152 закон о персональных данных: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция) \ КонсультантПлюс

Содержание

Книга «Федеральный Закон «О персональных данных текст» на 2019 год»

  • Книги
    • Художественная литература
    • Нехудожественная литература
    • Детская литература
    • Литература на иностранных языках
    • Путешествия. Хобби. Досуг
    • Книги по искусству
    • Биографии.
      Мемуары. Публицистика
    • Комиксы. Манга. Графические романы
    • Журналы
    • Печать по требованию
    • Книги с автографом
    • Книги в подарок
    • «Москва» рекомендует
    • Авторы • Серии • Издательства • Жанр

  • Электронные книги
    • Русская классика
    • Детективы
    • Экономика
    • Журналы
    • Пособия
    • История
    • Политика
    • Биографии и мемуары
    • Публицистика
  • Aудиокниги
    • Электронные аудиокниги
    • CD – диски
  • Коллекционные издания
    • Зарубежная проза и поэзия
    • Русская проза и поэзия
    • Детская литература
    • История
    • Искусство
    • Энциклопедии
    • Кулинария. Виноделие
    • Религия, теология
    • Все тематики
  • Антикварные книги
    • Детская литература
    • Собрания сочинений
    • Искусство
    • История России до 1917 года
    • Художественная литература. Зарубежная
    • Художественная литература. Русская
    • Все тематики
    • Предварительный заказ
    • Прием книг на комиссию
  • Подарки
    • Книги в подарок
    • Авторские работы
    • Бизнес-подарки
    • Литературные подарки
    • Миниатюрные издания
    • Подарки детям
    • Подарочные ручки
    • Открытки
    • Календари
    • Все тематики подарков
    • Подарочные сертификаты
    • Подарочные наборы
    • Идеи подарков
  • Канцтовары
    • Аксессуары делового человека
    • Необычная канцелярия
    • Бумажно-беловые принадлежности
    • Письменные принадлежности
    • Мелкоофисный товар
    • Для художников
  • Услуги
    • Бонусная программа
    • Подарочные сертификаты
    • Доставка по всему миру
    • Корпоративное обслуживание
    • Vip-обслуживание
    • Услуги антикварно-букинистического отдела
    • Подбор и оформление подарков
    • Изготовление эксклюзивных изданий
    • Формирование семейной библиотеки

Расширенный поиск

Федеральный закон о персональных данных

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. Заключительные положения

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В. Путин

О персональных данных. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021)

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят
Государственной Думой
8 июля 2006 года

Одобрен
Советом Федерации

14 июля 2006 года

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

Статья 2. Цель настоящего Федерального закона

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Статья 4. Законодательство Российской Федерации в области персональных данных

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данных

Статья 6. Условия обработки персональных данных

Статья 7. Конфиденциальность персональных данных

Статья 8. Общедоступные источники персональных данных

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Статья 10. Специальные категории персональных данных

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

Статья 11. Биометрические персональные данные

Статья 12. Трансграничная передача персональных данных

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

Статья 17. Право на обжалование действий или бездействия оператора

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Обязанности оператора при сборе персональных данных

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

Статья 22. Уведомление об обработке персональных данных

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

Глава 5. ФЕДЕРАЛЬНЫЙ ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ (НАДЗОР) ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 25. Заключительные положения

Задайте вопрос юристу:

+7 (499) 703-46-71 — для жителей Москвы и Московской области
+7 (812) 309-95-68 — для жителей Санкт-Петербурга и Ленинградской области

ГБУ РО Областной клинический онкологический диспансер

27 июля 2006 года     N 152-ФЗ

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят

Государственной Думой

8 июля 2006 года

Одобрен

Советом Федерации

14 июля 2006 года

(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,

от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ,

от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ,

от 29.11.2010 N 313-ФЗ, от 23.12.2010 N 359-ФЗ)

(см. Обзор изменений данного документа)

 Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

  Статья 1. Сфера действия настоящего Федерального закона

  1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

 2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

 3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

 4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

(п. 5 введен Федеральным законом от 28.06.2010 N 123-ФЗ)

 Статья 2. Цель настоящего Федерального закона

 Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

 Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

 1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

 2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

 3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

 4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

 5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

 6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

 10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

 11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

 12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

 Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

 2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

 3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

 4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

 Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

 2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

 4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

 2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

 Статья 6. Условия обработки персональных данных

  1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:

 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(п. 1.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

 4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

 Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

 Статья 8. Общедоступные источники персональных данных

  1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

 2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

 Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

  1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

 2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

 3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

 4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

(в ред. Федерального закона от 27. 07.2010 N 227-ФЗ)

(см. текст в предыдущей редакции)

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись субъекта персональных данных.

(п. 7 введен Федеральным законом от 27.07.2010 N 227-ФЗ)

4.1. Порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, определяется Правительством Российской Федерации.

(часть 4.1 введена Федеральным законом от 27.07.2010 N 227-ФЗ)

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

 7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

 Статья 10. Специальные категории персональных данных

  1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

(п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ)

 3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

 4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

 6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации;

8) обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования.

(п. 8 введен Федеральным законом от 29.11.2010 N 313-ФЗ)

 3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

 4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

 Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

(в ред. Федерального закона от 25.11.2009 N 266-ФЗ)

(см. текст в предыдущей редакции)

 Статья 12. Трансграничная передача персональных данных

  1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

 2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

 3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

 1) наличия согласия в письменной форме субъекта персональных данных;

 2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;

 (в ред. Федерального закона от 25.11.2009 N 266-ФЗ)

 (см. текст в предыдущей редакции)

 3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

 4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

  Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

  1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

 2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

 3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

 4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

 Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

  1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

 2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

 4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

  1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

 2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

 Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

  1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

 3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

 4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

 Статья 17. Право на обжалование действий или бездействия оператора

  1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

 2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

 Статья 18. Обязанности оператора при сборе персональных данных

 1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

 2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

 3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

 Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

  1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

(в ред. Федерального закона от 27.12.2009 N 363-ФЗ)

(см. текст в предыдущей редакции)

 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

 4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

 Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

 1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

 2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

 3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

 4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

 Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

  1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

 2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

 3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, — также указанный орган.

 4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, — также указанный орган.

 5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

 Статья 22. Уведомление об обработке персональных данных

  1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

 3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

 4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ

ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ

НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

 1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

 2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

 3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

 6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

 4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

 6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

 7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

 Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 Статья 25. Заключительные положения

  1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

 2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

 3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.

(часть 3 в ред. Федерального закона от 23.12.2010 N 359-ФЗ)

(см. текст в предыдущей редакции)

 4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент

Российской Федерации

В.ПУТИН

Москва, Кремль

27 июля 2006 года

N 152-ФЗ

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ВНЕСЕНИИ ИЗМЕНЕНИЯ

В СТАТЬЮ 25 ФЕДЕРАЛЬНОГО ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Принят

Государственной Думой

10 декабря 2010 года

 Одобрен

Советом Федерации

15 декабря 2010 года

  Статья 1

 Внести в часть 3 статьи 25 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 52, ст. 6439) изменение, изложив ее в следующей редакции:

«3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.».

  Статья 2

 Настоящий Федеральный закон вступает в силу с 1 января 2011 года.

 Президент

Российской Федерации

Д.МЕДВЕДЕВ

Москва, Кремль

23 декабря 2010 года

N 359-ФЗ                                                                                                                                        

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В СТАТЬЮ 1 ФЕДЕРАЛЬНОГО ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

И СТАТЬЮ 15 ФЕДЕРАЛЬНОГО ЗАКОНА «ОБ ОБЕСПЕЧЕНИИ ДОСТУПА

К ИНФОРМАЦИИ О ДЕЯТЕЛЬНОСТИ СУДОВ В РОССИЙСКОЙ ФЕДЕРАЦИИ»

Принят

Государственной Думой

18 июня 2010 года

 Одобрен

Советом Федерации

23 июня 2010 года

Статья 1

 Часть 2 статьи 1 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) дополнить пунктом 5 следующего содержания:

«5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».».

Статья 2

 Внести в статью 15 Федерального закона от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» (Собрание законодательства Российской Федерации, 2008, N 52, ст. 6217) следующие изменения:

1) часть 3 изложить в следующей редакции:

«3. При размещении в сети Интернет текстов судебных актов, вынесенных судами общей юрисдикции, за исключением текстов судебных актов, подлежащих в соответствии с законом опубликованию, в целях обеспечения безопасности участников судебного процесса из указанных актов исключаются персональные данные, кроме фамилий и инициалов истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, осужденного, оправданного, лица, в отношении которого ведется производство по делу об административном правонарушении, секретаря судебного заседания, рассматривавших (рассматривавшего) дело судей (судьи), а также прокурора, адвоката и представителя, если они участвовали в судебном разбирательстве. Вместо исключенных персональных данных используются инициалы, псевдонимы или другие обозначения, не позволяющие идентифицировать участников судебного процесса.»;

2) часть 5 дополнить пунктом 8 следующего содержания:

«8) разрешаемым в порядке статьи 126 Гражданского процессуального кодекса Российской Федерации.».

Статья 3

 Настоящий Федеральный закон вступает в силу с 1 июля 2010 года.

Президент

Российской Федерации

Д.МЕДВЕДЕВ

Москва, Кремль

N 123-ФЗ                                                                                                                                   28 июня 2010 года   N 123-ФЗ

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В СТАТЬИ 19 И 25 ФЕДЕРАЛЬНОГО ЗАКОНА

«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Принят

Государственной Думой

16 декабря 2009 года

Одобрен

Советом Федерации

25 декабря 2009 года

  Статья 1

  Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

 1) в части 1 статьи 19 слова «, в том числе использовать шифровальные (криптографические) средства,» исключить;

 2) часть 3 статьи 25 изложить в следующей редакции:

«3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.».

Статья 2

 Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Президент

Российской Федерации

Д.МЕДВЕДЕВ

Москва, Кремль

27 декабря 2009 года

N 363-ФЗ

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В СТАТЬИ 19 И 25 ФЕДЕРАЛЬНОГО ЗАКОНА

«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Принят

Государственной Думой

16 декабря 2009 года

Одобрен

Советом Федерации

25 декабря 2009 года

 Статья 1

  Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

 1) в части 1 статьи 19 слова «, в том числе использовать шифровальные (криптографические) средства,» исключить;

 2) часть 3 статьи 25 изложить в следующей редакции:

«3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.».

Статья 2

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Президент

Российской Федерации

Д.МЕДВЕДЕВ

Москва, Кремль

N 363-ФЗ                                                                                                                                                  27 декабря 2009 года

25 ноября 2009 года  N 266-ФЗ

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В ФЕДЕРАЛЬНЫЙ ЗАКОН «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПО ВОПРОСАМ

РЕАЛИЗАЦИИ МЕЖДУНАРОДНЫХ ДОГОВОРОВ РОССИЙСКОЙ ФЕДЕРАЦИИ

О РЕАДМИССИИ

Принят

Государственной Думой

11 ноября 2009 года

 Одобрен

Советом Федерации

18 ноября 2009 года

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

1) часть 2 статьи 6 дополнить пунктом 1.1 следующего содержания:

«1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;»;

2) часть 2 статьи 10 дополнить пунктом 2.1 следующего содержания:

«2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;»;

3) часть 2 статьи 11 после слов «без согласия субъекта персональных данных» дополнить словами «в связи с реализацией международных договоров Российской Федерации о реадмиссии,»;

4) в пункте 2 части 3 статьи 12 слова «а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам» заменить словами «международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии».

Президент

Российской Федерации

Д.МЕДВЕДЕВ

Москва, Кремль

N 266-ФЗ                                                                                                                                               25 ноября 2009 года

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

от 17 ноября 2007 г. N 781

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ

ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ

ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

 2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим Постановлением.

Председатель Правительства

Российской Федерации

В.ЗУБКОВ

  Утверждено

Постановлением Правительства

Российской Федерации

от 17 ноября 2007 г. N 781

ПОЛОЖЕНИЕ

ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ

ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее — информационные системы).

 Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах.

 2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

 Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

 3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

 Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

 4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

 5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

 6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.

 7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

 8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

 9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

 10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее — уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

 11. При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

 а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

 в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

 г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

 д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

 е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

 ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

 к) описание системы защиты персональных данных.

 13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

 14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

 15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

 16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

 17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.

В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями — периодически проводимые тематические исследования.

Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.

18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

 19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.

 20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.

