Соответствие фз 152 о персональных данных

Вся информация на в статье на тему: "Соответствие фз 152 о персональных данных". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

Соответствие фз 152 о персональных данных

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

В соответствии с частью 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
В п. 2 части 2 ст. 22 установлено, что оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
Сторонами договора являются два юридических лица (заказчик и исполнитель), а не физическое лицо (субъект персональных данных), но согласно условиям договора заказчик передает персональные данные о своих работниках исполнителю для исполнения договора. Помимо данных о фамилиях, именах и отчествах сотрудников заказчика, исполнителю передаются их паспортные данные.
Обязан ли в таком случае исполнитель уведомлять уполномоченный орган об осуществлении обработки персональных данных, полученных от заказчика, так как он будет передавать их третьим лицам?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Ложечникова Елена

Ответ прошел контроль качества

2 августа 2017 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор), в соответствии с Положением о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации от 16.03.2009 N 228.
*(2) Более подробно об этом смотрите Вопрос: Между юридическими лицами заключен договор оказания услуг по техническому обслуживанию оборудования. Заказчик в рамках своего внутреннего регламента запросил информацию по конечным бенефициарам (персональные данные). Может ли исполнитель с письменного согласия субъектов персональных данных передать информацию на бумажном носителе без уведомления уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных? Может ли в данном конкретном случае применяться исключение, предусмотренное п. 8 части 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»? (ответ службы Правового консалтинга ГАРАНТ, январь 2017 г.)

Источник: http://www.garant.ru/consult/civil_law/1131498/

Закон «О персональных данных»

Федеральный закон от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»

С изменениями и дополнениями от:

25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г., 27 декабря 2019 г.

Принят Государственной Думой 8 июля 2006 года

Одобрен Советом Федерации 14 июля 2006 года

ГАРАНТ:

См. комментарии к настоящему Федеральному закону

Президент Российской Федерации

Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования

Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165, в «Парламентской газете» от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451

В настоящий документ внесены изменения следующими документами:

Федеральный закон от 27 декабря 2019 г. N 480-ФЗ

Изменения вступают в силу с 29 декабря 2020 г.

Читайте так же:  Как брать академический отпуск в колледже

См. будущую редакцию настоящего документа

Текст настоящего документа представлен в редакции, действующей на момент выхода установленной у Вас версии системы ГАРАНТ

Федеральный закон от 31 декабря 2017 г. N 498-ФЗ

Изменения вступают в силу с 30 июня 2018 г.

Федеральный закон от 29 июля 2017 г. N 223-ФЗ

Изменения вступают в силу с 10 августа 2017 г.

Федеральный закон от 1 июля 2017 г. N 148-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 22 февраля 2017 г. N 16-ФЗ

Изменения вступают в силу с 1 марта 2017 г.

Федеральный закон от 3 июля 2016 г. N 231-ФЗ

Изменения вступают в силу с 1 января 2017 г.

Федеральный закон от 21 июля 2014 г. N 242-ФЗ

Изменения вступают в силу с 1 сентября 2015 г.

Федеральный закон от 21 июля 2014 г. N 216-ФЗ

Изменения вступают в силу с 1 января 2015 г.

Федеральный закон от 4 июня 2014 г. N 142-ФЗ

Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 21 декабря 2013 г. N 363-ФЗ

Изменения вступают в силу с 1 июля 2014 г.

Федеральный закон от 23 июля 2013 г. N 205-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 5 апреля 2013 г. N 43-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 25 июля 2011 г. N 261-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.

Федеральный закон от 4 июня 2011 г. N 123-ФЗ

Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 23 декабря 2010 г. N 359-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 29 ноября 2010 г. N 313-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 227-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 204-ФЗ

Изменения вступает в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 28 июня 2010 г. N 123-ФЗ

Изменения вступают в силу с 1 июля 2010 г.

Федеральный закон от 27 декабря 2009 г. N 363-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 25 ноября 2009 г. N 266-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/12148567/

Соответствие 152 ФЗ

На кого распространяются требования ФЗ 152

Федеральный закон №152-ФЗ (далее ФЗ 152) – ряд актов и документов, созданных с целью регулирования обращения персональных данных. Действие положения в равной степени касается как субъектов государственного подчинения, так и компаний, которые оперируют персональными данными в личных и коммерческих целях.


