о ПД).
  • «Трансграничная передача персональных данных» означает любую передачу персональных данных иностранному государству, иностранному государственному агентству и / или иностранному физическому или юридическому лицу.

3.

Территориальный охват

3.1 Распространяются ли законы о защите данных на предприятия, учрежденные в других юрисдикциях? Если да, то при каких обстоятельствах бизнес, учрежденный в другой юрисдикции, будет подпадать под действие этих законов?

Как указано в п.1 статьи 12 Закона о ПД, трансграничная передача персональных данных на территории иностранных государств, которые являются участниками Совета Страсбургской конвенции, а также других иностранных государств, обеспечивающих надлежащую защиту прав субъектов данных, должна осуществляться в соответствии с Законом о ПД и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, общественной нравственности и здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. . Роскомнадзор утверждает список иностранных государств, не являющихся участниками Совета Страсбургской конвенции и обеспечивающих адекватную защиту прав субъектов данных.

Оператор должен получить разрешение своих клиентов на передачу их персональных данных третьим лицам и за границу.

Кроме того, согласно п. 5 статьи 18 Закона о ПД, при сборе персональных данных, в том числе через Интернет, оператор (как российский, так и иностранный) должен регистрировать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять) или извлекать персональные данные российских граждане с использованием любых баз данных, расположенных на территории Российской Федерации, за исключением обработки данных в государственных целях или в средствах массовой информации.При этом оператору не нужно удалять аналогичные данные из каких-либо зарубежных баз данных, содержащих данные о гражданах России.

4.

Основные принципы

4.1 Каковы основные принципы обработки персональных данных?

■ Прозрачная пленка

Субъект персональных данных решает, предоставлять ли свои персональные данные для обработки.Он имеет право знать цели и методы обработки персональных данных, имя и местонахождение оператора данных, получателей персональных данных, лиц, имеющих доступ к персональным данным, срок обработки и хранения персональных данных. данные и любая другая информация, необходимая для обеспечения прозрачной обработки персональных данных. Таким образом, субъект персональных данных дает согласие оператору данных. Такое согласие на обработку персональных данных должно быть конкретным, информированным и осознанным.Обязанность предоставить доказательства получения согласия субъекта персональных данных возлагается на оператора.

■ Законное основание для обработки

Персональные данные обрабатываются на законной и справедливой основе. В частности, обработка персональных данных должна производиться с согласия субъекта данных (если не применяются определенные юридические исключения), которое предоставляется свободно, по собственной воле субъекта данных и в его собственных интересах; Оператор данных или другое лицо (а), получившее доступ к персональным данным, не должны раскрывать или распространять такие персональные данные третьим лицам без согласия субъекта данных, если иное не предусмотрено законом.

■ Ограничение по назначению

Обработка персональных данных должна быть ограничена достижением целей (целей), которые должны быть конкретными, заранее определенными и законными. Обработка, не соответствующая целям такой обработки, запрещена.

■ Минимизация данных

Объем и содержание обрабатываемых персональных данных должны полностью соответствовать предполагаемым целям такой обработки данных. Обрабатываемые персональные данные не должны быть чрезмерными или не соответствовать заявленным целям обработки данных.

■ Пропорциональность

Обработка персональных данных должна гарантировать, что такие персональные данные являются точными, достаточными, адекватными и актуальными и, при необходимости, обновляются пропорционально целям обработки данных. Оператор данных должен принять все необходимые меры или обеспечить выполнение мер, связанных с удалением или исправлением неполных или неточных личных данных.

■ Удержание

Персональные данные, которые обрабатываются, подлежат уничтожению или обезличиванию по достижении цели обработки данных, а также в случае, если достижение таких целей перестает быть эффективным, актуальным или необходимым, если иное не предусмотрено федеральным законом.

■ Прочие ключевые принципы - просьба указать

Любая интеграция баз данных, содержащих персональные данные, обрабатываемые в противоречивых целях, не допускается.

5.

Индивидуальные права

5.1 Каковы основные права физических лиц в отношении обработки их личных данных?

■ Право доступа к данным / копиям данных

В соответствии с п.1 статьи 14 Закона о ПД, физическое лицо имеет право доступа к своим данным, обрабатываемым оператором данных, включая информацию, содержащую: (1) подтверждение того, что его / ее персональные данные обрабатываются оператором данных; (2) правовые основания и цели обработки персональных данных; (3) цели и методы, используемые оператором данных для обработки персональных данных; (4) имя и местонахождение оператора данных и информация о лицах, которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты на основании соглашения с оператором данных или в соответствии с законом; (5) обработанные персональные данные, относящиеся к соответствующему субъекту персональных данных и источнику, из которого они были получены; (6) срок обработки персональных данных, в том числе срок хранения; (7) порядок реализации субъектом персональных данных прав, предусмотренных Законом о ПД; (8) информация о любой фактической или предполагаемой трансграничной передаче персональных данных; (9) имя (фамилия, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если применимо; и (10) любую другую информацию, предусмотренную Законом о ПД.

■ Право на исправление ошибок

Субъект персональных данных может потребовать от оператора данных исправить, заблокировать или удалить его / ее персональные данные, если они являются неполными, нерелевантными, неточными или незаконно полученными или не нужны для заявленной цели их обработки.

■ Право на удаление / право на забвение

Российское законодательство закрепляет право на забвение, обеспечивая досудебный механизм, ограничивающий распространение ссылок на веб-сайты, содержащие ложную, устаревшую или распространяемую с нарушением законодательства информацию о физических лицах (п.1 статьи 10.3 Закона о защите данных). Физическое лицо имеет право потребовать, отправив соответствующее приложение, чтобы оператор поисковой системы в Интернете прекратил предоставлять ссылки, позволяющие получить доступ к информации об этом человеке. В то же время этот механизм не ограничивает доступ к самим ресурсам, которые фактически распространяют информацию. Если физическое лицо не удовлетворено результатом досудебного урегулирования, он / она имеет право обратиться в суд с исковым заявлением об ограничении выдачи ссылок на веб-сайты, содержащие информацию о человеке.

■ Право на возражение против обработки

По запросу субъекта данных, в том числе в случаях отзыва субъектом персональных данных своего согласия на обработку персональных данных, оператор данных обязан немедленно прекратить обработку своих персональных данных. За исключением случаев, когда обработка персональных данных не может быть прекращена или может привести к нарушению закона (например, трудового законодательства), оператор данных должен прекратить обработку данных или принять меры для ее прекращения.