Архив рубрик | ITSec.Ru

Все рубрики

Всего рубрик: 67
Всего статей: 2394
Всего авторов: 1215
Всего изданий: 102

Защита информации (163)

10 ключевых правил для безопасности вашей сети
ALTELL NEO 200 – комплексная безопасность сети
Bring Your Own Device. . . и ничего не трогай?
Canadian Personal Information Protection and Electronic Documents Act (PIPEDA)
CrimeWare: новый виток противостояния. Аналитическая статья «Лаборатории Касперского»
Externet VPN: просто о сложном
Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) (Draft)

Официальный раздел (1)

Постановление Правительства Российской Федерации от 21 апреля 2010 г. N 266 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответст

Комплексные решения. Интегрированные системы (1)

Превью

Блокчейн и криптовалюта (5)

$2 млрд для криптовалют
Как быстро блокчейн придет в жизнь россиян?
Консенсусы и их уязвимости
Персональные данные и распределенные реестры
Цифровая экономика. Глобальные тренды и практики российского бизнеса

События (63)

«ИНФОФОРУМ»: власть и бизнес в борьбе за безопасность
«Инфофорум»: событие года
«ТБ-форум-2007»: участники об отрасли
«Антивирусный Центр»: 10 лет как по нотам
«ЗУБР-2009»: лауреаты и награды
«Инфосистемы Джет» завершила проект по приведению процессинговых систем ЗАО «Компания объединенных кредитных карточек» в соответствие с требованиями PCI DSS
«Требования и правоприменительная практика выполнения законодательства о персональных данных»

Вестник СНГ (2)

Во имя развития страны
Применение ЭЦП в Беларуси

Новости (34)

«Инфосистемы Джет»: 15 лет на рынке ИБ-интеграции
22 апреля 2005 года состоялось отчетное годовое собрание МОО «АЗИ»
CA и YAHOO! вместе на защите пользователей сети
Cisco: защита мобильных пользователей
Cisco: цифровое ТВ и информационные сообщения для пассажиров китайскго метро
Hewlett-Packard потеснит в России Asus и Acer?
HP: технологии и услуги для компаний среднего бизнеса, входящих в «Global 500 000»

ЗУБР (1)

Премия ЗУБР-2013: расширение сроков приема заявок в категории «Информационная безопасность»

В фокусе (340)

«Бизнес в области грузовых и пассажирских перевозок: инвестиции в информационное обеспечение»
«Блогмобиль» на улицах Нью-Йорка
«Поликом Про»: 15 лет на рынке информационных технологии!
«Поликом Про»: укрепление экономического могущества Российской Федерации
«PKI — Форум-2008»
«Белые хакеры» на страже транзакций
«Большая тройка» операторов связи: защита персональных данных

Колонка редактора (10)

Безопасные связи
Колонка редактора
Колонка редактора
Колонка редактора
Колонка редактора
Колонка редактора
Колонка редактора

Тема номера (36)

«Анкад» смотрит в будущее
CobiT 4. 0
ruToken RF — ключ от всех дверей
Архитектура информационной безопасности ЕАИС таможенных органов
Банковская безопасность: современная ситуация
Безопасность банков сегодня
Безопасный on-line

Импортозамещение (12)

Где кроются реальные проблемы защиты АСУ ТП?
Гиперконвергентные ИТ-инфраструктуры и облака в России
Защита банкоматов: сложности применения продуктов Application Control
Киберпреступники против финансовых организаций
Некоторые аспекты защиты АСУ ТП
Перспективы развития технических средств защиты информации в России
Реальное импортозамещение

Межсетевые экраны (13)

Firewalls Next Generation на выставке InfoSecurity Russia
Firewalls: ориентация на потребителя
Next Generation Firewall – новое или забытое старое
TОП 5 ИБ-технологий, которые будут в вашей сети. Мнение лидера отрасли компании Palo Alto Networks
Web-application firewalls
Анализ тенденций развития средств обеспечения межсетевой защиты
Межсетевой экран ИКС. С нами безопасно!

Комплексные системы безопасности (3)

Обзор DLP-решений
Превью
ТОП-5: что должен знать заказчик при построении комплексной защиты корпоративной среды

Антифрод (4)

«Первый рубеж сдан!»
Информационная безопасность – залог успеха бизнеса
Искусственный интеллект в антифроде – уже необходимость
Фрод: легче не допустить, чем лечить

Спецпроект: mobile security (41)

AirKey – современный доступ в информационные системы с помощью смартфона
BYOD – дверь в инфраструктуру предприятия
BYOD: будущее, которого нет
BYOD: вопросы безопасности
Mobile Device Management: разнообразие видов. Часть 1
Антивирусы для мобильных платформ
Атака на мобильный, жертва – человек

Колонка эксперта (8)

Как все начиналось
Колонка эксперта
Колонка эксперта
Колонка эксперта
Колонка эксперта
Колонка эксперта
Колонка эксперта

IS-Index (3)

IS-Index
Исследование: сколько и куда тратится средств
Что нужно потребителю?

Персоны (29)

«Лавина Пульс» – мобильный ситуационный центр руководителя
25 лет успешной работы на российском рынке!
D600: цифровизируем аналоговую радиостанцию
Houlin Zhao: «Нам есть чему поучиться у российских коллег»
Базовый баланс безопасности
Безопасность не должна мешать бизнесу
Биометрия — это удобно!

Электронный документооборот (13)

А вы задумывались о защите внешнего ЭДО?
Использование ЭП в ЭДО на предприятиях авиационной промышленности
Компания «Инфосистемы Джет» внедрила систему анализа и мониторинга эффективности мер безопасности в Фонде РЖС
Обеспечение юридической значимости ЭДО компании
От и до про ЭДО
Практические аспекты создания единой защищенной СЭД для обработки конфиденциальной информации
Российский рынок СЭД/ECM: перспективы развития

Облачная безопасность (10)

Cloud Security: взгляд на российский рынок
IDaaS – аутентификация как сервис
Возможно ли управлять безопасностью из облака уже сейчас?
Доверенное облако – миф или реальность
Облачные вычисления в России: возможности, вызовы и риски
Облачные сервисы: проблемы в доверии
Облачные технологии: миф или реальность?

Центры обработки данных (ЦОД) (13)

Data-центр — вопросы надежности
Жизнеобеспечение ЦОД: защита и риски
Защита виртуальных ЦОД
Защита межсетевого взаимодействия уровня «ЦОД – ЦОД»
Как обеспечить защиту виртуальной инфраструктуры ЦОД?
Обеспечение защиты ПДн в ЦОД: кто несет ответственность?
Сложности обеспечения ИБ в ЦОД

Кибервойна (16)

Бизнес и ИБ: сотрудничество или противостояние?
Жертвы и последствия киберпреступлений. NORTON REPORT 2013
Информатизация общества – новые цели для кибероружия
Как защититься от таргетированных атак?
Кибербезопасность: цикл осведомленности
Кибервойны будущего – к чему готовиться законодателям и корпорациям
Ландшафт угроз для систем промышленной автоматизации

Маркетинг (8)

Аутсорсинг информационной безопасности — это реальность
Безопасность в индустрии платежных карт
ЗАО «ИНФОПРО»: создание защищенных объектов информатизации «под ключ»
МВП СВЕМЕЛ: подводя итоги
Новая динамика вредоносного ПО: финансовая мотивация киберпреступников
Прочные позиции на рынке информационной безопасности
Российский рынок услуг информационной безопасности: год спустя

Обзоры, прогнозы, мнения (2)

SIEM vs новые угрозы: что необходимо SIEM для их оперативного выявления?
ИБ на пути BYOD

Таргетированные атаки (5)

Advanced Persistent Threat – расставляем точки над «i»
Активная защита как метод противодействия продвинутым киберугрозам
Анатомия таргетированной атаки. Часть 4
Как онлайн-риски переходят в офлайн и почему киберзащиты недостаточно
Система безопасности, способная решить 5 основных проблем руководителя по информационной безопасности

Компании (24)

«Плеяды» — защищенная информационная система для бюро кредитных историй
15 лет в авангарде речевых технологий
DeviceLock 5.72 — защита от локального администратора!
ZyWALL — объединенная защита сети
Аппаратно-программные СКЗИ КРИПТОН на защите АРМ
В помощь сисадмину
Добавляем безопасность

Концепции безопасности (22)

IDM в современной информационной инфраструктуре
UTM: раздвигая горизонты
Вопросы построения защищенных гетерогенных корпоративных ЛВС
Грамотное управление — залог успеха
Информационная безопасность в рамках единого экономического пространства России, Белоруссии, Казахстана и Украины
Коктейль из звуков
Мнение практика. Комментарий к статье В.Г. Грибунина

DLP (57)

DeviceLock Data Breach Intelligence Разведка уязвимостей хранения данных
DLP в облаке — время договариваться
DLP как краеугольный камень механизма расследования инцидентов
DLP как эффективный инструмент работы с нелояльными сотрудниками
DLP на страже информации
DLP не является панацей
DLP по-русски — больше, чем просто DLP

Облака (9)

Cloud 2014 – прогнозы
Безопасный доступ к корпоративным облачным приложениям
Как защитить виртуальную инфраструктуру по требованиям ФСТЭК
Корпорация в облаках: так ли это опасно?
Мы не доверяем облаку или облако нам?
Облачный рынок SMB вырастет до $125 млрд к 2016 году
Средства безопасного доступа к корпоративным облачным приложениям

Управление (156)

«Компот из сухофруктов», илиМетоды формирования и поддержания культуры информационной безопасности в организации
«Пока гром не грянет – мужик не перекрестится»
42, или Правильная постановка задачи
DNA Distribution – самый быстро развивающийся партнер Thales e-Security в EMEA
SOC в действии
Summa Technologiae 2020
Автоматизация процесса управления информационной безопасностью

Криптография (77)

«Континент» на страже безопасной передачи данных по сети
30 лет стандартизациикриптографических технологий в России
Dual EC – криптографический стандарт с лазейкой
GateDefender Integra -новое устройство безопасности периметра
MS_Key четырех стихий
USB-ключи и брелоки
Актуальные вопросы применения электронных подписей

Проекты и решения (7)

DeviceLock контролирует доступ в «Одноклассники. ru» и другие социальные сети
NetWitness – новый игрок на рынке информационной безопасности
Большой секрет для маленькой компании
Как выбрать решение для защиты от утечек данных
Надежная защита с большой буквы Z
Последние тенденции эволюции DLP-систем
Эффективность DLP-систем: на стороне заказчика

Интернет вещей (internet of things, IOT) (3)

Развитие IoT-рынка
Рекордсмен по взломам
Факторы, влияющие на рост рынка IoT

Специальные технические средства (1)

Технологии защищенного звука

Сертификация и измерения (2)

Проблемы ЭМС ТС в вопросах защиты информации
Сертификация по РОСС RU. 0001. 01БИ00

Сети (11)

Безопасность персональных коммуникаций
Безопасность сетей NGN
Звукозапись для IP-телефонии: новое интеллектуальное решение
Конфиденциальные данные – под надежный контроль! Использование современной DLP-системы для предотвращения утечек информации
Сетевая безопасность платежных систем
Сканеры уязвимостейВзгляд со стороны вендора и со стороны пользователя
Создание безопасных сетей: подводные камни и как с ними бороться

Исследование (52)

«Персональные данные в России-2009»: что нового?
10 тезисов интернет-безопасности
DLP-системы в России: тенденции и перспективы
IDC впервые провела исследование отечественного рынка услуг в области информационной безопасности
Анализ рынка услуг в сфере ИБ со стороны предложения
Антивирусные компании делают ставку на скорость
Аутсорсинг безопасности в России

Итоги, достижения (9)

ITSEC + All-over-IP 2018: два праздника технологий вместо одного
Импортозамещение: результаты 2015 года
Итоги года
Итоги года и перспективы Рунета
Качество – главный аргумент в бизнесе
Обзор отечественных решений по безопасности
Практика импортозамещения на предприятиях энергетики

Практика и перспективы (1)

Новый взгляд на мошенничество в сфере компьютерной информации

JOB (58)

«Информзащита» примет участие в разработке ИБ-стандартов
59% Web-мастеров готовы работать «за идею»
CIO vs CISO = конфликт интересов? Или CIO + CISO = эффективный тандем?
Gartner: большинство IТ-директоров не видят возможностей для продолжения карьеры в той же роли
IT-специалисты сменят работу
А увольнять-то некого!
Ах вот ты какой, системный администратор!

Спецпроект: SaaS (4)

Антивирус в облаках. Устроит ли пользователя?
Белые пятна виртуализации
Будущее SaaS: прогнозы и перспективы развития
Миграция на облако: стимулы и препятствия

25 Кадр (2)

Безопасность мобильных банковских приложений
Управление инцидентами ИБ на основе SIEM-систем

Актуально (9)

VPN глазами клиента
Информационные системы: оценка рисков
Материалы круглого стола «Как мы выбираем VPN. Требования потребителя»
На страже безопасности — профессионалы
Несколько слов о коммерческой тайне
Проблема внутри? Решение там же!
Расширенный аудит событий в операционных системах Microsoft Windows

Биометрия (6)

Атаки на биометрические системы
Биопаспорт: шаг в будущее. Часть 1
Биопаспорт: шаг в будущее. Часть 2
Плюсы и минусы биометрической идентификации
Удаленная идентификация/аутентификация с использованием биометрии
Успех внедрения биометрии зависит от того, как выстроен процесс повышения осведомленности

Слово потребителям (2)

Лучшие продукты в области информационной безопасности
Лучшие продукты и системы — лауреаты Премии «ЗУБР-2005»

Техническое обозрение (18)

«Шпиону» вход заказан
Агенты оперативной доставки
Антишпионское ПО (antispyware)
Выбор системы защиты от внутренних угроз
Действующие лица и исполнители
Защита от внутренних угроз
Как бороться со шпионами

Удостоверяющие центры (1)

Документация удостоверяющего центра — базовый элемент инфраструктуры открытых ключей

Информационная безопасность компьютерных сетей (7)

Глобализация и импортозамещение: какие тренды будут актуальны на рынке ИБ в следующем году
Защита от социальной инженерии
Как осуществляется сбор киберулик
Киберсоветы для безопасности детей в Интернете
Компьютерные атаки на информационные ресурсы Российской Федерации: факты и цифры
Современные компьютерные угрозы: что реально угрожает бизнесу?
Современные тенденции кибербезопасности

Оборудование и технологии (585)

«Тонкие» точки доступа — новый уровень безопасности корпоративных сетей Wi-Fi
«VAS-ы» проблемы с SMS
«Аккорд-В». Защита без белых пятен
«Дорожная карта» для СЭД
«Мобильная» электронная подпись
«МультиКарта»: ресертификация на соответствие PCI DSS 3.0
«МФИ Софт» выпускает новую версию DLP-системы «Гарда Предприятие»

Цифровая трансформация (5)

Как технологии искусственного интеллекта трансформируют бизнес
Некоторые аспекты информационной безопасности технологии блокчейн
Российский бизнес: облачная трансформация сервисов ИБ
Спецназ информационных войн
Тенденции в регулировании технологии блокчейн в России и в мире

Разработка (4)

Методы анализа исходного кода
Патентное право как средство защиты новых разработок в области информационных технологий
Практические аспекты построения процесса безопасной разработки программного обеспечения
Применение методов анализа исходного кода при оценке защищенности информационных систем

Аттестация (2)

Аттестация без проблем
По четкому алгоритму

Деловой календарь (2)

Будущее — за интеллектуальными системами
«Интернет и Электронный округ-2005»

Соискатели (3)

«Эфрос» — контроль и администрирование команд Cisco
Премия «ЗУБР» — уникальный инструмент управления отношениями с потребителями и регуляторами
Формирование и контроль маскирующих шумов

АСУ ТП (25)