В категорию тех на кого распространяются требования ФЗ 152, попадают все организации, в силу должностных и профессиональных особенностей обязанные собирать, систематизировать и защищать личные данные.

Перечень отраслей, для которых работа с ПДн является приоритетной – огромен, но если обобщить возможные варианты, он будет выглядеть так:

  • медицина (независимо от собственника);
  • кредитно-финансовые структуры;
  • страховые организации;
  • компании-операторы сотовой связи;
  • туристическая индустрия;
  • рынок транспортных и пассажирских перевозок;
  • риелторский бизнес;
  • провайдеры систем безопасности.

Важно! Юридические особенности бизнес-моделей некоторых отраслей, могут вступать в конфликт с законом о персональных данных.

Компания Rentacloud гарантированно обеспечит требования ФЗ 152 и поможет избежать проблем с проверяющими.

Соответствие ФЗ 152

Краеугольным камнем, определяющим качество системы обработки личных данных, является защита информации. Обеспечивает должный уровень безопасности, полная реализация требований 152 ФЗ.

Особое внимание уделяется следующим структурным моментам:

  • детализации и контролю аппаратной базы компании вовлеченной в оборот ПДн;
  • юридическому обоснованию внутренних и внешних процессов взаимодействия при обработке ПДн;
  • согласованной работе с третьими сторонами прямо или косвенно занятым в обращении ПДн;
  • регулярному аудиту систем обработки персональных данных компаний.

Выполняя требования соответствия ФЗ 152, организация обеспечивает себе актуальную в плане технического обеспечения и, что важно, юридически обоснованную базу для работы.

Ответственность за нарушение требований 152 ФЗ

Невыполнение положений закона о ПД грозит оператору санкциями. Определяет ответственность за нарушение требований 152 ФЗ статья 24, в которой специфика обработки ПД привязана к пунктам административного, гражданского и уголовного кодекса России.

В зависимости от типа нарушений, к виновным могут быть применены различные меры воздействия. Например:

  • если гражданский кодекс, предусматривает в основном компенсацию морального вреда, либо возмещение убытков, мера которых определяется судом;
  • то, административный кодекс – это уже штрафные санкции в диапазоне от 300 до 20 тыс. руб.;
  • наконец, нарушение пунктов уголовного кодекса может поднять планку штрафов до 100 или 200 тыс. руб., а то и вовсе к лишению свободы на срок до пяти лет.

Отметим еще раз, эксперты, находят немало спорных и не до конца проработанных последней редакцией закона 152 Ф3 моментов. Нивелировать отсутствие четких правил, можно грамотным подходом к специфике отрасли в привязке к определенным главам упомянутых выше кодексов.

Системный интегратор Rentacloud предлагает собственный практический опыт для решения любых юридических вопросов, связанных с исполнением закона 152 Ф3.

Реализация требований 152 ФЗ

Соответствие 152 ФЗ достигается поэтапным выполнением определенных шагов. Применяемый алгоритм может иметь особенности, продиктованные профессиональной спецификой области, но в целом, един для всех операторов.

  • Определение собственных ресурсов и процессов относительно положений ФЗ.
  • Обозначение необходимости делегировать выполнение пунктов ФЗ приглашенным специалистам.
  • Получение соответствующих нормативных документов и методик.
  • Комплексный аудит систем участвующих в обработке данных.
  • Лицензирование и аттестация.

Являясь аудитором ИСПДн, компания Rentacloud предлагает услуги по приведению ресурсов клиента в полное соответствие с требованиями ФЗ 152.

Практика передачи полномочий профессиональному аутсорсерсу, давно признана наиболее эффективной. Вам не нужно тратить время на получение специальных знаний и опыта или поиску актуальных решений. Все задачи решим мы.