■ Право на ограничение обработки

В российском законодательстве нет четкого разграничения между правом на ограничение и правом на возражение, как это предусмотрено в GDPR.

■ Право на переносимость данных

Субъект персональных данных имеет право доступа к своим персональным данным. Информация должна быть предоставлена ​​в доступной форме. Закон не запрещает передачу персональных данных другим операторам.

■ Право на отзыв согласия

В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных оператор данных должен прекратить обработку персональных данных или принять меры для ее прекращения и, если персональные данные больше не нужны, хранятся для установленных целей их обработки, уничтожить персональные данные или организовать их уничтожение в течение периода, не превышающего 30 дней с даты получения отзыва, если иное не предусмотрено договором (пункты 5 и 6 статьи 12 Закона о ПД).

■ Право на возражение против маркетинга

Обработка персональных данных для маркетинга / продвижения товаров, работ и услуг непосредственно потенциальным потребителям (по телефону, электронной почте или факсу) допускается только с предварительного согласия субъекта персональных данных. Бремя доказательства того, что согласие субъекта данных было получено должным образом, лежит на операторе данных. Федеральный закон о рекламе также запрещает электронные публикации и массовую рассылку без предварительного согласия адресата.Лицо вправе в любой момент отозвать согласие. По запросу субъекта персональных данных оператор данных должен немедленно прекратить обработку своих персональных данных.

■ Право на подачу жалобы в соответствующие органы по защите данных

Если субъект персональных данных считает, что оператор данных обрабатывает его персональные данные с нарушением законодательства о защите данных или иным образом ущемляющим его права и свободы, субъект персональных данных имеет право подать жалобу на действия или бездействие оператора данных в Роскомнадзор или подать гражданский иск в компетентный суд.Субъект данных может прибегать к различным средствам правовой защиты, включая возмещение убытков, в соответствии с законодательством.

■ Другие ключевые права - укажите

Закон запрещает принимать какие-либо юридически значимые решения в отношении субъекта персональных данных исключительно на основе автоматизированной обработки данных. Исключением из этого правила являются случаи, когда субъект персональных данных дал свое письменное согласие или в случаях, предусмотренных федеральными законами, также устанавливающих меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.Оператор данных обязан разъяснить субъекту персональных данных порядок принятия решения на основе исключительно автоматизированной обработки данных и возможные правовые последствия такого решения.

6.

Регистрационные формальности и предварительное одобрение

6.1 Есть ли у предприятий юридическое обязательство регистрироваться или уведомлять орган по защите данных (или любой другой правительственный орган) в отношении своей деятельности по обработке?

Оператор данных должен уведомить Роскомнадзор до начала обработки любых персональных данных, а данные оператора данных должны быть внесены в публичный реестр операторов персональных данных ((Гиперссылка) Уведомление может быть отправлено в электронном или бумажном виде. Уведомление не требуется в определенных случаях: когда обработка осуществляется исключительно в соответствии с трудовым законодательством; если обрабатываются только полные имена субъектов; когда обрабатываются общедоступные или общедоступные персональные данные; или когда обработка персональных данных осуществляется для в целях предоставления субъекту персональных данных разового пропуска в охраняемые помещения.

6.2 Если требуется такая регистрация / уведомление, должно ли оно быть конкретным (например, перечислять все действия по обработке, категории данных и т. Д.) Или может быть общим (например, с подробным описанием соответствующих действий по обработке)?

Уведомление Роскомнадзора должно быть конкретным и подписываться уполномоченным лицом заявителя.

6.3 На каком основании производятся регистрации / уведомления (например,g., на юридическое лицо, на цель обработки, на категорию данных, на систему или базу данных)?

Уведомление должно быть сделано для каждой цели обработки.

6.4 Кто должен регистрироваться / уведомлять орган по защите данных (например, местные юридические лица, иностранные юридические лица, подпадающие под действие соответствующего законодательства о защите данных, представительства или филиалы иностранных юридических лиц, подпадающие под действие соответствующего законодательства о защите данных)?

Местные юридические лица, иностранные юридические лица или их представительства в соответствии с действующим законодательством о защите данных должны уведомить об этом орган по защите данных.

6.5 Какая информация должна быть включена в регистрацию / уведомление (например, сведения об уведомляющей организации, затронутых категориях лиц, затронутых категориях личных данных, целях обработки)?

В уведомлении Роскомнадзора необходимо указать: наименование и адрес оператора данных; имя и контактные данные ответственного за защиту данных; цель обработки персональных данных; категории данных, подлежащих обработке; категории потенциальных субъектов данных, данные которых обрабатываются; источник данных; перерабатывающая деятельность; правовая основа обработки персональных данных; перечень действий, выполняемых в связи с обработкой персональных данных, и описание способов обработки персональных данных; описание ИТ-систем и мер безопасности; дата начала обработки данных; срок обработки или условие прекращения обработки персональных данных; местонахождение персональных баз данных; и намерение передать данные за границу.

6.6 Каковы санкции за отсутствие регистрации / уведомления в случае необходимости?

Кодекс Российской Федерации об административных правонарушениях предусматривает ответственность за непредоставление или несвоевременное представление в Роскомнадзора уведомления о деятельности по обработке данных (статья 19.7) со штрафом от 3000 до 5000 рублей для юридических лиц и от 300 до 500 рублей для их должностных лиц. .

6.7 Какова плата за регистрацию / уведомление (если применимо)?

Нет никакой платы за регистрацию или уведомление.

6.8 Как часто необходимо обновлять регистрации / уведомления (если применимо)?

Нет никаких обязательств по регулярному обновлению информации; однако оператор данных должен уведомить Роскомнадзор о любых изменениях информации, представленной в реестр, в течение 10 рабочих дней с даты возникновения таких изменений.

6.9 Требуется ли предварительное одобрение регулирующего органа по защите данных?

Для выполнения операций по обработке данных не требуется предварительного разрешения регулирующего органа по защите данных.

6.10 Можно ли заполнить регистрацию / уведомление онлайн?

Уведомление можно заполнить в режиме онлайн на официальном сайте Роскомнадзора .

6.11 Есть ли общедоступный список выполненных регистраций / уведомлений?

Реестр операторов находится в открытом доступе на официальном сайте Роскомнадзора .

6.12 Сколько времени занимает типичный процесс регистрации / уведомления?

Роскомнадзор в течение 30 дней с даты подачи уведомления вносит данные заявителя в реестр операторов.

7.