Актуальные вопросы защиты АСУ ТП
Актуальные вопросы защиты АСУ ТП
АСУ ТП, объекты КИИ, ГосСОПКА. Много сложных задач и одно решение
Атаки на низкоуровневые протоколы АСУ ТП на примере HART
Безопасность АСУ ТП сегодня
Безопасность промышленных систем управления
Выстрел на опережение: снижаем риски на старте проекта ИБ АСУ ТП

Защита информации и каналов связи (58)

«Умные сети электроснабжения» (smart grid) и проблемы с кибербезопасностью
DDoS-атака как метод конкурентной борьбы
DeviceLock DLP как современная гибридная DLP-система
DLP vs кейлоггеры = обеспечение безопасности vs нарушение прав граждан
DLP в структуре ИБ предприятия
IDS/IPS: применение в информационных системах компаний
Банк России поднимает требования по борьбе с утечками информации на уровень отраслевого стандарта

Системы контроля и управления доступом (СКУД) (22)

ALTELL Trust: защита начинается с загрузки компьютера
Актуальные проблемы защиты доступа
Безопасность океанских портов: опыт США
Безопасный доступ к информационным ресурсам компании
Биометрические системы: веское слово в информационной безопасности
Биометрия. Болезни роста
Гибридные DLP-системы

Обратная связь (3)

Без внимания не остались
Обратная связь
Письмо представителя ОКБ САПР

Новые продукты (15)

Paragon Deployment Manager 10: развертываем системы при производстве компьютеров, в компьютерных классах и интернет-кафе
Несколько сценариев работы Paragon System Recovery
Новые продукты
Новые продукты
Новые продукты
Новые продукты
Новые продукты

Обзор СМИ (40)

Bioscrypt и Labcal: вместе к безопасности канадских аэропортов
RFID приносит прибыль
SEC остановила торговлю акциями
Symantec проанализировала Vista
Английские фирмы неспособны шифровать данные
Безопасности морских портов США не уделяется внимания
Безопасность e-mail: 25 советов

Работы и услуги (5)

«ИнфоТехноПроект»: серьезный «багаж знаний»
Комплексное управление безопасностью в современных информационных системах
Обзор российского рынка услуг информационной безопасности
Спрос на услуги аутсорсинга информационной безопасности в условиях кризиса
ЭЛВИС-ПЛЮС: спектр услуг

Право и нормативы (148)

PCI DSS – проблемы применения стандарта
PCI DSS – проблемы применения стандарта и способы его внедрения без проблем
PCI DSS: успешный опыт стандартизации на протяжении свыше 10 лет
ZyWALL OTP: Сим-Сим, откройся
Авторское право на программное обеспечение
Антивирусная защита компании: NIST рекомендует
Аттестация автоматизированной системы по требованиям безопасности информации

Индексы деловой активности (5)

Индексы деловой активности: апрель-май
Индексы деловой активности: декабрь-январь
Индексы деловой активности: февраль-март
Индексы деловой активности: январь-февраль
Индексы деловой активности: январь-февраль

Лицензии (5)

В строгом соответствии с действующим законодательством
Получение заветного сертификата
Примерный перечень документов, необходимых для получения лицензии ТЗКИ
Реестр лицензий на деятельность по разработке и (или) производству средств защиты конфиденциальной информации в соответствии с постановлением Правительства Российской Федерации № 348
Реестр лицензий по технической защите конфиденциальной информации в соответствии с постановлением Правительства Российской Федерации № 290

Слово редактора (6)

Большие планы растущего проекта
В поисках своего пути
Гротековское счастье
Итоги лета и немного лирики
Самое лучшее время
Снова Новый год

Мы в соцсетях

Copyright © 2018-2022, ООО «ГРОТЕК»

Политика конфиденциальности

Просто и доступно о 152 ФЗ, регламентирующим обработку персональных данных

На территории нашей страны действует федеральный закон о защите персональных данных, вы наверняка не раз сталкивались с его официальным обозначением – 152-ФЗ.

Суть 152-ФЗ заключается в том, что каждый, кто собирает и обрабатывает персональные данные (ПДн), обязан обеспечить безопасность этой конфиденциальной информации.

Об этом законе написано множество статей, большая часть которых направлена на то, чтобы вызвать у вас, как минимум, беспокойство – соблюдаете ли вы требования 152-ФЗ, могут ли вас оштрафовать на немыслимые суммы, что делать, к кому обратиться? Как правило, авторы этих публикаций гордо предъявляют свои лицензии ФСБ и ФСТЭК, предлагают услуги специализированного или «аттестованного» хостинга под этот закон. Их посыл заключается в том, что без их помощи и услуг вы легко попадете под санкции за нарушение действующего законодательства и можете даже лишиться своих проектов. Поэтому надо всего лишь платить в 3 раза больше, чем за стандартную ИТ инфраструктуру, все остальное покроют «лицензии ФСБ и ФСТЭК».

Мы подготовили этот материал с иной целью – мы пошагово объясним вам принципы действия ФЗ-152, чтобы вы могли самостоятельно определить зону своей ответственности и ответственности провайдера, что будет достаточно предпринять, чтобы соблюсти требования закона и нужно ли вам переплачивать в разы за арендованные облачные серверы.

Определяем, попадает ли сайт под действие 152-ФЗ

Для начала стоит разобраться – что такое персональные данные, работает ли с ними ваш сайт, попадает он под действие 152-ФЗ в принципе?

Персональные данные – это любая информация, которая относится к конкретному человеку (субъекту персональных данных): ФИО, паспортные данные, e-mail, номер телефона и другие.

Важно: если на своем сайте вы запрашиваете у посетителя только e-mail, он не будет являться ПДн, поскольку это просто набор символов, не относящийся к конкретной персоне, но, если вы просите представиться и оставить электронный адрес, вы уже работаете с ПДн.

В принципе, это означает, что любой веб-проект, где с пользователем осуществляется прямое взаимодействие – ему нужно представиться и оставить любую информацию о себе – попадает под действие 152-ФЗ.

Если ваш сайт носит исключительно информативный и ознакомительный характер, не имеет форм обратной связи и не подразумевает никакой коммуникации с аудиторией, 152-ФЗ никак вас не коснется, вы можете закрыть эту статью.

Но если вы определили, что работаете с персональными данными, это значит, что вы имеете статус Оператора ПДн.

Оператор ПДн – это компания, которая собирает, хранит, обрабатывает и распространяет персональные данные.

Если вы храните на своих серверах данные пользователей сайта – вы оператор ПДн.

Даже если вы удаляете полученные персональные данные – вы уже осуществляете их обработку, то есть являетесь оператором ПДн.

Вы – оператор ПДн, а это значит, что требования и санкции, прописанные в законе «О персональных данных» имеют к вам непосредственное отношение. Значит, в этих требованиях стоит разобраться подробнее.

Как классификация ПДн влияет на ответственность оператора

Главный принцип 152-ФЗ гласит, что оператор ПДн обязан обеспечить надежную защиту и конфиденциальность персональным данным, с которыми он работает. А вот степень этой защиты и, соответственно, объем ответственности за ее ненадлежащее обеспечение напрямую зависит от типа ПДн, с которыми работает оператор.

Выделяют 4 типа персональных данных:

Общие ПДн – базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, e-mail и другие. Как правило, эти данные известны широкому кругу лиц и именно их чаще всего запрашивают веб-ресурсы.

Специальные ПДн

Более конкретные данные о личности: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, информация о судимостях и другие. Эту категорию отличает то, что такие данные можно получить только по запросу у самого человека, либо в соответствующих инстанциях.

Биометрические ПДн

Это физиологические или биологические особенности человека, которые используются для идентификации личности: фотографии, отпечатки пальцев, группа крови, генетическая информация и другие.

Важно: если вы не используете фото и другие данные этой категории, чтобы идентифицировать человека, они не являются биометрическими ПДн.

Иные ПДн

К этой категории относятся персональные данные, которые нельзя отнести к категориям, перечисленным выше: принадлежность к определенной социальной группе, корпоративные данные и тому подобные.

Определив категории ПДн, с которыми вы работаете, можно определить и требуемую ФЗ-152 степень их защиты.

Иерархия в данном случае выглядит следующим образом – от меньшей степени защиты к большей:

·      Общедоступные – известны широкому кругу лиц, слабая защита.

·      Иные – известны меньшему количеству людей, требуют чуть большей защиты.

·      Биометрические данные – используются для идентификации личности, требуют серьезной защиты.

·      Специальные данные – при утечке могут нанести вред человеку, требуют самой высокой степени защиты.

Для обеспечения защиты ПДн, согласно закону «О персональных данных», оператору необходимо выстроить безопасную ИТ-инфраструктуру и в случаях, требующих, высокой степени защиты – действительно получить соответствующую документацию от государственных органов, регулирующих действие 152-ФЗ: ФСБ, Роскомнадзор, ФСТЭК – лицензии, свидетельства об аттестации и другие.


Требуемые уровни защиты ПДн 

Обеспечение соответствия ваших проектов 152-ФЗ и меры, которые в этой связи необходимо предпринять, напрямую зависят от категории данных ПДн, с которыми Вы работаете и ряда параметров, наглядно представленных в таблице


Рассмотрим все параметры этой таблицы:

  • Количество субъектов ПДн – число тех, кто оставляет ПДн на вашем сайте.
  • Типы актуальных угроз:
    • 1 тип — не теоретические, связанные с возможностями уязвимостей в системном программном обеспечении, например, в операционной системе, гипервизоре.
    • 2 тип — угрозы средней уязвимости, связанные со слабыми местами прикладного ПО, например, в установленных программах, базах данных.
    • 3 тип — угрозы, не связанные с ПО, например, уязвимости в физическом оборудовании.

Важно: если вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для вас не актуальны (недокументированных возможностей в ПО нет). Но понятно, что таким специфичным ПО пользуются в основном только государственные структуры. В общем случае, специалист по информационной безопасности может точно определить уровень актуальных угроз исходя из той конфигурации ПО и инфраструктуры, которую вы реально используете.

УЗ – это требуемый законодательством уровень защищенности ПДн. Всего выделяют 4 типа, у каждого есть свои определения, но если упрощенно, то данные с УЗ-3 и УЗ-4 можно без опасений хранить в публичном облаке, а вот для УЗ-2 и УЗ-1 нужны особые условия. 


Выбираем путь к соблюдению закона о Персональных данных

Обратите внимание, если у вас интернет-магазин, вы собираете общедоступную информацию от ваших клиентов, и количество этих клиентов, не превышает 100 тыс., то вам не надо беспокоиться об использовании защищенного ФЗ-152 хостинга или облака, также как и о наличии лицензий ФСБ и ФСТЭК.

Вы спокойно можете выбрать провайдера, чьи серверы расположены на территории РФ, и доверить ему свою ИТ-инфраструктуру. Этого будет полностью достаточно, чтобы соблюдать требования 152-ФЗ в части ИТ инфраструктуры и не опасаться санкций и огромных штрафов!

Кстати, если вы используете CMS нашего давнего партнера 1С-Битрикс, то все становится совсем просто – ребята отлично поработали и поставили в CMS модуль – конструктор соглашений, который подойдет для большинства компаний, чтобы решить все задачи с приемом и обработкой персональных данных на сайте. Вот тут подробно описано, как это работает, а мы в свою очередь подготовили оптимизированные под 1С-Битрикс тарифы на ультрабыстром «железе». 

Если же у вас более комплексный случай, то обращайтесь к нам, наши специалисты по информационной безопасности проведут аудит вашего проекта, помогут разработать необходимые нормативные документы и будут готовы сопровождать вас на всех этапах приведения ИТ инфраструктуры к требованиям законодательства.


Группа компаний Rusonyx – ваш надёжный партнёр

Наши серверы находятся не просто на территории РФ – они находятся в самом надежном дата-центре России – DataPro.  Несколько upstream провайдеров с защитой от DDoS обеспечивают связность нашей инфраструктуры с сетью Интернет.

Серверы Dell и Intel обеспечивают работу высоконагруженных вебсайтов, мобильных приложений и инфраструктуры интернет-проектов.

Облако на базе OpenStack и виртуализации KVM обеспечивают отказоустойчивость и безопасность клиентских приложений.

Именно поэтому нам доверяют 35 тысяч интернет-магазинов, предприятий, финансовых организаций и ИТ-компаний.

Оставьте ваши контакты и мы свяжемся с вами, чтобы проконсультировать и рассказать подробней о наших услугах.

Россия принимает закон о реформе защиты данных и информации

13 сентября 2022 г.