Источник: http://rentacloud.su/faq/sootvetstvie-152-fz/

Соответствие ФЗ «О персональных данных» (152-ФЗ)

Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и подзаконными нормативными документами, регламентирующими защиту персональных данных (далее – ПДн), установлены правила в отношении порядка обработки и обеспечения безопасности ПДн. Указанные правила носят обязательный характер для всех организаций на территории Российской Федерации независимо от размера, оборота и организационно-правовой формы.

Невыполнение данных правил может повлечь санкции со стороны государственных органов:

  • привлечение организации и/или должностных лиц к административной или иным видам ответственности;
  • иски граждан к организации, как к оператору персональных данных;
  • принудительное приостановление или прекращение обработки ПДн;
  • приостановление действия или аннулирование лицензий на некоторые виды деятельности оператора ПДн.
Читайте так же:  В какой суд обжаловать постановление пристава

Компания Информзащита предлагает услугу по приведению порядка обработки ПДн Заказчиков в соответствие требованиям законодательства Российской Федерации в области защиты персональных данных.

В рамках предлагаемых работ будут решены следующие задачи:

  • сбор и анализ информации о порядке и способах обработки ПДн;
  • определение состава и границ информационных систем, в которых обрабатываются ПДн (далее – ИСПДн);
  • анализ внутренних нормативных и организационно-распорядительных документов (политик, положений, регламентов, стандартов, инструкций и пр.) на предмет соответствия требованиям ФЗ «О персональных данных»;
  • определение актуальных угроз безопасности ПДн в ИСПДн и типов угроз безопасности ПДн;
  • установление уровней защищенности ПДн для каждой ИСПДн;
  • определение набора мер по обеспечению безопасности ПДн при их обработке в ИСПДн на основании установленных уровней защищенности, с учетом актуальных угроз безопасности ПДн, используемых информационных технологий;
  • разработка рекомендаций по регламентации необходимых процедур, связанных с обработкой ПДн;
  • разработка или актуализация пакета документов по порядку обработки ПДн;
  • создание или модернизация системы защиты персональных данных (далее – СЗПДн);
  • оценка эффективности реализованных мер по обеспечению безопасности ПДн при их обработке в ИСПДн.
Видео (кликните для воспроизведения).

В результате выполнения работ, предлагаемых компанией Информзащиты, наши Заказчики получают рекомендации по совершенствованию порядка обработки ПДн и СЗПДн, выполнение которых позволило Заказчикам обеспечить соответствие порядка обработки ПДн обязательным требованиям законодательства Российской Федерации и снизить риски утечки и иных инцидентов с ПДн при их автоматизированной и неавтоматизированной обработке, свести к минимуму количество обращений от субъектов ПДн, а также позволит снизить риски санкций со стороны государственных регуляторов.

Источник: http://infosec.ru/uslugi/sootvetstvie-152-fz-o-personalnykh-dannykh/

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных»

О ПЕРСОНАЛЬНЫХ ДАННЫХ

8 июля 2006 года

14 июля 2006 года

Судебная практика и законодательство — 152-ФЗ О персональных данных

5.2. Не позднее чем за один день до дня голосования (пятница) избирательная комиссия субъекта Российской Федерации размещает на своем официальном сайте сведения из реестров избирателей, участников референдума, подавших заявления о включении в список избирателей, участников референдума по месту нахождения, с учетом требований Федерального закона «О персональных данных» в формате: имя, отчество и первая буква фамилии. Указанная информация также размещается на информационных стендах в помещениях для голосования соответствующих избирательных участков, участков референдума.

Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276);

36. Персональное информирование участников НИС о состоянии их именных накопительных счетов осуществляется с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30 (ч. I), ст. 4217; ст. 4243; 2016, N 27 (ч. I), ст. 4164; 2017, N 9, ст. 1276).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Читайте так же:  Ходатайство о немедленном исполнении решения суда образец

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Источник: http://legalacts.ru/doc/152_FZ-o-personalnyh-dannyh/

Персональные данные: в чём суть закона?

Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать.

Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных». Он был принят в июле 2016 года. С тех пор в этот закон было внесено немало поправок и дополнений.