Назначение сотрудника по защите данных

7.1 Является ли назначение сотрудника по защите данных обязательным или необязательным? Если назначение сотрудника по защите данных является обязательным только при определенных обстоятельствах, укажите эти обстоятельства.

Согласно российскому законодательству оператор данных, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных (ст. 22.1 Закона о ПД), который в смысле выполняемой функции является сотрудником по защите данных.

7.2 Каковы санкции за неспособность назначить сотрудника по защите данных, когда это необходимо?

Нет никаких конкретных санкций за отказ назначить сотрудника по защите данных. В то же время Роскомнадзор имеет право проводить проверки применения операторами Закона о ПД. В случае нарушения законодательства Роскомнадзор имеет право издавать обязательные для исполнения приказы для устранения нарушения, а также может применять соответствующие штрафы.

7.3 Защищен ли сотрудник по защите данных от дисциплинарных мер или других последствий при приеме на работу в связи с его или ее ролью в качестве сотрудника по защите данных?

Сотрудник по защите данных не исключен и не защищен от дисциплинарных мер или других последствий при приеме на работу в отношении его / ее функций в качестве сотрудника по защите данных.

7.4 Может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций?

Да; один сотрудник по защите данных может быть назначен для охвата нескольких организаций.

7.5 Опишите, пожалуйста, любую конкретную квалификацию сотрудника по защите данных, требуемую законом.

Российское законодательство не устанавливает каких-либо конкретных требований к сотруднику по защите данных. Однако сотрудник по защите данных должен хорошо разбираться в законодательстве о защите данных.

7.6 Каковы обязанности сотрудника по защите данных в соответствии с требованиями законодательства или передовой практики?

Сотрудник по защите данных обязан, в частности, осуществлять внутренний контроль за соблюдением оператором данных и его сотрудниками законодательства о защите данных, информировать сотрудников оператора данных о соответствующих положениях законодательства о защите данных, подзаконные акты, местные правила или акты по обработке персональных данных и любые требования по защите данных, а также для организации приема и обработки запросов субъектов данных или их представителей и для осуществления необходимого контроля над их обработкой.Другие функции и обязанности могут быть предусмотрены внутренними корпоративными или корпоративными правилами или актами оператора данных.

7.7 Должно ли быть зарегистрировано / уведомлено о назначении сотрудника по защите данных в соответствующие органы по защите данных?

Уполномоченный по защите данных должен быть указан в уведомлении Роскомнадзора и внесен в реестр операторов данных.

7.8 Должен ли сотрудник по защите данных быть указан в общедоступном уведомлении о конфиденциальности или аналогичном документе?

Нет, в этом нет необходимости, за исключением требования, которое должно быть указано в уведомлении Роскомнадзор .

8.

Назначение обработчиков

8.1. Если компания назначает обработчика для обработки персональных данных от своего имени, должна ли компания заключать какие-либо соглашения с этим процессором?

Оператор данных имеет право поручить обработку персональных данных другому лицу, которое может выполнять обработку персональных данных от имени и в соответствии с инструкциями оператора данных (третьих лиц, действующих по указанию оператора данных).Оператор данных и третье лицо, действующее по поручению оператора данных для выполнения обработки персональных данных, заключают договор об этом.

8.2 Если необходимо заключить соглашение, каковы формальности этого соглашения (например, в письменной форме, с подписью и т. Д.) И какие вопросы оно должно решать (например, обработка личных данных только в соответствии с соответствующими инструкциями, обеспечение безопасности личных данных и т. д.)?

Договор заключается в письменной форме и подписывается уполномоченными лицами сторон.В таком соглашении указывается перечень действий, которые необходимо выполнить при обработке персональных данных лицом, осуществляющим обработку, и цели обработки. Он также устанавливает обязанность лица, осуществляющего обработку данных, соблюдать принципы безопасности и конфиденциальности персональных данных, а также ответственность за их несоблюдение.

9.

Маркетинг

9.1 Опишите любые законодательные ограничения на отправку электронного прямого маркетинга (например, для маркетинга по электронной почте или SMS, требуется ли предварительное согласие получателя?).

Обработка персональных данных с целью маркетинга / продвижения товаров, работ и услуг напрямую с потенциальным потребителем (отправка по телефону, электронной почте или SMS) без предварительного согласия субъекта персональных данных или адресата рекламы, является несанкционированным и, следовательно, не разрешенным.Бремя доказательства того, что предварительное согласие субъекта персональных данных или адресата было получено должным образом, лежит на операторе данных. Согласие субъекта данных или адресата также может быть отозвано, и в этом случае оператор данных или распространитель рекламы должны немедленно прекратить любые маркетинговые коммуникации, чтобы избежать нарушения.

9.2 Применимы ли эти ограничения только к маркетингу «бизнес-потребитель» или они также применяются в контексте «бизнес-бизнес»?

Ограничения Закона о ПД распространяются только на маркетинг «бизнес-потребитель».Ограничения Федерального закона о рекламе (массовая рассылка) могут применяться также к маркетингу / продвижению между предприятиями.

9.3 Опишите любые законодательные ограничения на рассылку маркетинговых материалов другими способами (например, для маркетинга по телефону необходимо заранее проверить национальный реестр отказа; для маркетинга по почте нет требований о согласии или отказе от рассылки. , так далее.).

Любое распространение рекламы через сети электронной связи, включая телефонную, факсимильную и мобильную телефонную связь, допустимо только в том случае, если адресат дал свое согласие на получение такой рекламы.Распространитель рекламы должен немедленно прекратить распространение рекламы лицу, обратившемуся с просьбой об этом. Запрещается торговать с использованием автоматического дозвона или автоматической рассылки (статья 18 Федерального закона «О рекламе»).

9.4 Распространяются ли указанные выше ограничения на маркетинговые материалы, отправленные из других юрисдикций?

Вышеупомянутое правило является общим и применяется без исключений к иностранным организациям.

9.5 Активны ли соответствующие органы по защите данных в обеспечении нарушений маркетинговых ограничений?

Федеральная антимонопольная служба - уполномоченный федеральный орган исполнительной власти, осуществляющий функции в отношении рекламы. В соответствии с Законом о защите прав потребителей (1992 г.) Федеральная служба по защите прав потребителей и благополучия человека (также известная как « Роспотребнадзор, ») также должна защищать потребителей от намеренно навязываемых услуг, отправляемых в электронном виде.

9.6 Законно ли покупать маркетинговые списки у третьих лиц? Если да, то есть ли какие-либо рекомендации по использованию таких списков?