  • Осторожно, работодатели: риски, связанные с сокращением штата, связанным с удаленным… автор: Карлос А. Ортис
  • EMTALA в мире пост-Доббса автор: Эми Дж. Дилчер и Аруши Пандья
  • NLRB предлагает новый стандарт совместного работодателя автор: Джеррольд Ф. Голдберг и Джастин Кит
  • Быстрый нападающий TCPA: убедительных утверждений ATDS недостаточно для утверждения … автор: Эрик Дж. Траутман
  • I-9 Изменения, обновления и предлагаемое нормотворчество от DHS [PODCAST] автор: Джоуи Фонг и Керидвен Дж. Коски
  • Последние изменения в нормативно-правовой базе: расширение освобождения от контроля для… автор: Пабло Э. Каррильо и Людмила Л. Касульке
  • Почему редизайн логотипа вашей фирмы сложнее, чем вы думаете автор: Росс Фишман
  • Министерство труда США взыскало 112 тысяч долларов в виде задолженности по выплате сверхурочных, убытков… по: Министерство труда США
  • Изучение ответственности совместного работодателя за компенсацию работникам Техаса… автор: Лоуренс Д. Смит
  • Бухгалтерские дела с участием SPAC автор: Элейн М. Харвуд и Лаура Э. Симмонс
  • Изменение моделей кадрового обеспечения розничной торговли – непредвиденные риски в условиях новой экономики автор: Ричард Д. Ландау и Шеннон Беттис Накабаяши
  • Как защитить свою учетную запись LinkedIn от хакеров автор: Стефани М. Марроне
  • Суэйлс оказывает минимальное влияние на попытку Максимуса приостановить коллективные действия… автор: Кристофер М. Пардо и Элизабет Л. Шервуд
  • Защита осведомителей в Чешской Республике автор: Ярослав Тайбр
  • Требуются отзывы о регулировании инертных ингредиентов в пестицидах для… по: Закон о пищевых продуктах и ​​​​лекарствах в Келлер и Хекман
  • Как раз тогда, когда вы подумали, что безопасно вернуться в воду. . . … автор: Джонатан С. Арони и Райан Э. Робертс
  • Основные моменты форума по коммерческому наблюдению и безопасности данных FTC… автор: Хантон Эндрюс Курт, Конфиденциальность и кибербезопасность
  • Поправка к Закону UBO и представитель торгового реестра автор: Даница Шебестова и Марек Хрубеш
  • Отчет Foley Automotive от 13 сентября 2022 г. автор: Джон Р. Трентакоста и Энн Мари Уэтц
  • Государственный праздник Ее Величества королевы Елизаветы II объявлен выходным. .. автор: Джонатан Мод и Даниэль Стандер
  • Защита финансиста конверсии пассажирского самолета в… автор: Тимоти Дж. Лайнс и Стюарт Б. Герман
  • Осуждение за лабораторное тестирование COVID-19 в соответствии с EKRA Автор: Даниэль Х. Тангорре
  • Консультативное заключение 22-16: OIG отказывается налагать санкции за… автор: Майкл Дж. Лизитано
  • Оповещение для телекоммуникаций: EAS NPRM; Процесс сбора широкополосных данных… автор: Уэсли К. Райт и Шон Стоукс
  • Протокол судебного разбирательства: меняющийся ландшафт процедур массовых исков автор: Абрам И. Мур и Виктория Огунтой
  • Знание об ограничениях приводит к гибели акций автор: Кит Пол Бишоп
  • Пересечение монитора и боковой панели, часть 1: я тот, кто стучит [ПОДКАСТ] автор: Кевин Д. Коллинз и Сет Д. Дюшарм
  • Неспособность обновить информацию о Medicare может дорого обойтись автор: Кристина М. Кута
  • Президент Байден запускает Национальную биотехнологическую и биопроизводств. .. автор: Линн Л. Бергесон и Карла Н. Хаттон
  • Октябрь 2022 г. Visa Bulletin показывает значительный регресс для EB-2… автор: Амена Халил
  • Второй круг: заявления разоблачителей SOX требуют ответных намерений автор: Пинчос (Пинни) Голдберг и Алиша А. Брюс
  • Ежегодное обновление рынка юридических фирм Миннеаполиса автор: Брайан МакМахон

12 сентября 2022 г.

  • OFCCP выпускает летнее руководство по сертификации позитивных действий… автор: Эбби М. Уоррен
  • Обновление: Законодательство Калифорнии предлагает расширить исключения CCPA для… Автор: Труд и занятость Хантон Эндрюс Курт
  • Калифорния создает неизбираемый совет для установления минимальной заработной платы / рабочего… автор: Энтони Дж. Онциди и Ариэль Н. Бротман
  • Предложенное NLRB правило совместного работодателя — прямо, косвенно,… автор: Т. Мэтью Миллер и Энн Р. Юнгерт
  • Готово к запуску (наконец-то): урегулирование прокладывает путь для EB-5. .. автор: Шей Армстронг и К. Скотт Слоан
  • Платежная прозрачность скоро появится в округе Вестчестер, штат Нью-Йорк автор: Сьюзен М. Коркоран
  • Не так БЫСТРО… Блокирование нового союза индустрии быстрого питания в Калифорнии… автор: Скотт Дж. Уитлин
  • Другие разработки DC, не связанные с соревнованиями: пристегните ремень безопасности автор: Пол Р. Монсис
  • Дело PFAS Hardwick – существенное судебное решение может снизить класс автор: Джон Гарделла
  • Генеральный прокурор Калифорнии расследует предвзятость в алгоритмах здравоохранения автор: Лара Д. Комптон и Джейн Хэвиленд
  • Важная рутина: «Свидетельства рутинной практики» несут в себе смысл для… автор: Эрик Дж. Траутман
  • «Rent-A-Legal-Expert»: как фирмы, предоставляющие финансовые услуги, капитализируют… автор: Энтони Грэм и Кристиан Уорти
  • Работодатели, использующие PERM Labour Certification, следят за зарплатой… автор: Надин Т. Трин
  • LIBOR(ED): пора устанавливать новые ориентиры! автор: Харшита Шривастава и Нишал Джошипура
  • Правовой статус после слияния – прекратить существование или нет? автор: Вибхоре Батвара и Ипсита Агарвалла
  • Еженедельный обзор IRS, 6–9 сентября 2022 г. автор: Макдермотт Уилл и Эмери
  • IFSCA уведомляет о правилах FME, 2022 г. автор: Сришти Чабра и Ипсита Агарвалла
  • Еженедельное оповещение о банкротстве: 12 сентября 2022 г. Автор: Группа бизнес-практики Пирс Этвуд
  • Субъект данных (ЕЭЗ) → Обработчик Z (не в ЕЭЗ) → Обработчик Y (не в ЕЭЗ) автор: Дэвид А. Зетуни и Андреа Мацеевски
  • Предложенное NLRB новое правило расширит статус совместного работодателя до … автор: Дженнифер А. Йелен и Дерек Барелла
  • ОЭСР публикует серию новых отчетов о безопасности промышленных… автор: Линн Л. Бергесон и Карла Н. Хаттон
  • Косметическая ошибка: весь британский контент в Instagram должен быть понятен на… автор: Артур Артинян и Джорджина Ригг
  • Пришло время пересмотреть ваш онлайн-интерфейс «пациент-пользователь»: вопросы Министерства юстиции… автор: Кейт Л. Памперин и Ларри С. Перлман
  • Продолжается судебный процесс по поводу содержания клубники в зерновых батончиках Kashi автор: Лиза П. Олсбрук и Мелвин С. Дрозен
  • Регулирование тепловых сетей: на помощь приходит законопроект об энергетической безопасности? автор: Бен Холланд и Рут Ю. Чанг
  • Разделенная комиссия по пятому контуру поддерживает закон о чистом воздухе на сумму 14,25 млн долларов … автор: Дж. Майкл Шоуолтер и Сара Л. Лоде
  • Федеральная торговая комиссия США (FTC) подает иск против компании, называющей свою продукцию китайского производства… автор: Филлис Х. Маркус и Сэмюэл Дж. Томас
  • Референдум направлен на отправку Закона о быстром восстановлении избирателям Калифорнии автор: Лаура А. Пирсон-Шейнберг и Джина М. Рокканова
  • Вы увидите больше из этого: AIA выпускает новые формы освобождения от удержания автор: Кайл М. Дуарон
  • BIS расширяет освобождение от контроля для стандартных настроек на всех в организации… Автор: Практика международной торговли в Squire Patton Boggs
  • Оцените конфликты: рейтинговое агентство SEC Sanctions и его руководитель автор: Питер Д. Хатчеон
  • Вы имеете право создать союз и вступить в него по: Министерство труда США
  • Что такое церковь? CFL рассказывает, как сказать автор: Кит Пол Бишоп
  • Шестой округ отказывает правительству в оказании чрезвычайной помощи вакцине для ВВС… автор: Шамс Хирджи

11 сентября 2022 г.

  • Что должен знать каждый юрист о финансировании судебных разбирательств автор: Пол М. Коппола
  • Запрос на аудит Фонда грантов второго округа выходит далеко за рамки ЦБ автор: Роберт Р. Перри

Хантон Эндрюс Курт Конфиденциальность и кибербезопасность


Хантон Эндрюс Курт

Закон о конфиденциальности и информационной безопасности Блог-Хантон Эндрюс Курт

Твитнуть

Понедельник, 8 августа 2022 г.

В июле 2022 года Мария Осташенко из Юридической фирмы АЛРУД сообщила, что российский парламент принял, а Президент Российской Федерации подписал закон о крупных реформах в области защиты данных и управления информацией. Реформы включают:

  • Существенные изменения Федерального закона № 152-ФЗ «О персональных данных», в том числе сферы его применения, новые правила трансграничной передачи персональных данных, уведомления об утечке данных и дополнительные меры защиты субъектов данных;

  • Новые изменения в правилах Единой биометрической системы;

  • Установление контрсанкционно-информационного правового режима; и

  • Введение административных штрафов за нарушение Федерального закона № 236-ФЗ «О деятельности иностранных лиц в сети Интернет в Российской Федерации».

Copyright © 2022, ТОО «Хантон Эндрюс Курт». Все права защищены. Обзор национального законодательства, том XII, номер 220

Latest Legal News & Analysis

TRENDING LEGAL ANALYSIS

Swales Has Minimal Impact in Maximus’s Bid to Pause Collective Action Pending Appeal

By

Hunton Andrews Kurth

Protection of Whistleblowers in Czech Republic

By

Squire Patton Boggs (US) LLP

Требуются отзывы о регулировании инертных ингредиентов в пестицидах для органических. ..

By

Keller and Heckman LLP

Как раз тогда, когда вы подумали, что безопасно вернуться в воду. . . 11th Circuit…

By

Sheppard, Mullin, Richter & Hampton LLP

Форум по коммерческому наблюдению и безопасности данных FTC Основные моменты отрасли и… Представитель

By

Squire Patton Boggs (US) LLP

Добро пожаловать в Метавселенную: возможности и проблемы Женщины в сети финтех Серия вебинаров

Среда, 14 сентября 2022 г.

учебный лагерь для специалистов для частных инвестиций 2022

Среда, 14 сентября 2022 г.

TSCA 30/30 сентября 2022 г.

Среда, 1422

И. Серия вебинаров по безопасности и гигиене труда 2022 г.

Четверг, 15 сентября 2022 г.


Хантон Эндрюс Курт, Конфиденциальность и кибербезопасность

В современной цифровой экономике компании сталкиваются с беспрецедентными проблемами в управлении конфиденциальностью и рисками кибербезопасности, связанными со сбором, использованием и раскрытием личной информации о своих клиентах и ​​сотрудниках. Сложная структура глобальных правовых требований, влияющих на сбор, использование и раскрытие личной информации, требует, чтобы современные предприятия хорошо разбирались в вопросах, если они хотят эффективно конкурировать в современной экономике.

Практика Hunton Andrews Kurth LLP в отношении конфиденциальности и кибербезопасности помогает компаниям управлять данными и…

Федеральный закон РФ — Securiti

Закон № 152-ФЗ «О персональных данных»

Федеральный закон Российской Федерации «О персональных данных» (№ 152-ФЗ) от 27 июля 2006 г. остается одним из старейших действующих законов о защите данных. Более того, это один из немногих законов, принятых до принятия знакового Общего регламента ЕС по защите данных (GDPR).

С 2006 года различные поправки к закону ввели такие положения, как требования к локализации персональных данных и, что наиболее важно, права субъектов данных, связанные с обработкой данных. Недавние поправки к Федеральному закону «О персональных данных» требуют согласия субъекта данных на доведение персональных данных до всеобщего сведения и на любое последующее распространение, а также требования по локализации данных.

Действие Федерального закона Российской Федерации «О персональных данных» (№ 152-ФЗ) распространяется на федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные органы государственной власти, органы местного самоуправления, иные муниципальные органы, юридические и физические лица которые используют средства автоматизации или если обработка аналогична автоматизированной обработке. Он применяется к любому юридическому лицу, включая любое иностранное лицо с юридическим присутствием в России, которое собирает персональные данные в России.

Решение

Предлагая функции, включающие обнаружение данных PI, автоматизацию DSR, документированную отчетность и автоматизацию AI-процессов, среди прочего, Securiti обеспечивает полное соблюдение Федерального закона Российской Федерации № 152-ФЗ.
.

Securiti является лидером на рынке решений для управления данными и обеспечения соответствия требованиям, используя передовые инструменты искусственного интеллекта и машинного обучения.

Запросите демонстрацию сегодня, чтобы узнать, как Securiti может помочь вам и вашей организации в обеспечении соответствия требованиям.

Автоматизация обработки запросов на доступ к данным потребителей


Статьи 14, 14(7)

Автоматизация запросов на доступ к данным позволяет обеспечить полное соответствие всего процесса законодательству, а также высвобождает важные человеческие ресурсы для использования. в другом месте.

Безопасное выполнение запросов на доступ к данным

Статьи 14, 14(7)

Централизованный портал позволяет отслеживать все поступающие запросы на доступ к данным и следить за эффективностью их выполнения.

Автоматическая обработка запросов на исправление

Статья 14(1)

Все полученные запросы на исправление могут быть обработаны автоматически через центральный портал.

Автоматизация запросов на удаление данных

Статья 14(1)

Все полученные запросы на удаление данных могут обрабатываться автоматически через центральный портал.

Мониторинг и отслеживание согласия

Статьи 9, 10, 12(1)(4), 15

Используя центральный портал, вы можете отслеживать в режиме реального времени согласие всех субъектов данных на различные разрешения. Кроме того, портал позволяет вам обеспечить соблюдение всех требований согласия и избежать любой незаконной передачи, обмена или продажи данных без согласия пользователей.

Оценка готовности

Статьи 7, 19

Вы можете обеспечить регулярную оценку своей внутренней практики для достижения полного соответствия закону. Эти оценки могут выявить любые пробелы или недостатки во внутренней практике. Затем вы можете исправить их соответствующим образом.

Оценка третьих сторон

Статья 12

Вы можете распространить эти оценки готовности на своих третьих лиц и поставщиков и их деловую практику, чтобы убедиться, что они также полностью соответствуют положениям закона.

Сопоставление потоков данных


Статьи 9, 10, 12(1) (4), 15

Простое отслеживание и мониторинг всех входящих и исходящих передач данных в режиме реального времени, особенно трансграничных передач данных, для обеспечения достоверности данных. Процессинговая деятельность соответствует законодательству.

Соответствие требованиям к файлам cookie

Статья 9

Отслеживайте все основные и сторонние файлы cookie, используемые вашей организацией, через центральный портал и убедитесь, что они полностью соответствуют законодательству.