Ознакомиться с его текстом можно в «Российской газете», месте официальной публикации правовых актов. И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё. Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства.

Мы решили подготовить краткий обзор нормативных документов по этой теме. В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке.

О каких данных идёт речь?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.

Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.

Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.

Кого касается закон?

Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.

Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Кого этот закон не касается?

Действие закона о персональных данных не распространяется на ситуации, когда:

  • данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
  • данные обрабатывают в официальных архивах;
  • данные отнесены к государственной тайне.

Согласие на обработку персональных данных

В ряде случаев согласие на обработку таких данных не требуется, например, если:

  • обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
  • обработка производится в судах;
  • обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.

При необходимости согласия оно должно включать в себя следующие сведения:

  • фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование и адрес оператора, получающего согласие;
  • цель обработки;
  • перечень данных, на обработку которых даётся согласие;
  • перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
  • срок, в течение которого действует согласие, а также способ его отзыва;
  • личную подпись.

Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

  • обрабатываются в соответствии с трудовым законодательством;
  • получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
  • относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
  • сделаны самим владельцем персональных данных общедоступными;
  • включают в себя только фамилию, имя и отчество субъекта;
  • необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
  • обрабатываются в целях транспортной безопасности.
Читайте так же:  Постановления по профилактике правонарушений несовершеннолетних

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.

Кто контролирует исполнение норм?

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы.

Безопасность персональных данных

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

  1. Определение угроз безопасности.
  2. Применение организационных и технических мер по обеспечению безопасности.
  3. Применение средств защиты информации.
  4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
  5. Учёт съёмных носителей персональных данных.
  6. Обнаружение фактов несанкционированного доступа к данным.
  7. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  8. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
  9. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных.

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье.

Нужны ли лицензии или сертификаты?

Непосредственно для обработки персональных данных никакие лицензии не нужны. Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства.

Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации является лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется.

Заключение

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны. В этой статье мы попытались кратко осветить содержание и общую логику этих актов.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы. По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют.

О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье.


Источник: http://spark.ru/startup/1cloud/blog/42698/personalnie-dannie-v-chyom-sut-zakona

Как соответствовать 152 ФЗ о персональных данных?

Общий порядок обработки персональных данных установлен федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных». О нём мы рассказали в нашей предыдущей статье «В чём суть закона».

Этот порядок конкретизирован и детализирован в постановлении Правительства Российской Федерации № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Кто обеспечивает защиту данных?

Согласно указанному постановлению Правительства № 1119, безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает эти данные, или лицо, осуществляющее обработку этих данных по поручению оператора на основании заключённого с этим лицом договора.

Что защищать и от чего?

В постановлении Правительства определены три типа угроз и четыре уровня защищённости персональных данных.

Под угрозами Правительство понимает совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение этих данных, а также иные неправомерные действия.

Как защищать?

КЛАССИФИКАЦИЯ УРОВНЕЙ ЗАЩИТЫ

В следующей таблице, составленной по содержанию постановления, указаны условия, по которым должен быть обеспечен тот или иной уровень защищённости персональное информации.

* «С» — специальные; «Б» — биометрические; «О» — общедоступные; «И» — иные.** Относятся ли данные к работникам оператора или нет? Если — нет, имеет значение общее число частных лиц, данные о которых содержатся в информационной системе.

Специальные персональные данные: сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Биометрические персональные данные: сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сведения, которые может получить неограниченный круг лиц. В качестве примеров источников общедоступных персональных данных можно назвать справочники или адресные книги. В такие источники могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, но только с письменного согласия их субъекта.

Иные персональные данные: сведения о конкретном человеке, которые не относятся к категориям специальные, биометрические, общедоступные.

Первый уровень защищённости считается наиболее высоким.

ОБЕСПЕЧЕНИЕ УРОВНЯ ЗАЩИТЫ

В следующей таблице перечислены требования по обеспечения защищённости данных на должном уровне.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которое производит обработку этих данных по поручению оператора.