Как правило, физические лица должны дать предварительное письменное согласие на внесение своего имени и других данных в маркетинговый список покупок или потребовать их удаления. Бремя доказательства того, что предварительное согласие адресата рекламы было получено должным образом, лежит на юридическом или физическом лице, которое приобрело маркетинговые списки, содержащие персональные данные, у третьих лиц.

9.7 Каковы максимальные штрафы за отправку маркетинговых сообщений в нарушение действующих ограничений?

Штраф за электронный маркетинг / продвижение товаров, работ или услуг в нарушение соответствующего законодательства о защите прав потребителей, в частности, без предварительного согласия адресата, может привести к административному штрафу до 500000 рублей для юридических лиц и до 20 000 рублей для своих должностных лиц (ст. 14.3 КоАП).

10.

Файлы cookie

10.1 Опишите любые законодательные ограничения на использование файлов cookie (или аналогичных технологий).

Российское законодательство не содержит определения файлов cookie или каких-либо конкретных положений в отношении файлов cookie. Нет официальных инструкций от Роскомнадзора или другого государственного органа по использованию или распространению файлов cookie, за исключением краткой ссылки в Профессиональных стандартах Министерства труда для ИТ-специалистов в отношении объема знаний и использования файлов cookie.Если файлы cookie или аналогичные технологии используются оператором данных для аутентификации пользователя, хранения его / ее учетной записи, личных предпочтений и настроек или отслеживания статуса сеанса доступа клиента в маркетинговых целях, все эти виды использования могут быть квалифицированы как обработка персональных данных для целей маркетинга / продвижения товаров, работ или услуг, для чего требуется предварительное согласие клиента (статья 15 Закона о ПД).

10.2 Различают ли применимые ограничения (если есть) разные типы файлов cookie? Если да, то каковы соответствующие факторы?

Нет ограничений, которые различают разные типы файлов cookie; релевантным фактором является возможность идентификации пользователя.

10.3 Были ли / приняты ли на сегодняшний день соответствующими органами по защите данных какие-либо принудительные меры в отношении файлов cookie?

В настоящее время развивается практика, когда Роскомнадзор возбуждает исполнительные действия в российских судах, в том числе в отношении файлов cookie.

10.4 Каковы максимальные штрафы за нарушение действующих ограничений файлов cookie?

Поскольку файлы cookie считаются маркетинговыми коммуникациями, любое нарушение соответствующих правил защиты данных и рекламы или телекоммуникаций влечет за собой административные санкции, применимые к нарушениям личных данных.

11.

Ограничения на международную передачу данных

11.1 Опишите любые ограничения на передачу персональных данных в другие юрисдикции.

Закон о ПД предусматривает требование о локальном хранилище, которое применяется к любому оператору данных, который обрабатывает персональные данные российских граждан, независимо от его юрисдикции, включая его деловую активность в Интернете.Таким образом, при сборе персональных данных, в том числе через Интернет, оператор должен записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять) или извлекать персональные данные граждан Российской Федерации с использованием любых баз данных, физически расположенных на территории Российской Федерации. , за исключением: обработки данных для достижения целей международных договоров или выполнения установленных законом полномочий и обязанностей оператора; для государственных нужд; за профессиональную деятельность журналистов или законную деятельность СМИ; или научная, литературная или другая творческая деятельность, которая может осуществляться непосредственно в зарубежных базах данных (статья 18 (5) Закона о ПД).

В случае трансграничной передачи персональных данных оператор данных перед такой передачей должен обеспечить полную защиту прав и интересов соответствующего субъекта данных «надлежащим образом» в соответствующем зарубежном государстве (ст. 12 Закона о ПД). Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных. Кроме того, Роскомнадзор утвердил официальный список стран, не подписавших Страсбургскую конвенцию, но обеспечивающих «адекватную защиту» для целей трансграничной передачи персональных данных.Международная передача данных в любую юрисдикцию с уровнем «адекватной защиты» не подлежит никаким ограничениям при условии, что оператором данных было получено предварительное согласие соответствующего субъекта данных. Кроме того, Закон о ПД устанавливает особые требования к трансграничной передаче персональных данных в страны, которые не обеспечивают уровень «адекватной защиты».

11.2 Опишите механизмы, которые предприятия обычно используют для передачи персональных данных за границу в соответствии с применимыми ограничениями на передачу (например,g., согласие субъекта данных, выполнение договора с субъектом данных, утвержденные договорные положения, соблюдение юридических обязательств и т. д.).

На практике перед передачей персональных данных за границу оператор данных должен сначала проверить уровень защиты данных в соответствующей иностранной юрисдикции. Кроме того, для передачи персональных данных в другие юрисдикции требуется предварительное письменное согласие соответствующих субъектов данных. Оператор данных может также заключить с субъектом персональных данных договор о международной передаче данных.

11.3 Требуется ли для передачи персональных данных в другие юрисдикции регистрации / уведомления или предварительного разрешения соответствующих органов по защите данных? Пожалуйста, опишите, какие типы переводов требуют одобрения или уведомления, что включают в себя эти шаги и сколько времени они обычно занимают.

Трансграничная передача персональных данных не требует регистрации или предварительного согласования со стороны Роскомнадзора . Однако уведомление Роскомнадзора для целей регистрации статуса оператора данных должно содержать информацию о том, произойдет ли трансграничная передача персональных данных в процессе их обработки.

11.4 Какие указания (если таковые имеются) изданы / имеют органы по защите данных после решения Суда ЕС по делу Schrems II (Дело C ‑ 311/18)?

Нет таких указаний Российского органа по защите данных.

11.5 Какие указания (если таковые имеются) изданы / имеют органы по защите данных в отношении пересмотренных Стандартных договорных положений Европейской комиссии?

Нет таких указаний Российского органа по защите данных.

12.

Горячие линии для информаторов

12.1 Каков допустимый объем корпоративных горячих линий для информаторов (например, ограничения по типам вопросов, о которых можно сообщать, лицам, которые могут подавать отчет, лицам, которых может касаться сообщение, и т. Д.)?

Российское законодательство не содержит каких-либо конкретных положений о горячих линиях для информаторов.Более того, Роскомнадзор не содержит обязательных инструкций по этому поводу. Применяются общие требования законодательства о персональных данных. В соответствии с внутренними корпоративными правилами или политикой работодателя как оператора данных, сотрудников также могут обязать «доносить до свистка».

12.2 Запрещено ли анонимное сообщение, категорически не рекомендуется или вообще разрешено? Если это запрещено или не рекомендуется, как предприятия обычно решают эту проблему?