Управление рисками поставщиков

Статья 22

Отслеживайте все действия ваших поставщиков по обработке данных, связанные с вашей базой данных, чтобы убедиться, что их действия соответствуют закону.

Основные права в соответствии с Федеральным законом № 152-ФЗ

Как и все основные действующие на сегодняшний день законы о защите данных, Федеральный закон Российской Федерации № 152-ФЗ гарантирует всем пользователям определенные права, такие как следующие:

Право доступа субъекта персональных данных к его персональным данным

Все субъекты данных имеют право запросить доступ ко всем данным, собранным о них контроллером данных.

Другая информация, которую может получить субъект данных, включает следующее:

  • Подтверждение обработки данных оператором;
  • Правовые основания и цель обработки данных оператором;
  • Методы, используемые при обработке данных оператором;
  • Контактная информация оператора;
  • Источник данных, собранных о субъекте данных;
  • Срок обработки данных, включая срок их хранения;
  • Порядок осуществления прав субъекта данных;
  • Информация о любых трансграничных передачах данных;
  • Контактная информация лица, осуществляющего обработку данных по поручению оператора.

Права на исправление и удаление персональных данных

Субъекты данных имеют право потребовать от оператора исправления, блокировки или уничтожения их персональных данных, если персональные данные являются неполными, устаревшими, неточными, полученными незаконным путем или не нужны для заявленной цели обработки.

Права субъектов данных, если их персональные данные обрабатываются в целях продвижения товаров на рынке

Обработка персональных данных в целях прямого маркетинга разрешена при строгом условии, что субъект данных дал предварительное согласие. Прямой маркетинг может включать обработку данных в целях продвижения товаров, работ, услуг на рынке путем установления прямых контактов с потенциальным потребителем с использованием средств связи, а также в целях политической агитации.

Субъект данных имеет право потребовать от оператора прекратить отправку ему рекламных акций такого рода, и оператор должен немедленно выполнить такой запрос.

Право на отзыв согласия

При обработке данных на основе согласия субъект данных имеет право отозвать согласие в любое время. В случае отзыва согласия контролеры должны прекратить обработку персональных данных или организовать ее прекращение (если обработка осуществляется другим лицом, действующим от имени контролера), и если хранение больше не требуется для целях обработки данных, уничтожить данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты получения указанного отзыва.

Права в отношении общедоступных данных

Общедоступные данные – категория персональных данных, доступ к которым неограниченному кругу лиц предоставляется субъектом данных путем дачи согласия на обработку персональных данных для распространения. Для распространения или разрешения распространения персональных данных требуется согласие субъекта данных.

Права субъектов данных в отношении принятия решений исключительно на основании автоматизированной обработки их персональных данных

Субъекты данных имеют право запросить запрет на использование автоматизированного принятия решений на основе собранных ими данных, если это затрагивает их права или интересы.

Оператор может приступить к автоматизированному принятию решений только с предварительного согласия субъекта данных и должен прекратить эту деятельность, если субъект данных потребует ее прекращения.

Факты, относящиеся к Федеральному закону N 152-ФЗ

Федеральный закон 152-ФЗ обязывает операторов данных, осуществляющих сбор персональных данных граждан Российской Федерации, обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, расположенных в России.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является соответствующим надзорным органом.

Федеральный закон N 152-ФЗ требует, чтобы все организации, занимающиеся обработкой данных, назначали сотрудника по защите информации (DPO).

Федеральным законом 152-ФЗ предусмотрена компенсация морального вреда и административно-нормативных штрафов. Штраф на граждан может быть в размере от четырех тысяч до двенадцати тысяч рублей за любое нарушение законодательства о защите информации.

В Государственную Думу внесен законопроект об усилении защиты субъектов персональных данных

Главная  •   Аналитика и брошюры  •   Оповещения  •   В Государственную Думу внесен законопроект об усилении защиты субъектов персональных данных быть улучшенным

«Пепеляев Групп» сообщает, что 06.04.2022 законопроект В Государственную Думу внесено № [1] , предусматривающее внесение изменений в Федеральный закон № 152-ФЗ «О персональных данных» (далее — Законопроект). Законопроект призван усилить защиту прав граждан России на неприкосновенность частной жизни.

Вопрос обеспечения безопасности персональных данных от несанкционированного доступа посторонних лиц является весьма актуальным. Персональные данные российских граждан в последнее время часто становятся доступными для широкой публики. Согласно пояснительной записке к законопроекту, стали популярными интернет-сервисы, реализующие персональные данные граждан России из различных баз данных. Часть таких сервисов находится в зарубежном сегменте сети Интернет, на который не распространяются требования российского законодательства о персональных данных. По статистике Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (известной в России под аббревиатурой «Роскомнадзор»), более 2500 операторов персональных данных передают персональные данные граждан России через границу во враждебные страны. .

В пояснительной записке к законопроекту также подчеркивается, что существующих инструментов недостаточно для обеспечения защиты прав граждан Российской Федерации как субъектов персональных данных.

Введение принципа экстерриториальности № 152-ФЗ

Предлагается распространить положения Закона № 152-ФЗ на действия с персональными данными граждан Российской Федерации, совершаемые иностранными органами, юридическими и физическими лицами. Предусмотрена возможность вмешательства уполномоченных органов Российской Федерации в обработку персональных данных граждан Российской Федерации на территориях других государств.

Уточнение требований для получения согласия на обработку персональных данных

В настоящее время согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным (пункт 1 статьи 9 152-ФЗ). В законопроекте предлагается дополнить регламент требованием о том, что согласие на обработку персональных данных должно быть содержательным и однозначным.

Введение ответственности оператора при утечке персональных данных

Предлагается ввести обязанность операторов обеспечивать постоянное взаимодействие с государственной системой обнаружения, предотвращения и ликвидации последствий кибератак на российские информационные ресурсы, в том числе оповещение о киберинцидентах, повлекших за собой неправомерный доступ раскрытия, распространения и передачи персональных данных.

В целях учета Роскомнадзор будет вести журнал инцидентов, связанных с неправомерной обработкой персональных данных.

Регулирование статуса лица, осуществляющего обработку персональных данных, на основании указания оператора

Статус лица, осуществляющего обработку персональных данных, регулируется указанием оператора. Например, вводится определение такого лица как государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных по поручению оператора на основании согласия субъекта данных, если иное не установлено Законом № 152-ФЗ.

В законопроекте указано, что лицо, осуществляющее обработку персональных данных, не определяет цели обработки, состав обрабатываемых данных и действия, совершаемые с такими данными.

Уточнение порядка передачи персональных данных через границу

Актуализируется понятие трансграничной передачи персональных данных. Законопроект предусматривает, что для такой передачи решающим является факт нахождения получателя данных на территории иностранного государства, а не его организационно-правовая форма.

Ограничения в отношении обработки биометрических персональных данных

Вводится запрет на обработку биометрических персональных данных несовершеннолетних (до 18 лет), за исключением случаев, предусмотренных пунктом 2 статьи 11 152-ФЗ (исполнение международных договоров о реадмиссии, исполнение законов и судебных решений, обязательной государственной дактилоскопии, а также в других случаях, предусмотренных законодательством Российской Федерации).

Значительное сокращение срока выполнения требований Роскомнадзора

В настоящее время операторы имеют возможность выполнить запросы Роскомнадзора или субъекта данных, связанные с неправомерной обработкой персональных данных или получением информации, касающейся обработки персональных данных, в течение 30 дней после получения таких запросов. Предлагается сократить срок выполнения таких запросов до 10 рабочих дней.

О чем подумать и что делать

Несмотря на то, что законопроект только что внесен в Государственную Думу, организациям, осуществляющим обработку персональных данных, уже сейчас следует предпринять шаги по приведению своей деятельности в соответствие с грядущими изменениями законодательства о персональных данных. Своевременное выявление и устранение нарушений позволит минимизировать правовые риски, возможные дополнительные расходы на устранение последствий, а также избежать репутационных потерь.

Помощь вашего консультанта

Специалисты «Пепеляев Групп» осуществляют постоянный мониторинг изменений законодательства о персональных данных и имеют солидный опыт комплексного сопровождения бизнеса в вопросах соблюдения законодательства, выявления и оценки правовых рисков, разработки бизнес-ориентированных предложений по минимизации выявленных рисков. .

«Пепеляев Групп» оказывает следующие виды услуг:

  • предоставление консультаций по вопросам соблюдения требований законодательства о персональных данных;

  • разработка необходимых документов, связанных с обработкой персональных данных;

  • проверка организационно-технических мероприятий по защите персональных данных;

  • представительство в суде по спорам, связанным с обработкой персональных данных; а также

  • предложение цифрового сервиса для упрощения актуализации списка лиц, имеющих доступ к персональным данным.


[1] Законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации в части защиты прав субъектов персональных данных».

Закон РФ о персональных данных: обзор

Одной из самых популярных услуг, предлагаемых облачными провайдерами, является облако в соответствии с Федеральным законом 152-ФЗ. Услуга особенно полезна для иностранных компаний, ведущих бизнес в России. Облако ФЗ-152 — защищенное частное облако, в котором можно надежно хранить личные данные клиентов или сотрудников.

В этой статье мы освещаем основные пункты закона о защите персональных данных, почему важно его соблюдать и что такое облако ФЗ-152.

 

Что такое закон ФЗ-152?

Федеральный закон № 152-ФЗ «О персональных данных» эквивалентен Европейскому общему регламенту о защите персональных данных (GDPR) с некоторыми отличиями. Он охватывает все виды деятельности, связанные с обработкой и использованием информации, относящейся к конкретному лицу. Это включает в себя полное имя, адрес, номер телефона, фотографию и аналогичные данные. Действие закона распространяется как на органы государственной власти, так и на юридических и физических лиц (за исключением личных и семейных нужд).

Таким образом, действие закона распространяется на любые организации, хранящие информацию о клиентах, а также на сайты, собирающие данные о посетителях. Согласно законодательству сбор и обработка персональных данных могут осуществляться только с согласия человека.

К хранению персональных данных предъявляются самые высокие требования, поэтому остановимся на этом вопросе подробнее:

  • Необходимо хранить тот объем данных, которого достаточно для обработки.

  • Количество информации должно быть достаточным для идентификации субъекта.

  • Если данных недостаточно или они содержат ошибки, данные необходимо уточнить или удалить.

  • Личная информация, собранная для разных целей, не должна объединяться.

  • После обработки персональные данные подлежат уничтожению или обезличиванию.

  • При передаче данных в другую страну вы должны обеспечить наличие необходимой системы защиты и согласие субъекта данных на это.

По закону ФЗ-152 оператор несет полную ответственность за все, что происходит с персональными данными. Он применяется, даже если информация попадает к другим сторонам для обработки данных или из-за утечки. Поэтому личные данные должны храниться только на защищенных серверах. В зависимости от уровня безопасности выделяют четыре категории серверов:

УЗ -1 – это высший уровень защиты специальных данных, использование которых не по назначению может нанести серьезный ущерб. Это может включать информацию о расе и национальном происхождении, политических и религиозных взглядах, состоянии здоровья и т. д.

УЗ -2 — этот уровень предназначен для хранения биометрических данных. Для обеспечения этого уровня необходимы регулярные резервные копии и системы защиты от взлома.

УЗ -3 предназначен для хранения всех остальных данных. В этом случае достаточно ограниченного доступа к хранилищу.

УЗ -4 самый низкий уровень. Публичные данные могут храниться на таких серверах. Для обеспечения безопасности может быть достаточно антивирусного решения.

Требований безопасности к серверам более сотни, но стоит упомянуть самые распространенные из них:

  • Серверы должны находиться в безопасном месте.

  • Должно быть невозможно подключиться к ним напрямую.

  • Только те, у кого есть соответствующие права, должны иметь доступ к данным.

  • Использование сертифицированных средств защиты от угроз.

Риски несоблюдения

Поскольку какие-то данные собирает практически любая компания, вопрос соблюдения ФЗ-152 касается любого бизнеса. Несоблюдение норм хранения и переработки влечет за собой административную, уголовную и гражданско-правовую ответственность.

27 марта 2021 года вступил в силу Федеральный закон, значительно ужесточивший штрафы за утечку персональных данных.

Обратите внимание на следующие новшества:

  1. Любые правонарушения при обработке персональных данных теперь будут немедленно штрафоваться. Раньше было только предупреждение.
  2. Теперь повторное нарушение будет квалифицироваться как самостоятельное правонарушение и штрафы за него будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юридическое лицо запрашивает персональные данные, не соответствующие цели сбора, оно должно выплатить штраф в размере от 60 000 до 100 000 рублей за первое нарушение и штраф в размере от 100 000 до 300 000 рублей за повторное нарушение.

Облако ФЗ-152

Если обеспечить соответствие требованиям УЗ-4 и даже УЗ-3 несложно, то добиться более высоких уровней защиты довольно сложно. Это потребует много времени и финансовых вложений, так как нужно специальное оборудование, лицензионное ПО и квалифицированные сотрудники, которые смогут все правильно настроить. Чтобы сэкономить деньги и обеспечить соблюдение закона, вы можете использовать облако.

Облачные провайдеры, в частности Cloud4Y, предлагают услугу Cloud FZ-152. Это готовое решение, позволяющее легко соблюсти требования 152-го ФЗ. Cloud4Y принимает все организационные и технические меры для обеспечения защиты персональных данных от несанкционированного доступа. Оператор имеет сертификаты УЗ1-4, 1К, 1Г, средства защиты информации, лицензированные ФСБ и ФСТЭК, все необходимые сертификаты и лицензии.

облако fz 152 облачный сервер

Политика в отношении обработки персональных данных

1.

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в отношении обработки персональных данных (далее – Политика) устанавливает основные положения, касающиеся обработки персональных данных пользователей сайта (далее – субъекта персональных данных), собираемых оператором на принадлежащем ему сайте «Интернет» информация и телекоммуникации сети https://visa-russian.ru (далее – сайт).

1.2. Данная политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», иные нормативные правовые акты Российской Федерации регулирующие отношения в сфере обработки персональных данных.