Читайте так же:  Иск моральный вред к ржд

Более подробный список организационных и технических мер по обеспечению безопасности данных при их обработке в информационных системах содержится в приказе № 21 от 18.02.2013 Федеральной службы по техническому и экспортному контролю (ФСТЭК).

В перечень мер по обеспечению безопасности входят:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся или обрабатываются данные;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение и предотвращение вторжений;
  • анализ защищённости;
  • обеспечение целостности информационной системы и данных;
  • обеспечение доступности данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, её средств, систем связи и передачи данных;
  • выявление событий, которые могут привести к сбоям или нарушению в работе информационной системы, или угрожающих безопасности данных, и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты.

В приложении к указанному приказу ФСТЭК содержится более детальный перечень мер по обеспечению безопасности данных для каждого уровня защищённости.

При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учётом экономической целесообразности могут разрабатываться и применяться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз.

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Технические средства защиты имеют классификацию. Класс применяемого средства защиты должен соответствовать требующемуся уровню защищённости.

В руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» установлено девять классов защищённости автоматизированной системы от несанкционированного доступа к информации.

Каждый класс характеризуется определенным минимальным набором требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации.

С государственным реестром средств защиты информации, сертифицированных ФСТЭК, можно ознакомиться на сайтеэтого ведомства. Идентификатор этого реестра: РОСС RU.0001.01БИ00. На момент подготовки этой статьи в реестре имеется 1 774 записи.

Этот реестр также доступен на сайте «Открытые данные России».

На сайте ФСТЭК также находятся реестры компаний, имеющих лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации.

КРИПТОГРАФИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Если для защиты персональных данных применяются какие-либо криптографические средства, их применение регламентировано приказом ФСБ России № 378 от 10.07.2014.

Перечень средств защиты информации, сертифицированных ФСБ России, можно получить на сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.

В версии перечня на 01.08.2018 упомянуты 525 средств защиты.

Заключение

Несмотря на изрядную запутанность руководящих документов по защите информационных систем, в том числе, хранящих в них данных, соблюсти основные нормы, установленные в этих документах, можно.

В целом, последовательность действий лица, планирующего обработку данных должна быть примерно следующей:

  • определить, относится ли он к категории «оператор персональных данных»; если относится, известить о своих планах Роскомнадзор;
  • определить угрозы безопасности данных при их обработке в информационной системе оператора;
  • определить требующийся уровень защиты;
  • определить и применить организационные и технические меры защиты данных от неправомерного доступа к ним, а также от возможной их утраты или искажения;
  • применить выбранные меры защиты;
  • после ввода информационной системы в эксплуатацию регистрировать и учитывать все действия, совершаемых с персональными данными в информационной системе;
  • обеспечить обнаружение фактов несанкционированного доступа к данным и принимать меры, исключающие такой доступ в дальнейшем;
  • регулярно оценивать эффективность применения выбранных средств защиты.

Напомним о пункте 10 приказа ФСТЭК № 21 от 18.02.2013, в котором говорится о том, что при невозможности реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учётом экономической целесообразности могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности данных.

В любом случае полезно руководствоваться здравым смыслом.

Список нормативных актов

  • федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006;
  • постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012;
  • рекомендации Роскомнадзор по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013;
  • приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013;
  • приказ Федеральной службы безопасности России (ФСБ) № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» от 10.07.2014;
  • федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006;
  • федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011;
  • федеральный закон № 184-ФЗ «О техническом регулировании» от 27.12.2002;
  • указ Президента РФ № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» от 16.08.2004;
  • ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
  • ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;
  • ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения»;
  • ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
  • ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения»;
  • ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения»;
  • ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
  • ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
  • ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
  • ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем»;
  • ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
  • ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

К сожалению, крайне трудно, практически невозможно, сделать этот список исчерпывающим, так как в документах, присутствующих в нём, имеются недостаточно чёткие формулировки и многочисленные ссылки на иные правовые акты.

Видео (кликните для воспроизведения).

Источник: http://spark.ru/startup/1cloud/blog/42777/kak-sootvetstvovat-152-fz-o-personalnih-dannih

Соответствие фз 152 о персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here