Анонимное сообщение не запрещено и строго не рекомендуется в соответствии с действующим законодательством.Обычно операторы данных решают эту проблему в своих внутренних корпоративных правилах или политиках.

13.

CCTV

13.1 Требуется ли для использования видеонаблюдения отдельная регистрация / уведомление или предварительное разрешение соответствующих органов по защите данных и / или любая конкретная форма публичного уведомления (например,г., знак повышенной видимости)?

CCTV не требует отдельного уведомления / регистрации или предварительного разрешения от Роскомнадзора . При определенных обстоятельствах незаконный оборот или использование специальных технических средств, предназначенных для тайного получения информации, может стать основанием для привлечения к уголовной ответственности (ст. 138.1 УК РФ). Однако такое специальное техническое оборудование не включает элементы с функциями аудио-, видео- или фото- и / или геолокации для бытовых целей, которые имеют элементы управления, индикации и / или любые отметки, открыто указывающие их цель, функцию и / или режим работы.

13.2 Существуют ли ограничения на цели использования данных видеонаблюдения?

Конституция Российской Федерации гарантирует право на неприкосновенность частной жизни, а также на личную и семейную тайну. Таким образом, следует оценивать, было ли нарушено это право в каждом конкретном случае.

14.

Мониторинг сотрудников

14.1 Какие виды мониторинга сотрудников разрешены (если они есть) и при каких обстоятельствах?

На практике различные типы мониторинга сотрудников могут быть разрешены внутренними корпоративными правилами и политиками работодателей, включая видеонаблюдение, просмотр электронной почты / Интернета, мониторинг социальных сетей и прослушивание звука, а также иногда GPS-слежение. Однако при любом таком мониторинге работодатель (оператор данных) должен соблюдать конституционные права граждан и требования защиты данных (п.1 статьи 24 Конституции РФ). Работодатель может применять любой вид мониторинга сотрудников при условии, что это предусмотрено трудовым договором или регулируется внутренними корпоративными правилами или политиками, сотрудники знакомы с ними до подачи заявления и сотрудники дали свое согласие на такое наблюдение. Любой мониторинг сотрудников должен применяться разумно, и следует избегать любого раскрытия видеоконтента третьим лицам.

14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или отправляют уведомление.

Для проведения законного мониторинга сотрудников требуется предварительное письменное согласие сотрудника. На практике письменное согласие всех сотрудников получается во время заключения трудового договора или является частью коллективного трудового договора. Все сотрудники должны быть должным образом ознакомлены с внутренними корпоративными правилами и политиками в отношении мер контроля за сотрудниками. Также должны соблюдаться законодательные положения, касающиеся обработки личных данных сотрудников.В частности, такая обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности сотрудников, оказания помощи сотрудникам в трудоустройстве, контроля количества и качества выполняемой работы и обеспечения безопасности. имущества и др. (статья 86 ТК РФ). Для этих конкретных целей дополнительное согласие не требуется. Письменное согласие работника требуется и должно быть получено работодателем заранее, если личные данные должны быть переданы работодателем третьим лицам.

14.3 В какой степени производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы?

Нет никаких особых требований, согласно которым производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы по этому поводу.

15.

Безопасность данных и утечка данных

15.1 Есть ли общее обязательство по обеспечению безопасности личных данных? Если да, то какие объекты отвечают за обеспечение безопасности данных (например, контроллеры, процессоры и т. Д.)?

Оператор данных или иное лицо (лица), получившие доступ к персональным данным, обязаны воздерживаться от их раскрытия третьим лицам или распространения этих персональных данных без предварительного письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами. .

15.2 Существует ли требование закона сообщать об утечках данных в соответствующие органы по защите данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

Как правило, нет никаких юридических требований сообщать об утечке данных в орган по защите данных. Роскомнадзор рассматривает добровольно предъявленные субъектом персональных данных претензии в отношении совместимости содержания персональных данных, наличия или отсутствия согласия субъекта персональных данных, способов обработки персональных данных и его соответствия заявленным целям, для которых они обрабатываются. Роскомнадзор принимает соответствующее решение, и в случае выявления нарушения оператор данных должен прекратить такую ​​несанкционированную обработку в течение трех рабочих дней. Если невозможно превратить несанкционированную обработку персональных данных в законный способ обработки, оператор данных должен уничтожить такие персональные данные в течение 10 рабочих дней (статья 21 (3) Закона о ПД). Оператор данных должен уведомить субъекта данных или его представителя о прекращении обработки или уничтожения персональных данных, и в случае, если запрос на прекращение или уничтожение был сделан Роскомнадзором , такое уведомление должно быть отправлено в Роскомнадзор .

15.3 Существует ли требование закона сообщать о нарушениях данных затронутым субъектам данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

Нет особых юридических требований сообщать об утечках данных затронутым субъектам данных. В то же время субъект персональных данных, права которого были нарушены, имеет право подать иск в Роскомнадзор , который может провести соответствующую проверку и принять решение в отношении предполагаемого нарушителя и его несанкционированных действий с персональными данными.

15.4 Каковы максимальные штрафы за нарушение безопасности данных?

Оператор данных может нести ответственность за несколько нарушений обработки персональных данных, в том числе за обработку данных без письменного согласия субъекта данных, когда это необходимо, отказ от публикации политики обработки данных на веб-сайте или непредоставление информации субъекту данных. в связи с обработкой его персональных данных - со штрафом за правонарушение до 75000 рублей (ст. 13.11 (2) Кодекса Российской Федерации об административных правонарушениях).

Оператор данных может быть подвергнут штрафу в размере до 6 000 000 рублей за первое правонарушение и до 18 000 000 рублей за повторное нарушение требований о локальном хранении данных (статья 13.11 (8 и 9) Российского законодательства). Кодекс об административных правонарушениях).

Наконец, Уголовный кодекс Российской Федерации предусматривает уголовную ответственность за: незаконный сбор или распространение, в том числе публичное распространение, персональных данных, относящихся к личной или семейной тайне, без согласия этого лица, со штрафом до 200 000 рублей; и незаконный доступ к компьютерной информации, повлекший за собой уничтожение, блокирование, изменение или копирование персональных данных, с наложением штрафа до 500 000 рублей.Следует отметить, что по российскому законодательству уголовные наказания могут быть применены только к физическим лицам, но не к юридическим лицам.

16.

Правоприменение и санкции

16.1 Опишите правоприменительные полномочия органов по защите данных.