1.3. Перечень личных вещей, подлежащих сбору в лечебном учреждении, устанавливается в соответствии с требования Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

1.4. Оператор руководствуется следующими основными принципами обработки персональных данных:

  • обработка персональных данных должна осуществляться на законной и добросовестной основе;
  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законные цели;
  • не допускается обработка персональных данных, несовместимая с целями сбора личные данные;
  • не могут быть объединены базы данных, содержащие персональные данные, обработка которых осуществляется в целях которые несовместимы друг с другом;
  • обрабатывать только те персональные данные, которые соответствуют целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям лечение;
  • обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработка;
  • при обработке персональных данных должна быть обеспечена достоверность персональных данных, достаточность, и когда это необходимо и уместно в отношении целей обработки персональных данных;
  • оператор должен принять необходимые меры, чтобы обеспечить свое обязательство по удалению или уточнить неполные или неточные данные;
  • персональные данные должны храниться в форме, определяющей субъект персональных данных, не более требуется в целях обработки персональных данных, если срок хранения персональных данных установленные федеральным законом, договоры к которым, бенефициаром которых является субъект личные данные;
  • обрабатываемые персональные данные подлежат уничтожению или обезличиванию до достижения обработки целей, либо в случае утраты необходимых для достижения этих целей, если иное не предусмотрено Федеральный закон.

1.5. Обработка персональных данных осуществляется исключительно в целях оказания услуг, для который обращается к субъекту персональных данных на сайте оператора.

1.6. субъект данных будет свободно принимать решение о своих личных данных и соглашаться на их обработку своей воле и в своих интересах. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъекта персональных данных или его представителя в любой возможной форме подтвердить факт получения им форме, если иное не установлено федеральным законом. В случае согласия на обработку персональных данных у представителя субъекта персональных данных полномочиями представитель.

2. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. субъект персональных данных имеет право на получение следующей информации (далее – Информация):

  • подтверждение обработки персональных данных оператором;
  • правовая основа и назначение персональных данных;
  • цели и методы, применяемые оператором обработки персональных данных;
  • наименование и адрес оператора, сведения о лицах (за исключением сотрудники оператора), которые имеют доступ к персональным данным, либо которые могут быть раскрыты персональные данные на основании договора с оператором либо на основании федерального закона;
  • обрабатывать персональные данные, относящиеся к соответствующему субъекту персональных данных, их источник, если иной порядок представления таких сведений не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок реализации прав субъекта персональных данных;
  • Информация об осуществлении предполагаемой трансграничной передачи или передачи данных;
  • имя или фамилия, имя и адрес лица, осуществляющего обработку персональных данных от имени оператора, если за обработку взимается или будет взиматься плата персона;
  • иные сведения, предусмотренные действующим законодательством.

2.2. субъект данных вправе потребовать от оператора уточнения своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно получены или не являются необходимыми для заявленной цели обработки, а также принять юридические меры по защите своих прав

2.3. Информация должна быть предоставлена ​​субъекту персональных данных оператором в доступной форме, и они не должны содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких личные данные.

2.4. Информация предоставляется субъектом персональных данных или его представителем оператором при обработке или при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта личных данных или его представителя, дату выдачи документа и орган, выдавший документ, сведения, подтверждающие участие субъекта персональных данных в отношении оператора (номер договора, дата заключения договора, условное словесное обозначение и (или) иная информация) либо сведения, иным образом подтверждающие обработку персональных данных оператора, подпись субъекта персональных данных или его представителя.

2.5. Если информация и обработка персональных данных были доступны для консультации субъекта персональных данных по запросу, субъект персональных данных вправе повторно обратиться к оператору или повторить его запрос в целях получения информации и ознакомления с такими персональных данных не ранее чем через тридцать дней после первоначального запроса или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с с ним правильный нормативный акт

2.6. субъект персональных данных вправе повторно обратиться к оператору или повторить свой запрос в целях получения информации, а также для ознакомления с процессом обработки персональных данных до истечения тридцати дней в случае, если такая информация и (или) обрабатываемая персональные данные не были предоставлены ему для ознакомления в полном объеме с учетом результатов первоначальное лечение. Второй запрос должен содержать обоснование по направлению повторный запрос.

2.7. Обработка персональных данных в целях продвижения товаров, работ и услуг на рынке, установив прямой контакт с потенциальным клиентом с помощью средств связи, а также в целях политической пропаганды допускается только с предварительного согласия субъект персональных данных. Такая обработка персональных данных признается осуществляемой без предварительное согласие субъекта персональных данных, если оператор не докажет, что такое согласие было полученный.

2.8. Запрещено принятие на основе исключительно автоматизированной обработки персональных данных решений, которые порождают юридические последствия в отношении субъекта персональных данных либо иным образом влияют на права и законные интересы.

2.9. Решение влечет правовые последствия в отношении субъекта персональных данных или иным образом затрагивающие права и законные интересы, могут быть приняты исключительно на основании автоматизированная обработка его персональных данных только с письменного согласия субъекта персональных данных либо в случаях, предусмотренных федеральными законами, устанавливающими и мерами по обеспечению соблюдение прав и законных интересов субъекта персональных данных.

2.10. Оператор обязан разъяснить субъекту персональных данных порядок внесения решения, основанные исключительно на автоматизированной обработке персональных данных и возможном последствия такого решения, дают возможность выдвинуть возражение против этого решение, а также уточнить порядок защиты персональных данных субъекта персональных данных права и законные интересы.

2.11. Если субъект данных считает, что оператор осуществляет обработку персональных данные в нарушение требований настоящего Федерального закона или иным образом в нарушение его прав и свобод, субъект данных имеет право обжаловать действия или бездействия оператора в уполномоченный орган по защите прав субъектами данных или в судах

2.12. субъект персональных данных имеет право на защиту своих законных прав и интересов, в том числе о возмещении убытков и (или) компенсации морального вреда в судебном порядке.

3. ОБЯЗАННОСТИ ОПЕРАТОРА

3. 1. При сборе персональных данных оператор обязан предоставить предмет персональных данные по запросу информации, указанной в пункте 2.1 настоящей Политики

3.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных правовые последствия непредоставления их личные данные.

3.3. В случае если персональные данные не получены от субъекта персональных данных, оператор до обработка персональных данных необходима для предоставления следующей информации субъекту личные данные:

  • имя или фамилия, имя и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • права субъекта персональных данных;
  • источник персональных данных.

Оператор освобождается от обязанности предоставлять указанному предмету личного информацию в следующих случаях:

  • субъект данных уведомлен об осуществлении обработки его персональных данных соответствующий оператор;
  • персональные данные, полученные оператором на основании федерального закона или в связи с выполнение контракта, по которому любой выгодоприобретатель или поручитель по нему является предметом личные данные;
  • персональные данные становятся доступными для общественности с учетом персональных данных или получены от общедоступный источник;
  • оператор осуществляет обработку персональных данных для статистических или иных исследований целях, для профессиональной деятельности журналиста или научного, литературного или иного творческой деятельности, если она не нарушает права и законные интересы личных субъект данных;
  • предоставление субъектом персональных данных этой информации нарушает права и законные интересы третьих лиц.

3.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационных сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, модификация), извлечение русской Персональные данные граждан Российской Федерации с использованием баз данных на территории Российской Федерации. Федерация.

3.5. Оператор обязан принять меры, необходимые и достаточные для обеспечения того, чтобы обязанности, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и настоящим Политика.

3.6. В случае неправомерной обработки персональных данных при доступе к персональным данным субъекта или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченный орган по защите прав субъектов персональных данных, оператор должен осуществлять блокировку неправомерно обрабатываемых персональных данных, относящихся к персональным данным субъекта, либо обеспечить их блокировку (в случае если обработка персональных данных осуществляется иным лицо, действующее от имени оператора Атор), поскольку такая обработка или подготовка указанного период проверки запроса. В случае предоставления недостоверных персональных данных при доступе к субъекта персональных данных или его представителя как по их требованию, так и по требованию уполномоченный орган по защите прав субъектов персональных данных, оператор обязан осуществить блокировку персональных данных, относящихся к субъекту персональных данных, либо предоставить их с блокировкой (в случае обработки персональных данных иным лицом, действующим от имени оператора) после такой обработки или подготовки указанного запроса проверяется срок и, если блокировка персональных данных не нарушает права и законные интересы персональных данных субъект или третье лицо.

3.7. В случае подтверждения недостоверности персональных данных Оператор на основании информация, предоставленная субъектом персональных данных или его представителем либо уполномоченным полномочия на защиту прав субъектов персональных данных или иные необходимые документы, необходимые уточнить персональные данные или предоставить им уточнение (в случае, если обработка персональных данных осуществляется другим лицом, действующим от имени оператора) в течение семи рабочих дней с даты предоставления такой информации и снять блокировку личного Данн х.

3.8. В случае неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим от имени оператора, в срок, не превышающий трех рабочих дней с с момента обнаружения обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерного обращения с персональными данными лица, действующего от имени оператора. Если обеспечить правомерность обработки персональных данных невозможно, оператор в течение срока не более десяти рабочих дней со дня обнаружения неправомерной обработки персональных данные должны уничтожить такие персональные данные или обеспечить уничтожение. Для устранения нарушения или уничтожения персональных данных, оператор обязан уведомить субъекта персональных данных или его представитель,

3.9. В случае отзыва согласия субъекта персональных данных на обработку его персональных данных, оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных, осуществляемая иным лицом, действующим по поручению оператора) и в случае, если хранение персональных данных больше не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить уничтожение (в случае если обработка персональных данных осуществляется другим лицом, действующим от имени Императора) в срок, не превышающий тридцать дней с даты получения указанного отзыва.

3.10. В случае отсутствия возможности уничтожения персональных данных в срок указанных в пункте 3.9 настоящей Политики, оператор осуществляет блокировку персональных данных и обеспечивает их блокировку (в случае если обработка персональных данных осуществляется иным лицо, действующее от имени оператора) и обеспечивает уничтожение персональных данных в бессрочный срок более шести месяцев, если иное не установлено федеральными законами.

4. БЕЗОПАСНОСТЬ ЛИЧНЫХ ДАННЫХ

4.1. Оператор при обработке персональных данных обязан принимать необходимые юридические, организационные и технические меры или обеспечить их принятие для защиты персональных данных от несанкционированного или случайного доступа, уничтожения, модификации, блокирования, копирования, предоставление, распространение персональных данных, а также иные неправомерные действия в отношении личные данные.

4.2. Обеспечение безопасности персональных данных достигается за счет:

  • определение угроз безопасности персональных данных при их обработке в составе информации системы персональных данных;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требования к защите персональных данных, выполнение которых предусматривает совокупность Российская Федерация, уровни защиты персональных данных государством;
  • применение в установленном порядке процедуры подтверждения соответствия средства защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввод в действие информационной системы персональных данных;
  • учет машинных носителей персональных данных;
  • обнаружение несанкционированного доступа к персональным данным и принятие мер;
  • восстановление персональных данных, измененных или уничтоженных в результате несанкционированного доступа к их;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и регистрации всех действий совершенные с персональными данными в информационной системе персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защита персональных данных информационных систем.

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

5.1. Контроль за соблюдением данной политики осуществляется надлежащим образом должностными лицами оператора лица.

5.2. Лица, признанные виновными в нарушении требований настоящей Политики, Российская Федерация нести ответственность, установленную законом.

5.3. Оператор имеет право вносить изменения в настоящую политику по мере необходимости или в связи с изменениями в действующее законодательство. Все изменения подлежат немедленной публикации на сайте.

5.4. Сайт может содержать ссылки на другие интернет-ресурсы, не контролируемые оператор. Переход на данные интернет-ресурсы осуществляется исключительно по волеизъявлению субъект персональных данных. Оператор не несет ответственности за конфиденциальность или безопасность в Интернете Ресурсы.

5.5. Для оказания услуг на сайте после ознакомления с персональными данными применяется настоящая Политика. Продолжая использовать сайт и его услуги, субъект данных подтверждает свое согласие с настоящим Политика в целом.

5.6. Вопросы, связанные с настоящей Политикой, можно задавать по указанным каналам связи. на сайте.

Защита данных в Российской Федерации: обзор

6 августа 2018 г.

В этом руководстве по вопросам и ответам представлен общий обзор правил и принципов защиты данных, включая обязательства контроллера данных и согласие субъектов данных; права на доступ к персональным данным или возражение против их сбора; и требования безопасности. Это также распространяется на файлы cookie и спам; обработка данных третьими лицами; и международная передача данных. В этой статье также подробно описывается национальный регулирующий орган; его правоприменительные полномочия; санкции и средства правовой защиты.

Чтобы сравнить ответы в разных юрисдикциях, посетите инструмент вопросов и ответов о защите данных в разных странах.

Эта статья является частью глобального руководства по защите данных. Полный список содержания см. на странице global.practicallaw.com/dataprotection-guide.

Постановление

Законодательство

1. Какие национальные законы регулируют сбор и использование персональных данных?

Общие законы

Основные положения закона о защите данных и конфиденциальности можно найти в:

— Страсбургская конвенция о защите физических лиц при автоматизированной обработке персональных данных 2005 г. (Страсбургская конвенция).

— Конституция России 1993 г. (статьи 23 и 24).

— Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» 2006 г. (Закон о защите информации).

— Федеральный закон № 152-ФЗ «О персональных данных» 2006 г. (Закон о персональных данных).

Основным законом в этой области является Закон о защите персональных данных.

Отраслевые законы

Специальные положения о защите данных также можно найти в различных отраслевых законах, например:

— ТК РФ (глава 14).

— Воздушный кодекс РФ (статья 85.1).

— Федеральный закон № 323 «Об основах охраны здоровья граждан в Российской Федерации».

Существуют также определенные местные административные правила и официальные требования, регулирующие сбор, хранение и использование персональных данных, изданные:

— Президент России.

— Правительство РФ.

— Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

— Федеральная служба по техническому и экспортному контролю (ФСТЭК).

— Федеральная служба безопасности (ФСБ).