  1. Следственные полномочия : Роскомнадзор имеет следующие следственные полномочия: запрашивать и получать информацию, необходимую для осуществления своих полномочий, и получать такую ​​информацию бесплатно; проверять информацию, содержащуюся в уведомлении об обработке персональных данных, и вносить эту информацию в реестр операторов данных; проводить соответствующие проверки; и направлять материалы в органы прокуратуры и другие правоохранительные органы.
  2. Корректирующие полномочия : Роскомнадзор имеет следующие корректирующие полномочия: требовать исправления, блокирования или уничтожения ложных или незаконно полученных личных данных; ограничение доступа к данным, которые обрабатываются с нарушением законодательства о защите данных; и приостановка или прекращение обработки персональных данных, которая была инициирована в нарушение законодательства о защите данных.
  3. Полномочия по авторизации и консультированию : Роскомнадзор не имеет специальных полномочий по авторизации, за исключением внесения оператора данных в реестр операторов персональных данных, что является правовым основанием для реализации права на обработку персональных данных, хотя он может направить заявку в орган, лицензирующий деятельность оператора (например, в Федеральную службу по техническому и экспортному контролю, Федеральную службу безопасности и другие государственные органы), для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в порядке, установленном применимого законодательства, если одним из условий лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных.При выполнении своих консультативных полномочий Роскомнадзор может выдавать пояснительные письма или подзаконные акты или акты в пределах своей компетенции, а также вносить в Правительство Российской Федерации предложения по совершенствованию правового регулирования защиты прав на данные. предметы.
  4. Наложение административных штрафов за нарушение указанных положений GDPR : Роскомнадзор имеет право принимать административные меры в отношении лиц, виновных в нарушении Закона о ПД, в частности, путем наложения административных штрафов за нарушение прав или нарушение прав субъекта персональных данных других соответствующих законодательных положений.
  5. Несоблюдение требований органа по защите данных : В случае несоблюдения решений или обязательных постановлений Роскомнадзора Роскомнадзор может подать гражданские иски в компетентные суды для защиты прав субъектов данных и представление интересов субъектов данных в суде или отправка материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел о нарушениях данных.

16.2 Имеет ли орган по защите данных право наложить запрет на конкретную обработку данных? Если да, то требует ли такой запрет постановления суда?

Роскомнадзор имеет право потребовать от оператора данных прекратить конкретное нарушение или нарушение, включая конкретную обработку, например блокировку его веб-сайта или определенных страниц в Интернете. Требуется решение суда для принятия таких мер.

16.3 Опишите подход органа по защите данных к осуществлению этих полномочий с примерами недавних дел.

В случае любого нарушения Роскомнадзор сначала отправляет предупреждение с соответствующими предписаниями о мерах, которые необходимо предпринять для пресечения такого нарушения. Прецедентное право в России в этом отношении все еще формируется. Например, в 2020 году российский суд оштрафовал Twitter и Facebook на сумму по 4 миллиона рублей каждый за отказ разместить на своей территории серверы, на которых хранятся данные о гражданах России.Есть также множество завершенных или невыясненных случаев, связанных с Telegram Messenger; в частности, использование Telegram-ботов для сбора персональных данных граждан России.

16.4 Исполняет ли орган по защите данных свои полномочия в отношении предприятий, учрежденных в других юрисдикциях? Если да, то как это обеспечивается?

Роскомнадзор может заблокировать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных; Например, в 2016 году LinkedIn был заблокирован из-за невыполнения требования о локализации персональных данных.

17.

Электронное открытие / раскрытие информации иностранным правоохранительным органам

17.1 Как предприятия обычно отвечают на запросы о раскрытии информации из-за границы или запросы о раскрытии информации от иностранных правоохранительных органов?

Российское законодательство не содержит положений, касающихся иностранного электронного раскрытия информации или иностранной процедуры раскрытия информации.Таким образом, российские компании не обязаны отвечать на запросы о раскрытии или раскрытии информации за рубежом, за исключением случаев, когда отсутствуют императивные положения, предусмотренные соответствующими международными договорами о взаимной правовой поддержке (помощи) или аналогичными международными соглашениями, участником которых является Россия. Кроме того, существует практика, когда компании отвечают на запросы иностранных правоохранительных органов о раскрытии информации через компетентные российские органы.

17.2 Какие инструкции выпустили / выпустили органы по защите данных?

Роскомнадзор таких указаний не выдавал. .

18.

Тенденции и изменения

18.1 Какие правоприменительные тенденции проявились за последние 12 месяцев? Опишите любую соответствующую судебную практику.

Конфиденциальность и защита данных остается новой и актуальной областью развития законодательства в России.Наблюдается заметная тенденция к увеличению штрафов за нарушения защиты данных, чтобы привести их в соответствие с иностранным законодательством.

18.2 Какие «горячие темы» сейчас находятся в центре внимания регулятора защиты данных?

В связи с недавней разработкой законодательства иностранным интернет-сайтам, веб-страницам, информационным системам и программам, ориентированным на российских пользователей, может потребоваться открытие местных офисов в соответствии с законопроектом, рассматриваемым в российском парламенте.В ближайшем будущем Роскомнадзор может предъявить новые требования к отдельным хостинг-провайдерам, организаторам распространения информации или операторам рекламных систем. Также существуют различные инициативы по внедрению и реализации концепции «больших данных» и установлению прав пользователей при использовании их личных данных таким образом.

СРАВНЕНИЕ ЗАКОНОДАТЕЛЬСТВА: GDPR V. РОССИЙСКИЙ ЗАКОН O

Введение

Общий регламент по защите данных (Регламент (ЕС) 2016/679) (GDPR) и Федеральный закон от 27 июля 2006 г.152-ФЗ о персональных данных («Закон о персональных данных») направлены на обеспечение защиты персональных данных физических лиц и применяются к организациям, которые собирают, используют или делятся такими данными.

В частности, оба закона содержат аналогичные положения, например, в отношении правовой основы для обработки. В соответствии с GDPR и Законом о персональных данных обработка данных является законной только в том случае, если субъект данных дал согласие на обработку, когда обработка необходима для выполнения контракта, а также для соблюдения юридического обязательства, среди прочего. вещи.Кроме того, как GDPR, так и Закон о персональных данных определяют довольно последовательные обязательства по трансграничной передаче данных, при условии, что такая передача осуществляется только в страны, обеспечивающие адекватный уровень защиты. Более того, оба закона достаточно согласованы в отношении назначения сотрудника по защите данных (DPO).

Однако Закон о персональных данных отличается от GDPR в некоторых существенных отношениях, особенно в отношении определений, обязательств контроллера и обработчика, а также территориального охвата.Если GDPR дает определение как контролера данных, так и обработчика, Закон о персональных данных относится только к операторам. GDPR также обеспечивает особую защиту личных данных детей и устанавливает минимальный возраст согласия в отношении услуг информационного общества, а также соответствующие меры по предоставлению информации детям. Закон о личных данных не предоставляет особой защиты личным данным детей и не устанавливает аналогичные конкретные требования к ним.

В отличие от GDPR, Закон о персональных данных не содержит конкретных положений о территориальном охвате.GDPR излагает особые положения об экстерриториальном объеме и применяется к обработке персональных данных субъектов данных, находящихся в ЕС, контроллером или процессором, не зарегистрированным в ЕС, где действия по обработке связаны с предложением товаров или услуг или мониторинг поведения.

GDPR и Закон о персональных данных также сильно различаются с точки зрения штрафных санкций, как финансовых, так и иных. GDPR предусматривает значительно большие финансовые санкции, до 20 миллионов евро или 4% мирового оборота, по сравнению с теми, которые предусмотрены Кодексом Российской Федерации об административных правонарушениях от 30 декабря 2001 г.195-ФЗ («Кодекс об административных правонарушениях»), в котором максимальный размер единовременного административного штрафа за нарушение Закона «О персональных данных» составляет 18 миллионов рублей (примерно 260 000 евро). Кроме того, в отличие от GDPR, Закон о персональных данных устанавливает, что DPO могут нести административную ответственность за несоблюдение Закона о персональных данных.

Примечательно, что в декабре 2020 года Парламент России принял Федеральный закон от 30 декабря 2020 года № 519-ФЗ о внесении изменений в Федеральный закон о персональных данных, который вносит поправки в Закон о персональных данных, вводя понятие общедоступных данных. .Эти поправки вступят в силу частично 1 марта 2021 года и частично 1 июня 2021 года.

Это руководство призвано помочь организациям понять и сравнить соответствующие положения GDPR и Закона о персональных данных, чтобы обеспечить соблюдение обеих частей законодательство.

Структура и обзор Руководства

В этом Руководстве проводится сравнение двух законодательных актов по следующим ключевым положениям:

  1. Сфера применения
  2. Ключевые определения
  3. Правовая основа
  4. Обязанности контролера и процессора
  5. Права физических лиц
  6. Правоприменение

Каждая тема включает соответствующие статьи и разделы из двух законов, краткое изложение сравнения и подробный анализ сходств и различий между GDPR и Законом о персональных данных.

Ключ для определения степени согласованности

Согласован: GDPR и Закон о персональных данных имеют высокую степень сходства в обосновании, сути, сфере применения и применении рассматриваемого положения.

Достаточно согласован: GDPR и Закон о персональных данных имеют высокую степень сходства в обосновании, сути и объеме рассматриваемого положения; однако детали, регулирующие его применение, различаются.

Довольно непоследовательно: GDPR и Закон о персональных данных имеют несколько различий в отношении объема и применения рассматриваемого положения, однако его обоснование и суть имеют некоторое сходство.

Несоответствие: GDPR и Закон о персональных данных сильно различаются в отношении обоснования, сути, объема и применения рассматриваемого положения.

Использование руководства

Это руководство носит общий и образовательный характер и не предназначено для использования в качестве источника юридических рекомендаций и на него не следует полагаться.

Информация и материалы, представленные в Руководстве, могут быть неприменимы во всех (или любых) ситуациях, и не следует действовать без специальной юридической консультации в зависимости от конкретных обстоятельств.

Политика обработки персональных данных - Sterngoff Audit

Политика обработки персональных данных Sterngoff Audit

  1. Общие положения.
    1. Настоящая Политика обработки персональных данных (далее - Политика) разработана в соответствии со статьей 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и распространяется на все персональные данные, что администрация сайта sterngoff.com ООО «Стернгофф Аудит» (далее - Администрация) может получать от владельцев персональных данных.
    2. Политика распространяется на персональные данные, полученные до или после подписания настоящей Политики.
  2. Состав подлежащих обработке персональных данных.
    1. Информация, составляющая персональные данные, определяется Администрацией как любая информация, которая относится к прямо или косвенно идентифицированному или идентифицируемому физическому лицу (владельцу персональных данных).
    2. Под персональными данными понимаются следующие данные, полученные от владельцев персональных данных:
      • Имя, отчество и фамилия владельца персональных данных.
      • Адрес владельца персональных данных.
      • Телефон (а) владельца персональных данных.
      • Прочие персональные данные.
  3. Законодательные требования к обработке персональных данных.
    1. Администрация обрабатывает персональные данные владельцев персональных данных в соответствии с: Конституцией Российской Федерации; статьи 86–90 Трудового кодекса Российской Федерации; в статье 6 (абзац второй части 1) Федерального закона от 28.07.2012 г.От 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  4. Цели обработки персональных данных.
    1. Администрация обрабатывает персональные данные владельцев персональных данных в следующих целях:
      • Выполнение обязательств, возложенных на Администрацию и связанных с выполнением любых запросов, поступающих от владельцев персональных данных через онлайн-формы сайта sterngoff.com.
      • Обеспечение уведомления владельца персональных данных о любых мерах, проводимых Администрацией.
  5. Права и обязанности.
    1. Права и обязанности администрации.
      1. Администрация как оператор персональных данных вправе:
        • Защита интересов в суде.
        • Предоставить персональные данные владельцев персональных данных, если это требуется действующим законодательством (в налоговые, правоохранительные и другие органы).
        • Отказать в предоставлении персональных данных в случаях, предусмотренных законодательством.
        • Использовать персональные данные владельца персональных данных без его согласия, если это требуется законодательством
          .
      2. Администрация как оператор персональных данных обязана:
        • Принять меры, необходимые и достаточные для выполнения обязательств, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими нормативными актами, введенными в соответствии с последним. .
    2. Права владельца персональных данных.
      1. Владелец персональных данных вправе:
        • Требовать обновления, блокировки или уничтожения своих персональных данных, если такие персональные данные являются неполными, устаревшими, ненадежными, незаконно полученными или не требующимися для запрошенной цели обработки, а также обеспечивать выполнение любых юридических действий для защиты своих прав.
        • Запросить список своих персональных данных, обрабатываемых Администрацией, и их источник.
        • Получение информации о сроках обработки своих персональных данных, включая срок их хранения.
        • Запросить уведомление всех лиц, которые ранее получили свои неправильные или неполные персональные данные, об удалении, изменении или дополнении их персональных данных.
        • Обжаловать любые незаконные действия или бездействие, совершенные в процессе обработки их персональных данных, в орган, ответственный за защиту прав владельцев персональных данных, или в суд.
        • Защищать свои права и законные интересы, в том числе требовать возмещения и (или) компенсации нематериального ущерба в суд.
  6. Принципы и условия обработки персональных данных.
    1. Администрация обрабатывает персональные данные на следующих принципах:
      • Законность и справедливость целей и средств обработки персональных данных, соответствие обработки персональных данных целям, определенным и объявленным в процессе сбора персональных данных, а также полномочиям Администрации .
      • Соответствие объема и характера обрабатываемых персональных данных и способов обработки персональных данных целям обработки персональных данных.
      • Надежность персональных данных, их достаточность для целей обработки, недопустимость сбора персональных данных в объеме, превышающем цели, заявленные в ходе сбора персональных данных.
      • Недопустимость агрегирования баз данных, содержащих персональные данные и разработанных для несовместимых целей.
      • Хранение персональных данных в форме, позволяющей определить владельца персональных данных не дольше периода, необходимого для цели обработки
      • Уничтожение при достижении целей сбора персональных данных и в случае утраты возможности их достижения.
    2. Обработка персональных данных осуществляется в соответствии с условиями, предусмотренными законодательством Российской Федерации.
  7. Защита персональных данных.
    1. В процессе обработки персональных данных Администрация принимает все необходимые правовые, организационные и технические меры и обеспечивает их выполнение для защиты персональных данных от несанкционированного или случайного доступа, уничтожения, изменения, блокировки, копирования, отправки, распространение персональных данных, а также любые другие противоправные действия, связанные с персональными данными.
  8. Заключительные положения.
    1. Настоящая Политика является внутренним документом Администрации, общедоступным и подлежит публикации на официальном сайте Администрации.
    2. В настоящую Политику могут вноситься изменения, корректировки в случае введения каких-либо новых правовых актов и специальных нормативных актов, связанных с обработкой и защитой персональных данных.
    3. Администрация осуществляет контроль за соблюдением требований настоящей Политики.
    4. Ответственность сотрудников Администрации, ответственных за обработку персональных данных и имеющих к ним доступ, за невыполнение требований любых норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации. Российская Федерация и внутренние документы Администрации.