Сфера действия законодательства

2. На кого распространяются законы?

Законы о защите данных применяются ко всем операторам данных и третьим лицам, действующим с разрешения операторов данных.

Российское законодательство о защите данных не содержит понятий «контролер данных» и «обработчик данных». Однако в Законе о защите персональных данных упоминаются понятия «оператор данных» и «лицо, действующее по указанию» оператора данных.

Оператором данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которое одновременно:

— Организует и/или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных.

— Определяет цели обработки персональных данных, содержание персональных данных, действия (операции) с персональными данными.

Обработка данных может быть делегирована третьему лицу с согласия субъекта данных, которое будет действовать с разрешения оператора данных на основании соответствующего договора или в силу специального государственного или муниципального акта.

3. Какие данные регулируются?

Законы о защите данных регулируют все персональные данные, обрабатываемые операторами данных или третьими лицами. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту данных).

Российское законодательство о защите данных не делает различий между прямыми персональными данными и косвенными персональными данными. Таким образом, персональные данные будут рассматриваться как «прямые» или «косвенные» в зависимости от обстоятельств каждого дела.

4. Какие акты регулируются?

Законы о защите данных применяются ко всем действиям по обработке данных, включая сбор, запись, систематизацию, накопление, хранение, изменение (обновление, модификацию), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение данных. Электронные (автоматизированные) и ручные (неавтоматизированные) записи персональных данных, а также смешанная обработка данных подпадают под действие законодательства о защите данных.

5. Какова юрисдикция правил?

Законы о защите данных не содержат каких-либо явных положений об их юрисдикционном или территориальном действии. Поэтому обычно предполагается, что национальные правила защиты данных применяются к:

— Обработка данных, которая происходит или нацелена на Россию.

— Сбор, хранение и использование персональных данных граждан Российской Федерации (субъектов данных).

Это не зависит от того, где установлены и расположены операторы данных.

В контексте трансграничного потока данных национальное законодательство о защите данных также может применяться в определенной степени, если российское физическое лицо является стороной договора о передаче данных или пользовательского соглашения либо дает согласие на обработку своих личных данных. данных иностранным оператором данных.

Каковы основные исключения (если таковые имеются)?

Законы о защите данных не распространяются на следующие действия:

— Обработка персональных данных физическими лицами исключительно для личных и семейных нужд (при условии неущемления прав субъектов данных).

— Организация хранения, сбора, учета и использования архивных документов, содержащих персональные данные, в соответствии с национальным законодательством об архивных фондах и делах.

— Обработка персональных данных, которые могут быть отнесены к сведениям, составляющим государственную тайну.

— Представление компетентными органами сведений о деятельности судов в России согласно соответствующему судебному законодательству.

Уведомление

7. Требуется ли уведомление или регистрация перед обработкой данных?

Оператор данных, осуществляющий обработку персональных данных, обязан уведомить Роскомнадзор до начала обработки персональных данных. Уведомление может быть представлено оператором данных на бумаге или в электронном виде.

Уведомление должно содержать следующую информацию:

— Имя и адрес оператора данных.

— Цели обработки персональных данных.

— Категории персональных данных.

— Категории субъектов данных, чьи данные обрабатываются.

— Перечень согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

— Описание ИТ-систем и мер безопасности (включая шифрование).

— Имя и контактные данные уполномоченного по защите данных.

— Дата начала обработки персональных данных.

— Срок обработки или условия прекращения обработки персональных данных.

— Информация о трансграничной передаче данных.

— Расположение базы данных, в которой будут храниться персональные данные российских граждан (см. вопрос 21).

Роскомнадзор зарегистрирует оператора данных в течение 30 дней с момента получения соответствующего уведомления (при отсутствии дополнительных вопросов и запросов). Перечисленная выше информация (за исключением описания ИТ-систем оператора данных и соответствующих мер безопасности) становится общедоступной после включения в реестр. Роскомнадзор ведет реестр операторов данных на основании информации, содержащейся в получаемых им уведомлениях. Реестр операторов данных является общедоступным и доступен на русском языке, см. http://rkn. gov.ru/personal-data/register.

Требование об уведомлении/регистрации распространяется на любого оператора данных, осуществляющего обработку различных категорий персональных данных на территории или за пределами территории России (либо обработку персональных данных граждан Российской Федерации) и использующего свою внутреннюю ИТ-систему или базу данных с соблюдением законодательство о защите данных. Однако оператор данных может быть освобожден от этого установленного законом требования и иметь возможность обрабатывать персональные данные без уведомления/регистрации при определенных обстоятельствах. Например, где персональные данные:

— Обрабатывается только в соответствии с трудовым законодательством.

— Получен оператором данных в связи с договором с субъектом данных (физическим лицом) при условии, что персональные данные:

— не передается третьим лицам без согласия физического лица;

— используется только для выполнения контракта или для заключения дальнейших контрактов с физическим лицом.

— Относится к определенному виду обработки общественным объединением или религиозной организацией, действующими в соответствии с действующим законодательством, при условии, что персональные данные не распространяются и не раскрываются третьим лицам без согласия субъекта данных.

— Субъект данных сделал их общедоступными.

— Состоит только из фамилии, имени и отчества субъекта данных.

— Необходим для предоставления субъекту данных разового доступа в помещение, где находится оператор данных.

— Входит в состав ИТ-систем, получивших статус государственных компьютерных ИТ-систем в соответствии с действующим законодательством, либо в государственные ИТ-системы, созданные в целях обеспечения государственной безопасности и общественного порядка.

— Обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при условии соблюдения прав субъекта данных.

— Обрабатывается в соответствии с законами и правилами, касающимися транспортной безопасности.

Уведомление и регистрация не требуют уплаты каких-либо официальных сборов.

Основные правила и принципы защиты данных

Основные обязательства и требования к обработке

8. Какие основные обязательства возлагаются на контролеров данных для обеспечения надлежащей обработки данных?

Основные обязательства, возлагаемые на операторов данных для обеспечения надлежащей обработки персональных данных, следующие:

— Определение категорий персональных данных, целей обработки данных и сроков обработки.

— Получение согласия субъекта данных (если иное не предусмотрено законом).

— Назначение сотрудника по защите данных, принятие политики защиты данных (и других необходимых документов) и принятие других соответствующих мер безопасности (особенно правовых, технических и организационных) для предотвращения несанкционированной/незаконной обработки данных и нарушения законодательства о защите данных.

— Размещение центра обработки данных или сервера данных на территории России, если данные российских физических лиц подлежат обработке оператором данных (см. вопрос 21).

— Уведомление Роскомнадзора в целях регистрации (если иное не установлено законом) (см. вопрос 7).

9. Требуется ли согласие субъектов данных перед обработкой персональных данных?

В большинстве случаев перед обработкой персональных данных требуется согласие субъекта данных. Согласие субъекта данных должно быть конкретным, информированным и умышленным.

Если иное не предусмотрено законодательством, согласие субъекта данных может быть получено в любой форме, в том числе онлайн. Если закон требует, чтобы согласие субъекта данных было дано в письменной форме (например, для обработки биометрических данных), подразумеваемое или предполагаемое согласие не будет считаться действительным.

Электронные подписи разрешены и могут использоваться в соответствии с положениями применимого законодательства о цифровых подписях, если согласие субъекта данных представляет собой электронную форму документа о согласии.

Оператор данных несет бремя доказывания получения согласия субъекта данных.

Нет предписанной или утвержденной формы согласия. Однако Закон о защите персональных данных определяет информацию, которая должна быть указана в письменном согласии субъекта данных:

— Имя, отчество, фамилия и адрес субъекта данных, номер удостоверения личности (например, номер паспорта), дата выдачи удостоверения личности и орган, выдавший его.

— Имя, отчество, фамилия и адрес представителя субъекта данных, номер удостоверения личности (например, паспорта), дата выдачи удостоверения личности и орган выдачи, реквизиты доверенности или др. применимый документ (если согласие дано представителем субъекта данных).

— Имя, отчество, фамилия и адрес оператора данных.

— Цель обработки данных.

— Список согласованных персональных данных.

— Имя, отчество, фамилия и адрес любого третьего лица, которое обрабатывает персональные данные с разрешения оператора данных.

— Перечень согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

— Срок действия согласия субъекта данных и способ его отзыва.

— Подпись субъекта данных.

Обработка персональных данных несовершеннолетнего может осуществляться с согласия законного представителя.

10. Если согласие не дано, какими другими основаниями (если таковые имеются) может быть оправдана обработка?

Обработка персональных данных без согласия субъекта данных может быть оправдана при определенных обстоятельствах. Например, если обработка данных требуется для:

— Для целей, определенных международным договором или законодательством Российской Федерации.

— Определенные судебные цели.

— Осуществление отдельных полномочий федеральными органами, предоставляющими государственные и муниципальные услуги.

— Соглашение с субъектом данных или соглашение, в котором субъект данных является выгодоприобретателем или поручителем.

— Защита жизни, здоровья или других жизненно важных интересов субъекта данных.

— Защита прав и интересов оператора данных или третьих лиц или в общественных целях при условии отсутствия нарушений прав и свобод субъекта данных.

— Профессиональная журналистская, медийная, научная, литературная или иная творческая деятельность при условии отсутствия нарушений прав и свобод субъекта данных.

— Статистические или другие научные цели (при условии, что соответствующие персональные данные были анонимными).

— Обработка данных, которые были сделаны общедоступными субъектом данных по его/ее запросу.

— Обязательная публикация или раскрытие в соответствии с действующим законодательством.

Специальные правила

11. Применяются ли специальные правила к определенным типам персональных данных, например конфиденциальным данным?

В соответствии с Законом о защите персональных данных к конфиденциальным данным относится любая информация, которая касается национальности, расового или этнического происхождения, политических взглядов, религиозных или философских убеждений, состояния здоровья или сексуальной жизни человека. Конфиденциальные данные могут быть обработаны только в том случае, если:

— Субъект данных дал письменное согласие на обработку данных.

— Персональные данные были опубликованы субъектом данных.

— Требуется оформление по международному договору России о реадмиссии (например, возвращение иммигрантов в страну).

— Обработка производится для Всероссийской переписи населения.

— Обработка осуществляется в соответствии с соответствующими законами о социальной поддержке, занятости или пенсиях.

— Обработка необходима для защиты жизни, здоровья или жизненно важных интересов субъекта данных или других лиц при условии невозможности получения согласия субъекта данных.

— Обработка производится лицом, занимающимся различной медицинской деятельностью в определенных медицинских целях, при условии, что обработка осуществляется профессионалом с соблюдением врачебной тайны.

— Обработка осуществляется общественными объединениями или религиозными организациями в отношении персональных данных их членов для целей, определенных их учредительными документами, при условии, что персональные данные не передаются третьим лицам без письменного согласия субъекта данных.

— Обработка необходима для установления или защиты прав субъекта данных или третьих лиц или для отправления правосудия.

— Обработка производится в соответствии с законодательством Российской Федерации об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, правоохранительной деятельности, исполнении, уголовном розыске и уголовном преследовании.

— Обработка производится органами прокуратуры в рамках особого уголовного преследования.

— Оформление производится в соответствии со страховым законодательством.

— Обработка производится государственными органами, муниципальными учреждениями или организациями в целях усыновления ребенка.

— Обработка производится в соответствии с действующим законодательством о гражданстве.

Обработка конфиденциальных персональных данных (если это разрешено законом) будет немедленно прекращена, если причины для обработки больше не существуют.

Права физических лиц

12. Какая информация должна быть предоставлена ​​субъектам данных в момент сбора персональных данных?

В момент сбора персональных данных субъекту данных должна быть предоставлена ​​следующая информация:

— Цель сбора/обработки данных.

— Объем сбора/обработки данных.

— Срок сбора/обработки данных.

— Подробная информация об операторе данных (или любой третьей стороне, действующей с разрешения оператора данных).

— Другая информация, предусмотренная законодательством.

13. Какие другие конкретные права предоставляются субъектам данных?

Субъект данных имеет право на доступ к данным, обрабатываемым оператором данных, и право на получение информации, связанной с обработкой данных, в том числе:

— Подтверждение обработки данных оператором данных.

— Правовые основания и цели обработки данных.

— Методы и цели обработки данных, используемые оператором данных.

— Наименование и местонахождение оператора данных, а также сведения о лицах (кроме работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по договору с оператором данных или в соответствии с законодательством.

— Срок обработки данных, в том числе срок хранения персональных данных.

— Информация о любой завершенной или предполагаемой трансграничной передаче данных.

— Другая информация, предусмотренная Законом о защите персональных данных и другими законами.

Кроме того, субъект данных имеет право:

— Исправление и блокировка данных.

— Возражение против обработки данных.

— Объект прямого маркетинга.

— возражение против принятия решений исключительно на основе автоматизированной обработки данных.

— Обжаловать действия или бездействие оператора данных и требовать возмещения убытков, в том числе морального.

14. Имеют ли субъекты данных право требовать удаления своих данных?

Субъекты данных могут запросить удаление своих персональных данных, если данные:

— Неполный.

— Устарело.

— Неточно.

— Получено незаконно.

— Не требуется для заявленных целей обработки данных.

Требования безопасности

15. Какие требования безопасности предъявляются к персональным данным?

Оператор данных должен принять необходимые и достаточные защитные меры для соблюдения законодательства о защите данных, включая следующее:

— Назначение сотрудника по защите данных.

— Принятие политики защиты данных и других документов, в том числе локальных/корпоративных правил, направленных на предотвращение и выявление нарушений законодательства о защите данных.

— Осуществление соответствующих правовых, организационных и технических мер безопасности.

— Проведение внутреннего контроля и/или аудита для обеспечения соответствия обработки данных законодательству о защите данных и политике, документам и/или локальным правилам оператора данных.

— Оценка ущерба, который может быть нанесен субъектам данных в случае нарушения законодательства о защите данных.

— Раскрытие соответствующих положений законодательства о защите данных и требований к защите данных, которые определяют его политику, документы и/или местные правила для своих сотрудников.

В любом случае оператор данных обязан принять необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного/неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления или распространения, а также от любых иных несанкционированных действий в отношении персональных данных. Дополнительные меры безопасности могут быть установлены:

— Выявление угроз безопасности при обработке персональных данных в соответствующих ИТ-системах.

— Обеспечение надлежащего уровня защиты обработки персональных данных в соответствующих ИТ-системах.

— Применение различных сертифицированных методов защиты персональных данных (включая шифрование).

— Оценка эффективности мер безопасности (перед внедрением каких-либо мер безопасности).

— Запись любых компьютерных носителей, содержащих личные данные.

— Выявление несанкционированного доступа к персональным данным.

— Получение персональных данных, которые были изменены или уничтожены из-за несанкционированного доступа.

— Принятие правил, регулирующих доступ к персональным данным, обрабатываемым в соответствующих ИТ-системах, регистрацию и учет всех действий, связанных с персональными данными, в соответствующих ИТ-системах, контроль за соблюдением мер безопасности в отношении персональных данных, уровнем защиты соответствующие ИТ-системы.

16. Существует ли требование уведомлять субъектов данных или национальный регулирующий орган о нарушениях безопасности персональных данных?

Обычно закон не требует сообщать об утечке данных субъектам данных или Роскомнадзору.

При обнаружении или обнаружении несанкционированной обработки персональных данных оператор данных (или соответствующее уполномоченное лицо) должен прекратить обработку в течение трех рабочих дней.

В случае невозможности преобразования несанкционированной обработки персональных данных в законную обработку, оператор данных обязан уничтожить персональные данные в течение десяти рабочих дней.

После прекращения обработки персональных данных или уничтожения персональных данных оператор данных обязан уведомить об этом субъекта данных (или его представителя).

Если запрос на прекращение или уничтожение был сделан Роскомнадзором, уведомление должно быть направлено в Роскомнадзор.

Обработка третьими лицами

17. Какие дополнительные требования (если таковые имеются) применяются, когда третья сторона обрабатывает данные от имени контроллера данных?

Субъект данных должен дать согласие на передачу персональных данных третьим лицам. На третьи стороны распространяются те же юридические требования и обязательства, что и на операторов данных, и они должны соблюдать правила обработки данных, определенные законом. Оператор данных будет нести ответственность за все действия или бездействие третьих лиц, действующих с его разрешения, в то время как соответствующие третьи лица будут нести ответственность перед оператором данных за любую утечку данных.

Электронные коммуникации

18. При каких условиях контролеры данных могут хранить файлы cookie или эквивалентные устройства на конечном оборудовании субъекта данных?

Закон не дает определения «куки». Также отсутствуют официальные указания Роскомнадзора (или другого государственного органа) по использованию, применению или распространению файлов cookie.

В соответствии с Законом о защите данных лицо, распространяющее информацию, должно предоставить адресату явную возможность отказа от информации (при использовании метода, позволяющего идентифицировать адресата), в том числе при отправке обычных почтовых сообщений и электронных сообщений. Поэтому обычно предполагается, что все типы файлов cookie требуют согласия субъекта данных (в отсутствие более конкретного законодательства по этому вопросу).

19. Какие требования предъявляются к отправке нежелательных электронных коммерческих сообщений (спама)?

В России запрещены нежелательные электронные коммерческие сообщения (спам). Такие сообщения могут быть отправлены только с предварительного согласия адресата и должны быть немедленно прекращены по его требованию. Несоблюдение этих требований может привести к различным видам ответственности, в том числе административной.

Международная передача данных

Передача данных за пределы юрисдикции

20. Какие правила регулируют передачу данных за пределы вашей юрисдикции?

Статья 12 Закона о защите персональных данных регулирует трансграничные потоки данных. В случае международной передачи персональных данных все операторы данных должны обеспечить (до осуществления передачи), что права и интересы соответствующего субъекта данных полностью и надлежащим образом защищены в соответствующем иностранном государстве. Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных. Кроме того, Роскомнадзор утвердил официальный список стран (включая Австралию, Аргентину, Канаду, Израиль, Мексику и Новую Зеландию), обеспечивающих адекватный уровень защиты в целях трансграничной передачи персональных данных.

Международная передача данных в любую юрисдикцию с надлежащим уровнем защиты не подлежит никаким ограничениям при условии получения согласия соответствующего субъекта данных.

Трансграничная передача персональных данных в страны, не обеспечивающие адекватный уровень защиты, разрешена только в том случае, если:

— Получено письменное согласие соответствующего субъекта данных.

— Трансграничная передача данных разрешена международным договором, участником которого является Россия.

— Трансграничная передача данных разрешена действующим законодательством, если это необходимо для целей:

— защита конституционного строя России;

— обеспечение обороны страны и безопасности государства;

— обеспечение содержания транспортной системы России и защита интересов личности, общества и государства в транспортной сфере от незаконного посягательства.

— Трансграничная передача данных осуществляется для исполнения договора, стороной которого является субъект данных.

— Трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта данных, и получение его предварительного письменного согласия невозможно.

Как правило, компании, выступающие в качестве операторов данных, проверяют адекватный уровень защиты данных перед передачей каких-либо персональных данных за границу. Кроме того, компании будут получать письменное согласие от соответствующих субъектов данных или заключать международные соглашения о передаче данных с соответствующими субъектами данных. Следуя этим шагам, компании будут осуществлять трансграничную передачу данных в соответствии со своими внутренними корпоративными правилами или политиками (если применимо).

21. Есть ли требование хранить (определенные типы) личные данные внутри юрисдикции?

21 июля 2014 г. Президент Российской Федерации подписал Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (новый Закон о защите персональных данных), который вступил в силу 1 сентября 2015 г.

Новый Закон о защите данных вносит поправки в Закон о защите персональных данных, главным образом путем введения:

— Некоторые новые обязанности операторов данных в части сбора, хранения и обработки персональных данных граждан (физических лиц) Российской Федерации.

— Новый механизм Роскомнадзора по блокировке сайтов и интернет-ресурсов, неправомерно обрабатывающих персональные данные граждан (физических лиц) РФ.

В частности, Новым законом «О защите информации» вводится обязанность всех операторов данных обеспечивать запись, систематизацию, накопление, хранение, изменение и извлечение персональных данных граждан Российской Федерации с использованием центров обработки данных, расположенных на территории Российской Федерации. при сборе соответствующих персональных данных физических лиц, в том числе с использованием сети Интернет. Это означает, что любые персональные данные граждан России, собираемые операторами данных, должны храниться на серверах, ИТ-системах, базах данных или центрах обработки данных, расположенных в России.

В Новом Законе о защите данных это прямо не оговорено, но требование трактуется как запрет на хранение персональных данных граждан России за пределами России (без предварительного размещения персональных данных граждан России в России). Таким образом, при буквальном толковании Нового Закона о защите данных местные и иностранные компании (операторы данных) должны обрабатывать или организовывать обработку персональных данных российских граждан в России в первую очередь при соблюдении всех остальных общих требований Закона о защите данных. законодательство о защите данных.

В целом Новый закон о защите данных не предусматривает:

— Запретить доступ к серверам, ИТ-системам или дата-центрам, расположенным на территории России, из-за рубежа.

— Установить какие-либо специальные ограничения на последующую передачу, в том числе трансграничную, персональных данных, относящихся к гражданам Российской Федерации.

— Запретить дублирование персональных данных граждан РФ на иностранные базы данных или серверы.

Соглашения о передаче данных

22. Предусмотрены или используются ли соглашения о передаче данных? Утверждены ли какие-либо стандартные формы или прецеденты национальными властями?

Договоры о передаче данных специально не регулируются законодательством, но широко используются на практике, особенно при участии иностранных сторон. Роскомнадзор не принял типовой формы договора о передаче данных. Поэтому любое соглашение о передаче данных будет составлено в соответствии с конкретными обстоятельствами и подписано сторонами в соответствии с основным принципом свободы контактов.

23. Достаточно ли соглашения о передаче данных для узаконивания передачи или должны быть выполнены дополнительные требования (например, необходимость получения согласия)?

Соглашения о передаче данных, как правило, достаточно для узаконивания международной передачи персональных данных при условии, что согласие субъекта данных прямо указано в таком соглашении или прилагается к нему. В некоторых случаях соглашения о передаче данных будут заключаться в виде трехсторонних контрактов.

Кроме того, оператор данных должен уведомить Роскомнадзор о своем праве на трансграничную передачу данных в момент направления уведомления для целей регистрации.

24. Должен ли соответствующий национальный регулирующий орган утверждать соглашение о передаче данных?

Роскомнадзору не нужно согласовывать или регистрировать договор о передаче данных. Соглашение о передаче данных должно быть подписано соответствующим оператором данных, третьей стороной и субъектом данных в письменной форме, чтобы быть эффективным и подлежащим исполнению.

Правоприменение и санкции

25. Каковы правоприменительные полномочия национального регулирующего органа?

Роскомнадзор имеет определенные правоприменительные полномочия и несет ответственность за следующее:

— Отправка запросов физическим/юридическим лицам и получение необходимой информации по обработке данных.

— Проведение проверок и проверка информации, содержащейся в уведомлениях об обработке персональных данных, представленных операторами данных, или привлечение других государственных органов для этой конкретной цели.

— Исправление, блокирование или уничтожение ложных или полученных незаконным путем персональных данных.

— Ограничение доступа к данным, которые обрабатываются в нарушение законодательства о защите данных (см. Вопрос 21).

— Приостановление или прекращение обработки персональных данных, которая была инициирована нарушением законодательства о защите данных.

— Подача гражданских исков в компетентные суды по защите прав субъектов данных и представление интересов субъектов данных в суде.

— Подача ходатайств в ФСТЭК, ФСС и другие государственные органы о приостановлении или аннулировании соответствующих лицензий.

— Направление материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел по фактам утечки данных.

— Издание обязательных для исполнения предписаний и привлечение виновных к административной ответственности.

26. Какие существуют санкции и средства правовой защиты в случае несоблюдения законов о защите данных?

В России несоблюдение законодательства о защите данных в целом может наказываться:

— Гражданско-правовые санкции (например, возмещение морального вреда).

— Административные санкции (например, административные штрафы).

— Уголовные санкции (например, лишение свободы).

Российские законы о защите данных в последние годы применялись довольно активно, и субъекты данных направили много жалоб в Роскомнадзор. Также увеличилось количество обращений операторов данных на приказы и решения Роскомнадзора о наложении различных санкций на операторов данных и блокировке их интернет-ресурсов. В результате национальная судебная и судебная практика, касающаяся санкций за несоблюдение российского законодательства о защите данных, продолжает постоянно развиваться.

С 1 июля 2017 года вступили в силу поправки в соответствующие законы о защите данных и Кодекс Российской Федерации об административных правонарушениях, существенно ужесточившие административные санкции за утечку данных. Нарушения защиты данных подразделяются на следующие типы нарушений конфиденциальности, которые влекут за собой следующие административные штрафы (если правонарушение не является преступлением):

— Обработка персональных данных в случаях, не предусмотренных действующим законодательством, и обработка персональных данных, несовместимая с целями обработки (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 3000 рублей;

— индивидуальные предприниматели: от 5 000 до 10 000 рублей;

— должностные лица компаний и государственные служащие: от 5 000 до 10 000 рублей;

— организации: от 30 000 до 50 000 рублей.

— Обработка персональных данных, осуществляемая без письменного согласия субъекта данных в случаях, когда такое согласие необходимо, либо с письменного согласия, не отвечающего обязательным требованиям:

— физические лица: от 3 000 до 5 000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компаний и государственные служащие: от 10 000 до 20 000 рублей;

— компании: от 15 000 до 75 000 рублей.

— Неопубликование или предоставление доступа к политике конфиденциальности или информации о требованиях к защите персональных данных (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 700 до 1500 рублей;

— индивидуальные предприниматели: от 5 000 до 10 000 рублей;

— должностные лица компаний и государственные служащие: от 3 000 до 6 000 рублей;

— компании: от 15 000 до 30 000 рублей.

— Непредоставление физическим лицом сведений об обработке его персональных данных (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 15 000 рублей;

— должностные лица компаний и государственные служащие: от 4 000 до 6 000 рублей;

— компании: от 20 000 до 40 000 рублей.

— Невыполнение (в установленный срок) требования об уточнении, блокировании или уничтожении персональных данных (в случаях, когда персональные данные являются неполными, устаревшими, неточными, неправомерно полученными либо не соответствуют заявленной цели обработки данных) (а вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компаний и государственные служащие: от 4 000 до 10 000 рублей;

— компании: от 25 000 до 45 000 рублей.

— Несоблюдение требований безопасности при хранении материальных носителей, содержащих персональные данные, а также несанкционированный доступ, повлекший неправомерный или случайный доступ к персональным данным либо их уничтожение, изменение, блокирование, копирование, передачу или распространение:

— физические лица: от 700 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компаний и государственные служащие: от 4 000 до 10 000 рублей;

— компании: от 25 000 до 50 000 рублей.

— Неисполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных либо несоблюдение способов или требований обезличивания (вместо штрафа может быть вынесено предупреждение): от 3 000 до 6 000 рублей.

Если Роскомнадзор расследует и выявит любую утечку данных, он уполномочен:

— Возбудить дело об административном правонарушении.

— Составить протокол об административном правонарушении в отношении нарушителя.

— Подать административное дело в суд.

— Детали регулятора

Детали регулятора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

http://eng.rkn.gov.ru

Основные сферы ответственности. Надзор за законной обработкой данных, прием уведомлений, регистрация и ведение реестра операторов данных, проведение проверок и правоприменение, принятие официальных правил и руководств. Сайт доступен на английском и русском языках.

Интернет-ресурсы

Роскомнадзор

http://rkn.gov.ru

Описание. Русскоязычная версия официального сайта Роскомнадзора. Сайт содержит официальную актуальную информацию о регулировании защиты данных, правоприменении и законодательстве в России. Сайт также обеспечивает доступ к специальному порталу защиты данных, онлайн-реестру операторов данных и ежегодным отчетам о деятельности Роскомнадзора.

http://eng.

Оставить комментарий

Ваш адрес email не будет опубликован.