Требования к локализации персональных данных в России - соответствие требованиям Microsoft

  • Читать 3 минуты

В этой статье

С 1 сентября 2015 года организации, которые считаются операторами персональных данных, должны обеспечить, чтобы при сборе персональных данных запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан России осуществлялись через базы данных, расположенные в России («требование локализации персональных данных»). 1

Услуги Microsoft, доступные для организаций (включая, но не ограничиваясь, образовательные учреждения) (далее именуемые «клиент»), включая те, которые позволяют обрабатывать личные данные, такие как Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform, предоставляются из данных процессинговые центры, расположенные за пределами России (подробнее см. в Центре управления безопасностью Microsoft).

В зависимости от типа и содержания информации, обрабатываемой информационными системами клиентов, такие системы, включая системы, использующие облачные продукты Microsoft, могут считаться информационной системой персональных данных (PDIS, ISPD).В случаях, когда заказчик желает использовать службы Microsoft в системе, которая квалифицируется как PDIS по своей архитектуре и типам обрабатываемой информации, Microsoft предлагает своим клиентам, среди прочего, рассмотреть доступные решения, указанные ниже. Все представленные сценарии доступны для клиентов в качестве дополнительной опции к стандартным бизнес-предложениям.

Следует отметить, что именно заказчик как оператор персональных данных PDIS отвечает за соблюдение нормативных требований, анализирует и оценивает применимые законодательные требования к локализации персональных данных и по своему усмотрению самостоятельно определяет достаточные меры для обеспечения того, чтобы персональные данные обработка в PDIS соответствует российскому закону о персональных данных. 2

Подписка на службы Microsoft

Управление идентификаторами Microsoft

Microsoft предлагает клиентам рассмотреть возможность подписки на услуги Microsoft; Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform - через партнера Microsoft Cloud Solution Provider (CSP). Для получения дополнительной информации см. Этот список партнеров CSP.

Управление идентификацией пользователей и доступом для служб Microsoft

Для таких служб Microsoft, как Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform, проверка пользователей и управление доступом выполняются через Azure Active Directory (Azure Active Directory).В случаях, когда клиент Microsoft использует локальную систему управления идентификацией для облачных служб Microsoft (например, Windows Server Active Directory (AD) или любую другую систему управления идентификаторами), у клиента есть возможность быстро интегрировать такую ​​систему с Azure Active Directory. (Azure Active Directory) через Azure AD Connect. Дополнительные сведения см. В разделе Azure AD Connect. Клиенты Microsoft могут также рассмотреть возможность использования приложений и решений сторонних поставщиков для управления своими пользователями и интеграции своей локальной системы идентификации с Azure AD.

Используйте Microsoft Compliance Manager для оценки вашего риска

Microsoft Compliance Manager - это функция центра соответствия Microsoft 365, которая поможет вам понять состояние соответствия вашей организации и предпринять действия, которые помогут снизить риски. Compliance Manager предлагает шаблон премиум-класса для построения оценки для этого правила. Найдите шаблон на странице шаблонов экзамена в Compliance Manager. Узнайте, как создавать оценки в Compliance Manager.

Вопросы и поддержка

По техническим вопросам и вопросам оплаты обращайтесь к ресурсам поддержки Майкрософт ниже.С дополнительными вопросами или разъяснениями обращайтесь в группу по конфиденциальности Microsoft.

Microsoft Azure

Microsoft 365

  • Бесплатный номер : 8 10800 2548 1044
  • Местный звонок : 499 922 8623
  • Онлайн-поддержка : Отправляйте запросы через Центр администрирования

Динамика 365

  • Бесплатный номер : 8 10800 2548 1044
  • Местный звонок : 499 922 8623
  • Онлайн-поддержка : отправка запросов через портал поддержки Dynamics

Силовая платформа

  • Бесплатный номер : 8 10800 2548 1044
  • Местный звонок : 499 922 8623
  • Онлайн-поддержка : Отправляйте запросы через службу поддержки Power Platform

Примечание

1 Федеральный закон от 29.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *